为了保护你的域名和在线身份不被试图冒充你的骗子利用,你需要为你的电子邮件域名设置DMARC。DMARC通过SPF和DKIM协议的累积性电子邮件认证工作发挥作用。因此,DMARC用户也受益于接收关于他们的电子邮件的交付问题、认证和对齐失败的报告。在这里了解更多关于什么是DMARC的信息。

如果你的DMARC汇总报告说 "SPF对齐失败",让我们讨论一下你的SPF对齐意味着什么,以及你如何解决这个问题。

什么是SPF排列?

一封电子邮件是由几个不同的标头组成的。每个标头都包含关于电子邮件的某些属性的信息,包括发送日期、发送地点和发送对象。SPF处理两种类型的邮件头。

  • The <From:> header
  • 返回路径标头

当From: 头中的域名和return-path头中的域名在一封邮件中是匹配的,SPF对齐就通过了这封邮件。然而,当这两者不匹配时,它就会失败。SPF对齐是一个重要的标准,它决定了一封邮件是合法的还是虚假的。

上图是一个例子,From: 头与Return-path头(Mail From)是一致的(完全匹配),因此对这封邮件来说,SPF对齐会通过。

为什么SPF对齐失败?

案例1:你的SPF对齐模式被设置为 严格

虽然默认的 SPF 对齐模式是宽松的,但是如果返回路径域恰好是根组织域的一个子域,而 From: 头部包含了组织域,那么设置严格的 SPF 对齐模式会导致对齐失败。这是因为要使 SPF 在严格模式下对齐,两个头中的域必须是完全匹配的。然而,对于宽松的对齐方式,如果这两个域共享相同的顶级域,SPF对齐将通过。

上面显示的是一个共享同一顶级域名的邮件的例子,但是域名并不是完全匹配的(Mail From域名是组织域名company.com的一个子域)。在这种情况下,如果你的SPF对齐模式设置为 "宽松",你的邮件就会通过SPF对齐,然而对于严格模式,它同样会失败。 

案例2:你的域名已被 欺骗了

SPF对齐失败的一个非常常见的原因是域名欺骗。这是一种现象,即网络犯罪分子通过伪造你的域名或地址来取代你的身份,向你的收件人发送电子邮件。虽然From: 域名仍然带有你的身份,但Return-path头显示的是欺骗者的原始身份。如果你对你的伪造域名进行了SPF认证,那么电子邮件在接收者那边就不可避免地无法对齐。

修复 "SPF对齐失败"

要修复SPF对齐失败,你可以。 

  • 将你的对齐模式设置为 "放松 "而不是 "严格"。 
  • 为你的域名配置DMARC,在SPF和DKIM之上,这样,即使你的邮件没有通过SPF头的调整,但通过了DKIM的调整,它也能通过DMARC并被传递给收件人。

我们的 DMARC报告分析器可以帮助你的外发邮件获得100%的DMARC合规性,并防止由于协议配置错误而导致的欺骗企图或对接失败。今天就进行免费的DMARC试用,享受更安全、更可靠的认证体验吧!

DMARC是一个标准的电子邮件认证协议,当配置在现有的SPF和DKIM记录之上时,可以帮助你确认任何一个或两个认证检查是否已经失败。为什么DMARC很重要?假设有人代表你的公司发送了一封邮件,但它没有通过DMARC,这意味着你可以采取权威性的行动。DMARC的设计是为了通过帮助企业处理电子邮件的安全问题来阻止垃圾邮件和网络钓鱼。其主要目标之一是帮助企业保护他们的品牌和维护他们的声誉。DMARC保护传输中的电子邮件,并通过拒绝不符合某些标准的邮件,帮助防止欺骗和网络钓鱼攻击。邮件服务器也可以报告他们从其他邮件服务器收到的信息,以帮助发件人解决任何问题。

保护你的电子邮件对于保护你的客户不受可能窃取他们的个人信息的网络犯罪分子的伤害是很重要的。在这篇博文中,我们将解释DMARC的重要性,以及你可以如何为你的域名正确实施它。

为什么DMARC很重要,为什么要使用DMARC?

如果你仍然不确定你是否应该使用DMARC,让我们细数一下它提供的一些好处。

  • DMARC是关于电子邮件的安全性和传递性。它提供强大的认证报告,最大限度地减少网络钓鱼,并减少误报。
  • 提高送达率,减少跳票
  • 接收关于信息如何被认证的全面报告
  • DMARC协议有助于识别垃圾邮件发送者,防止假信息进入收件箱
  • DMARC有助于减少您的电子邮件被标记或标示为垃圾邮件的机会
  • 让你对你的域名和电子邮件渠道有更好的可见性和权威性

谁可以使用DMARC?

DMARC得到了微软Office 365、谷歌Workspace和其他流行的基于云的解决方案的支持。自2010年以来,DMARC一直是电子邮件认证过程的一部分。它的目的是使网络犯罪分子更难以从有效地址发送垃圾邮件,帮助打击流行的网络钓鱼攻击。行业专家鼓励小企业以及企业的域名所有者创建一个DMARC记录,以提供关于如何保护其电子邮件域名的指示。这反过来有助于保护他们的品牌声誉和身份。 

如何建立你的域名的DMARC记录? 

用电子邮件认证协议配置你的域名的步骤如下。 

  • 创建一个SPF记录,并使用SPF检查器进行检查,以确保记录是有效的,没有可能的语法错误。
  • 为你的域名启用DKIM认证
  • 最后用DMARC设置你的域名,并通过配置我们的 免费的DMARC报告分析器

近年来,DMARC不仅获得了巨大的重要性,而且一些公司正在努力使其员工必须使用它,以防止敏感数据和资源的损失。因此,现在是时候考虑到它的各种好处,并通过DMARC转向更安全的电子邮件体验。 

DMARC记录是各种机制或DMARC标签的混合体,在邮件传输过程中向电子邮件接收服务器传达特定的指令。这些DMARC标签中的每一个都包含一个由域名所有者定义的值。今天我们将讨论什么是DMARC标签以及它们各自代表的含义。 

DMARC标签的类型

这里是所有可用的DMARC标签,域名所有者可以在他们的DMARC记录中指定。

DMARC标签 类型 默认值 这意味着什么
v 强制性 v标签代表DMARC协议版本,其值总是v=DMARC1。 
pct 可选 100 这个标签表示策略模式所适用的电子邮件的百分比。阅读更多关于DMARC pct标签
p 强制性 此标签涉及DMARC策略模式。你可以选择拒绝、隔离和无。了解更多关于 什么是DMARC政策以明确为你的域选择哪种模式。
ǞǞǞ 可选 为你的主域配置的策略模式(p) 指定子域政策,sp标签的配置是为了给你的子域定义一个政策模式。了解更多关于DMARC sp标签的信息,以了解你应该何时配置它。 
rua 可选但建议 rua标签是一个可选的DMARC标签,它指定了电子邮件地址或网络服务器,报告机构将在其中发送他们的电子邮件地址。 DMARC聚合rua数据

例如:rua=mailto:[email protected]

鲁夫 可选但建议 类似地,ruf机制指定的地址是 DMARC取证Ruf报告 将被发送。 目前,并不是每个报告组织都会发送法证数据。 

例如:ruf=mailto:[email protected]

fo 可选 0 fo标签迎合了域名所有者可以选择的可用故障/法医报告选项。如果你没有为你的域名启用ruf,你可以忽略这一点。 

可供选择的选项有:。 

0:如果你的邮件没有通过SPF和DKIM对准,将向你发送一份DMARC失败/取证报告

1: 当你的邮件无法通过SPF或DKIM的调整时,会向你发送一份DMARC失败/取证报告

d: 如果电子邮件的DKIM签名验证失败,则会发送DKIM失败报告,不管是哪种排列方式。

s: 如果邮件不能通过SPF评估,那么就会发送一份SPF失败报告,不管是哪种排列方式。

aspf 可选 这个DMARC标签代表了SPF对齐模式。其值可以是严格的(s)或放松的(r)
锛屾嚁瓒 可选 同样地,adkim DMARC标签代表DKIM对齐模式,其值可以是严格(s)或放松(r)。 
rf 可选 afrf DMARC rf标签规定了鉴证报告的各种格式。
可选 86400 ri标签涉及报告组织向域名所有者发送的两份连续汇总报告之间的时间间隔,单位为秒。

要立即创建一个DMARC记录,请使用我们免费的 DMARC生成器工具。或者,如果你有一个现有的记录,通过进行一个 DMARC查询.

今天就报名参加一个免费的 DMARC试用以获得关于如何保护你的域名不受欺骗的专家建议。

DMARC pct标签是这个记录的一部分,它告诉电子邮件接收者在这个政策下有多大比例的邮件会受到影响。如果你作为一个域名所有者想指定如何处理认证失败的电子邮件,DMARC记录可以帮助你做到这一点。一家公司可以在DNS中发布一个文本记录,并通过确定是否交付、隔离或甚至直接拒绝,来指定他们希望对未通过源头对准的电子邮件采取什么行动。 

在DMARC中,pct是什么意思?

任何电子邮件认证协议的TXT记录都包含一堆机制或标签,表示专门给电子邮件接收服务器的指示。在DMARC记录中,pct是百分比的首字母缩写,它被包括在内,以解决域名所有者定义的DMARC政策所适用的电子邮件的百分比。

为什么你需要DMARC pct标签?

pct标签是一个经常被忽视的,但却很有效的方法来设置和测试你的域名的DMARC策略。一个带有百分比标签的DMARC记录看起来像下面这样。 

v=DMARC1; p=reject; pct=100; rua=mailto:[email protected]

在上面显示的DMARC DNS记录中,DMARC拒绝政策适用的邮件比例是100%。 

一个域名从完全不使用DMARC,到使用最严格的设置,所需要的时间是一个磨合期。这是为了让域名有时间适应他们的新设置。对于一些企业来说,这可能需要几个月的时间。域名有可能进行即时升级,但这是不常见的,因为有可能出现更多的错误或投诉。pct标签被设计为一种逐步执行DMARC政策的方式,以减少在线业务的推出时间。其目的是在对整个邮件流进行全面部署之前,能够先对较小的一批邮件进行部署,就像下面所示的情况。 

v=DMARC1; p=reject; pct=50; rua=mailto:[email protected]

在这个DMARC的DNS记录中,DMARC的拒绝政策只适用于50%的邮件,而另外一半的邮件量则适用于DMARC的检疫政策,这是排在第二位的严格政策。 

如果你不在你的DMARC记录中包括pct标签,会发生什么?

在创建一个DMARC记录时,使用一个 DMARC记录生成器来创建一条DMARC记录时时,你可能会选择不定义pct标签,而将该标准留空。在这种情况下,pct的默认设置为100,这意味着你定义的策略将适用于所有的电子邮件。因此,如果你想为你的所有邮件定义一个策略,一个更简单的方法是把pct标准留空,就像这个例子一样。

v=DMARC1; p=quarantine; rua=mailto:[email protected]

警告: 如果你想为DMARC制定一个强制政策,请不要发布带有以下内容的记录 pct=0

这背后的逻辑很简单:如果你想在你的记录中定义一个拒绝或隔离策略,你基本上希望这个策略是对你的出站邮件进行征收。将你的pct设置为0会使你的努力无效,因为你的策略现在适用于零封邮件。这与将你的策略模式设置为p=none是一样的。 

注释:为了保护您的域名免受欺骗性攻击,并阻止您的域名被攻击者冒充的任何机会,理想的政策应该是 DMARC在p=reject; pct=100。

通过使用PowerDMARC开始你的DMARC之旅,安全地转向DMARC执行。采取免费的 DMARC试用今天

sp "属性是子域策略的简称,目前不是一个广泛使用的属性。它允许一个域指定对指定的DNS域的子域使用不同的DMARC记录。为了保持简单,我们建议从组织域本身省略'sp'属性。这将导致一个后退的默认策略,防止子域上的欺骗行为。重要的是要记住,子域的行为总是由首要的组织策略决定。 

子域继承父域的策略,除非被子域策略记录明确推翻。sp "属性可以覆盖这种继承性。如果一个子域有一个明确的DMARC记录,这个记录将优先于父域的DMARC策略,即使子域使用p=none的默认设置。例如,如果一个DMARC策略被定义为优先级为'all','sp'元素将影响没有被任何特定策略覆盖的子域的DMARC处理。

为什么你需要DMARC sp标签?

如果你的DMARC记录为。 

v=DMARC1; p=reject; sp=none; rua=mailto:[email protected]

在这种情况下,虽然你的根域被保护免受欺骗攻击,但你的子域即使不使用它们来交换信息,仍会受到冒充攻击。

如果你的DMARC记录为。 

v=DMARC1; p=none; sp=reject; rua=mailto:[email protected]

在这种情况下,虽然你没有承诺对你用来发送电子邮件的根域采取拒绝政策,但你的非活动子域仍然受到保护,不会被冒充。 

如果你希望你的域名和子域名的政策是相同的,你可以在创建记录时将sp标签标准留空或禁用,你的子域名将自动继承对主域名征收的政策。 

如果你正在使用我们的的DMARC记录生成器工具为你的域名创建DMARC记录,你需要手动启用子域策略按钮并定义你所需要的策略,如下所示。

 

在创建您的DMARC记录后,重要的是使用我们的 DMARC记录查询工具来确保你的记录是没有错误和有效的。

使用PowerDMARC开始你的DMARC之旅,最大限度地提高你的域名的电子邮件安全。采取您的免费 DMARC试用今天就开始吧!

由于网上潜伏的威胁,企业必须通过采用强大的认证方法来证明他们是合法的。一个常见的方法是通过DomainKeys Identified Mail(DKIM),这是一种电子邮件认证技术,使用加密密钥来验证发件人的域名。DKIM与SPF和 DMARC已经极大地改善了全球组织的电子邮件安全状况。

阅读更多关于 什么是DKIM.

在为您的邮件配置DKIM时,您必须做出的主要决定之一是确定DKIM密钥长度。在这篇文章中,我们将带您了解为更好地保护而推荐的密钥长度以及如何在Exchange Online Powershell中升级您的密钥。

升级你的DKIM密钥长度的重要性

选择1024位或2048位是在选择你的DKIM密钥时必须做出的重要决定。多年来,PKI(公钥基础设施)一直使用1024位DKIM密钥来保证其安全性。然而,随着技术越来越复杂,黑客们正在努力寻找新的方法来削弱安全性。正因为如此,密钥的长度变得越来越重要。

随着黑客们不断发明更好的方法来破解DKIM密钥。密钥的长度与破解认证的难易程度直接相关。使用2048位的密钥可以提供更强的保护,提高对当前和未来攻击的安全性,突出了升级比特的重要性。

在Exchange Online Powershell中手动升级你的DKIM密钥

  • 首先,以管理员身份连接到Microsoft Office 365 PowerShell(确保你的Powershell账户被配置为运行签名的Powershell脚本)。
  • 如果DKIM是预先配置好的,要把你的密钥升级到2048位,请在Powershell上运行以下命令。 

Rotate-DkimSigningConfig -KeySize 2048 -Identity {Guid of existing Signing Config}。

  • 如果你之前没有实施DKIM,请在Powershell上运行以下命令。 

New-DkimSigningConfig -DomainName <Domain for which config is to be created> -KeySize 2048 -Enabled $true

  • 最后,为了验证你已经成功地配置了DKIM,升级后的比特数为2048比特,请运行以下命令。

Get-DkimSigningConfig -Identity <Domain for which the configuration was set> | Format-List

注释:确保在整个过程中您都连接到Powershell。更改可能需要72小时才能实施。

DKIM并不足以保护你的域名免受欺骗和BEC。通过配置以下内容来升级你的域名的电子邮件安全 办公室365的DMARC.