你的 SPF 记录长度有限制吗?长话短说,是的。你的 SPF 记录的限制是 255 个字符的字符串,超过这个限制会破坏 SPF,导致认证失败。如果你遇到了 "SPF 超过最大字符数限制 "的信息,这仅仅意味着你的 DNS 中的 SPF 记录超过了 RFC 规定的(RFC 7208) 字符串长度限制。这可能是一个问题,尤其是当你的电子邮件的发送严重依赖于SPF对齐时。

已经有一个SPF记录了吗?用我们免费的 SPF检查器.

优化SPF以保持在SPF长度限制之下

  1. 避免在你的记录中使用 ptr 机制。这是因为根据 RFC 对 SPF 的指导,它目前还不被支持,并且进一步增加了你的 SPF 字符串的数量。
  2. 如果你想绕过 SPF 的 255 个字符限制,在不影响 SPF 的情况下绕过错误信息,RFC 允许在一个 SPF 记录中使用多个字符串。然而,这些字符串应该全部连接在一起,中间没有任何空格,你的记录才会有效。确保它是一个连续的行,而不是分成多行,因为每一行都被当作一个单独的记录。一个域名的多个记录会破坏 SPF。
  3. 请确保你在你的 SPF 记录中删除多余的、重复的和 NULL 的机制,这也会增加字符的限制。这可以确保你的记录简短、明了、有效。
  4. 你可以使用我们的 SPF扁平化来自动优化你的记录,使之不超过SPF的255个字符限制。

当你超过 SPF 字符串的限制时会发生什么?

如果你超过了SPF的255个字符限制,你的邮件就会在收件人那边认证失败,因为现在你的DNS中的记录会被认为是无效的。根据你的策略和调整模式,你的邮件可能会在传输过程中丢失,永远不会被送到你的收件人手中。建议你为你的域名配置一个DMARC报告分析器,以获得关于SPF认证失败的报告。在这些情况下启用报告功能,你会收到一条错误信息,内容是 "SPF超过最大字符数限制",或者你的DNS会与BIND通信,显示信息。"无效的rdata格式:跑出了空间"。这两种情况都简单地意味着你已经超过了 SPF 记录的限制。 

用PowerSPF限制你的SPF记录上限

 

PowerSPF是你解决所有SPF相关问题的一站式解决方案。无论是保持在10个的查询限制之下,还是将你的记录长度限制在指定的限制之内,PowerSPF都能即时、轻松地完成这些工作

优化你的DNS记录,享受无错误的实施,是PowerDMARC电子邮件安全套件的一种可能。注册一个DMARC试用版,享受一键优化的SPF,永远不会超过SPF255的字符限制

如果你没有关注整个辩论中的 的辩论。与SPF的争论,让我们了解它们是什么,以及它们如何帮助你。如果你是电子邮件认证的新手,你有可能遇到过像DMARC和SPF这样转瞬即逝的术语,并想更好地理解它们,以决定哪一个最适合你。

发件人政策框架,又称SPF,允许你缓存一个允许代表你向客户发送电子邮件的授权IP地址列表(RFC 4408)。另一方面,DMARC有助于为未能通过认证的电子邮件指定一个政策,帮助域名所有者控制其实施的安全协议的紧缩性。说到这里,让我们详细说明一下DMARC与SPF的关系。 

我已经部署了SPF,我还需要DMARC吗?

SPF并没有为域名所有者提供一个机制来发送失败的交付和冒名顶替的报告。这就是DMARC发挥作用的地方。如果你为你的域名启用了DMARC报告,你将能够得到关于你的SPF认证结果的通知,这包括但不限于交付失败和欺骗尝试。这是一个重要的功能,即使你只为你的域名部署了SPF,它也应该是你的电子邮件安全套件中不可缺少的一部分。

监测你的域名可以帮助你处理关于你的电子邮件如何表现的信息,并衡量你的电子邮件营销活动的成功率。它还可以帮助你更快地应对攻击,并将可疑的发件人地址列入黑名单。 

我可以在没有DKIM的情况下部署DMARC吗?

是的,即使你的DNS中没有DKIM记录,也可以发布一条DMARC记录。这是因为,你的邮件要被认为是符合DMARC要求的,它们需要通过SPF或DKIM认证,而不是同时通过。如果你没有DKIM记录,接收的MTA只检查确定邮件真实性的SPF对齐,而DKIM对每封邮件都自动失效。

然而,这并不是一个理想的情况。让我们来找出原因。

电子邮件转发和邮件列表的问题

在转发邮件的情况下,你的邮件在落入收件人的收件箱之前要经过一个中间服务器。这个服务器有一个不同的IP地址,可能不包括在你的域名的SPF记录中。因此,转发的邮件会破坏接收者一方的SPF。

如果你没有DKIM记录,失败的SPF基本上就会导致失败的DMARC。对于一个设置为拒绝的策略,你通过邮件列表发送的合法邮件根本就不会到达你的收件人。这就是为什么为你的域名同时实施SPF和DKIM,并通过使你的邮件与这两个协议相一致来获得完整的DMARC兼容性,是确保顺利送达的更好方法。

DMARC Vs SPF: 总结一下

 

总结一下关于DMARC与SPF的讨论,我们的建议是先为SPF发布一条TXT记录,然后再发布一条DMARC记录,将政策保持在零,同时启用汇总报告。这样,你就可以掌握被转发或通过邮件列表发送的邮件数量。无策略不会对你的电子邮件的交付能力产生任何影响,同时允许你有效地监控你的域名。

然而,为了提高你对即将到来的网络钓鱼攻击和欺骗的防御能力,你需要对DMARC采取更强硬的政策(p=拒绝/检疫)。仅仅实施SPF并不能对电子邮件欺诈提供任何保护,为此,DMARC政策是必不可少的。

DMARC软件解决方案的好处

我们建议使用PowerDMARC的 DMARC报告分析器来获得专家的建议,并使你的电子邮件认证标准在今天得到最充分的利用。这将有助于你。

  • 以最快的市场速度转变为拒绝政策,而不影响你的交付能力 
  • 在你发出的电子邮件中获得100%的DMARC兼容性
  • 在p=none状态下监测你的电子邮件渠道,以明确转发的电子邮件数量 
  • 更快地决定你的协议策略模式和配置,并享受你实施的电子邮件认证标准的顺利推广。

为了保护你的域名和在线身份不被试图冒充你的骗子利用,你需要为你的电子邮件域名设置DMARC。DMARC通过SPF和DKIM协议的累积性电子邮件认证工作发挥作用。因此,DMARC用户也受益于接收关于他们的电子邮件的交付问题、认证和对齐失败的报告。在这里了解更多关于什么是DMARC的信息。

如果你的DMARC汇总报告说 "SPF对齐失败",让我们讨论一下你的SPF对齐意味着什么,以及你如何解决这个问题。

什么是SPF排列?

一封电子邮件是由几个不同的标头组成的。每个标头都包含关于电子邮件的某些属性的信息,包括发送日期、发送地点和发送对象。SPF处理两种类型的邮件头。

  • The <From:> header
  • 返回路径标头

当From: 头中的域名和return-path头中的域名在一封邮件中是匹配的,SPF对齐就通过了这封邮件。然而,当这两者不匹配时,它就会失败。SPF对齐是一个重要的标准,它决定了一封邮件是合法的还是虚假的。

上图是一个例子,From: 头与Return-path头(Mail From)是一致的(完全匹配),因此对这封邮件来说,SPF对齐会通过。

为什么SPF对齐失败?

案例1:你的SPF对齐模式被设置为 严格

虽然默认的 SPF 对齐模式是宽松的,但是如果返回路径域恰好是根组织域的一个子域,而 From: 头部包含了组织域,那么设置严格的 SPF 对齐模式会导致对齐失败。这是因为要使 SPF 在严格模式下对齐,两个头中的域必须是完全匹配的。然而,对于宽松的对齐方式,如果这两个域共享相同的顶级域,SPF对齐将通过。

上面显示的是一个共享同一顶级域名的邮件的例子,但是域名并不是完全匹配的(Mail From域名是组织域名company.com的一个子域)。在这种情况下,如果你的SPF对齐模式设置为 "宽松",你的邮件就会通过SPF对齐,然而对于严格模式,它同样会失败。 

案例2:你的域名已被 欺骗了

SPF对齐失败的一个非常常见的原因是域名欺骗。这是一种现象,即网络犯罪分子通过伪造你的域名或地址来取代你的身份,向你的收件人发送电子邮件。虽然From: 域名仍然带有你的身份,但Return-path头显示的是欺骗者的原始身份。如果你对你的伪造域名进行了SPF认证,那么电子邮件在接收者那边就不可避免地无法对齐。

修复 "SPF对齐失败"

要修复SPF对齐失败,你可以。 

  • 将你的对齐模式设置为 "放松 "而不是 "严格"。 
  • 为你的域名配置DMARC,在SPF和DKIM之上,这样,即使你的邮件没有通过SPF头的调整,但通过了DKIM的调整,它也能通过DMARC并被传递给收件人。

我们的 DMARC报告分析器可以帮助你的外发邮件获得100%的DMARC合规性,并防止由于协议配置错误而导致的欺骗企图或对接失败。今天就进行免费的DMARC试用,享受更安全、更可靠的认证体验吧!

DMARC是一个标准的电子邮件认证协议,当配置在现有的SPF和DKIM记录之上时,可以帮助你确认任何一个或两个认证检查是否已经失败。为什么DMARC很重要?假设有人代表你的公司发送了一封邮件,但它没有通过DMARC,这意味着你可以采取权威性的行动。DMARC的设计是为了通过帮助企业处理电子邮件的安全问题来阻止垃圾邮件和网络钓鱼。其主要目标之一是帮助企业保护他们的品牌和维护他们的声誉。DMARC保护传输中的电子邮件,并通过拒绝不符合某些标准的邮件,帮助防止欺骗和网络钓鱼攻击。邮件服务器也可以报告他们从其他邮件服务器收到的信息,以帮助发件人解决任何问题。

保护你的电子邮件对于保护你的客户不受可能窃取他们的个人信息的网络犯罪分子的伤害是很重要的。在这篇博文中,我们将解释DMARC的重要性,以及你可以如何为你的域名正确实施它。

为什么DMARC很重要,为什么要使用DMARC?

如果你仍然不确定你是否应该使用DMARC,让我们细数一下它提供的一些好处。

  • DMARC是关于电子邮件的安全性和传递性。它提供强大的认证报告,最大限度地减少网络钓鱼,并减少误报。
  • 提高送达率,减少跳票
  • 接收关于信息如何被认证的全面报告
  • DMARC协议有助于识别垃圾邮件发送者,防止假信息进入收件箱
  • DMARC有助于减少您的电子邮件被标记或标示为垃圾邮件的机会
  • 让你对你的域名和电子邮件渠道有更好的可见性和权威性

谁可以使用DMARC?

DMARC得到了微软Office 365、谷歌Workspace和其他流行的基于云的解决方案的支持。自2010年以来,DMARC一直是电子邮件认证过程的一部分。它的目的是使网络犯罪分子更难以从有效地址发送垃圾邮件,帮助打击流行的网络钓鱼攻击。行业专家鼓励小企业以及企业的域名所有者创建一个DMARC记录,以提供关于如何保护其电子邮件域名的指示。这反过来有助于保护他们的品牌声誉和身份。 

如何建立你的域名的DMARC记录? 

用电子邮件认证协议配置你的域名的步骤如下。 

  • 创建一个SPF记录,并使用SPF检查器进行检查,以确保记录是有效的,没有可能的语法错误。
  • 为你的域名启用DKIM认证
  • 最后用DMARC设置你的域名,并通过配置我们的 免费的DMARC报告分析器

近年来,DMARC不仅获得了巨大的重要性,而且一些公司正在努力使其员工必须使用它,以防止敏感数据和资源的损失。因此,现在是时候考虑到它的各种好处,并通过DMARC转向更安全的电子邮件体验。 

DMARC记录是各种机制或DMARC标签的混合体,在邮件传输过程中向电子邮件接收服务器传达特定的指令。这些DMARC标签中的每一个都包含一个由域名所有者定义的值。今天我们将讨论什么是DMARC标签以及它们各自代表的含义。 

DMARC标签的类型

这里是所有可用的DMARC标签,域名所有者可以在他们的DMARC记录中指定。

DMARC标签 类型 默认值 这意味着什么
v 强制性 v标签代表DMARC协议版本,其值总是v=DMARC1。 
pct 可选 100 这个标签表示策略模式所适用的电子邮件的百分比。阅读更多关于DMARC pct标签
p 强制性 此标签涉及DMARC策略模式。你可以选择拒绝、隔离和无。了解更多关于 什么是DMARC政策以明确为你的域选择哪种模式。
ǞǞǞ 可选 为你的主域配置的策略模式(p) 指定子域政策,sp标签的配置是为了给你的子域定义一个政策模式。了解更多关于DMARC sp标签的信息,以了解你应该何时配置它。 
rua 可选但建议 rua标签是一个可选的DMARC标签,它指定了电子邮件地址或网络服务器,报告机构将在其中发送他们的电子邮件地址。 DMARC聚合rua数据

例如:rua=mailto:[email protected]

鲁夫 可选但建议 类似地,ruf机制指定的地址是 DMARC取证Ruf报告 将被发送。 目前,并不是每个报告组织都会发送法证数据。 

例如:ruf=mailto:[email protected]

fo 可选 0 fo标签迎合了域名所有者可以选择的可用故障/法医报告选项。如果你没有为你的域名启用ruf,你可以忽略这一点。 

可供选择的选项有:。 

0:如果你的邮件没有通过SPF和DKIM对准,将向你发送一份DMARC失败/取证报告

1: 当你的邮件无法通过SPF或DKIM的调整时,会向你发送一份DMARC失败/取证报告

d: 如果电子邮件的DKIM签名验证失败,则会发送DKIM失败报告,不管是哪种排列方式。

s: 如果邮件不能通过SPF评估,那么就会发送一份SPF失败报告,不管是哪种排列方式。

aspf 可选 这个DMARC标签代表了SPF对齐模式。其值可以是严格的(s)或放松的(r)
锛屾嚁瓒 可选 同样地,adkim DMARC标签代表DKIM对齐模式,其值可以是严格(s)或放松(r)。 
rf 可选 afrf DMARC rf标签规定了鉴证报告的各种格式。
可选 86400 ri标签涉及报告组织向域名所有者发送的两份连续汇总报告之间的时间间隔,单位为秒。

要立即创建一个DMARC记录,请使用我们免费的 DMARC生成器工具。或者,如果你有一个现有的记录,通过进行一个 DMARC查询.

今天就报名参加一个免费的 DMARC试用以获得关于如何保护你的域名不受欺骗的专家建议。

DMARC pct标签是这个记录的一部分,它告诉电子邮件接收者在这个政策下有多大比例的邮件会受到影响。如果你作为一个域名所有者想指定如何处理认证失败的电子邮件,DMARC记录可以帮助你做到这一点。一家公司可以在DNS中发布一个文本记录,并通过确定是否交付、隔离或甚至直接拒绝,来指定他们希望对未通过源头对准的电子邮件采取什么行动。 

在DMARC中,pct是什么意思?

任何电子邮件认证协议的TXT记录都包含一堆机制或标签,表示专门给电子邮件接收服务器的指示。在DMARC记录中,pct是百分比的首字母缩写,它被包括在内,以解决域名所有者定义的DMARC政策所适用的电子邮件的百分比。

为什么你需要DMARC pct标签?

pct标签是一个经常被忽视的,但却很有效的方法来设置和测试你的域名的DMARC策略。一个带有百分比标签的DMARC记录看起来像下面这样。 

v=DMARC1; p=reject; pct=100; rua=mailto:[email protected]

在上面显示的DMARC DNS记录中,DMARC拒绝政策适用的邮件比例是100%。 

一个域名从完全不使用DMARC,到使用最严格的设置,所需要的时间是一个磨合期。这是为了让域名有时间适应他们的新设置。对于一些企业来说,这可能需要几个月的时间。域名有可能进行即时升级,但这是不常见的,因为有可能出现更多的错误或投诉。pct标签被设计为一种逐步执行DMARC政策的方式,以减少在线业务的推出时间。其目的是在对整个邮件流进行全面部署之前,能够先对较小的一批邮件进行部署,就像下面所示的情况。 

v=DMARC1; p=reject; pct=50; rua=mailto:[email protected]

在这个DMARC的DNS记录中,DMARC的拒绝政策只适用于50%的邮件,而另外一半的邮件量则适用于DMARC的检疫政策,这是排在第二位的严格政策。 

如果你不在你的DMARC记录中包括pct标签,会发生什么?

在创建一个DMARC记录时,使用一个 DMARC记录生成器来创建一条DMARC记录时时,你可能会选择不定义pct标签,而将该标准留空。在这种情况下,pct的默认设置为100,这意味着你定义的策略将适用于所有的电子邮件。因此,如果你想为你的所有邮件定义一个策略,一个更简单的方法是把pct标准留空,就像这个例子一样。

v=DMARC1; p=quarantine; rua=mailto:[email protected]

警告: 如果你想为DMARC制定一个强制政策,请不要发布带有以下内容的记录 pct=0

这背后的逻辑很简单:如果你想在你的记录中定义一个拒绝或隔离策略,你基本上希望这个策略是对你的出站邮件进行征收。将你的pct设置为0会使你的努力无效,因为你的策略现在适用于零封邮件。这与将你的策略模式设置为p=none是一样的。 

注释:为了保护您的域名免受欺骗性攻击,并阻止您的域名被攻击者冒充的任何机会,理想的政策应该是 DMARC在p=reject; pct=100。

通过使用PowerDMARC开始你的DMARC之旅,安全地转向DMARC执行。采取免费的 DMARC试用今天