什么是DMARC对接?
SPF和DKIM对来自任何注册域名的电子邮件进行验证。DMARC对齐是将认证与你的域名联系起来。
要理解DMARC的排列,我们需要了解它是如何工作的。当你实施DMARC时,你把SPF和DKIM的结果结合起来,以验证所有来自你的域名的邮件。对于任何给定的电子邮件,DMARC使用所谓的 "中央身份",也就是在 "发件人:"标题中发现的域名。这被认为是你的电子邮件的来源域,并将有你的组织的域名在其中。
当一封来自你的域名的电子邮件到达接收服务器时,SPF检查其返回路径,DKIM验证加密签名。这两种检查分别发生在 在两个不同的域中进行。DMARC获取每个域的验证结果,并检查SPF或DKIM中使用的域是否与发件人:域(中央身份)相匹配。如果两者都是真的,DMARC就实现了一致。
然而,只有一个小问题。任何人,包括犯罪分子,都可以购买一个域名并实施SPF和DKIM。所以从理论上讲,有人应该有可能在发送邮件时,在 "发件人:"地址(中心身份)中使用你的组织的域名,并有他们自己的域名的返回路径,以便通过 SPF 认证。用户通常只看到 "发件人 "地址,而不是 "返回路径",所以他们甚至不知道这两者之间存在差异。
这就是DMARC调整的地方。当你的电子邮件被验证时,DMARC检查3个标识符。
- 发件人:标题
- 返回路径地址
- DKIM签名中的域名
如果SPF或DKIM的标识符是一致的,那么该邮件就实现了DMARC一致性,并通过了DMARC认证,安全地传递到用户的收件箱。
SPF和DKIM对齐方式具体有2种。
- 严格对齐
- 放松的排列
严格对齐要求From: header和Return Path/"d=" DKIM字段中的域必须100%匹配。
放松的对齐方式更多的是,嗯,放松的要求。甚至子域也是允许的,只要它们在同一个组织域(发件人:域)之下。
DMARC调整专门解决了SPF的局限性,确保发件人:和返回路径域的匹配,防止攻击者试图为每个域使用不同的域。
它还解决了可用于利用DKIM的漏洞,要求发件人:标题也与DKIM签名中给出的域相匹配,消除了有人用额外的标题字段转发邮件的机会。
