启用 DMARC(基于网域的消息验证报告和一致性)后,就可以设置一系列验证检查标记,以确定电子邮件是否来自声称的来源。DMARC 在策略和对齐模式方面提供了极大的灵活性,域所有者可以对其进行配置,以达到他们想要的安全级别。
DMARC标识符对齐确认附加到电子邮件各部分的域名正确对齐,表明电子邮件是合法的,不可能是网络钓鱼或欺骗企图的一部分。
什么是DMARC对接?
DMARC 对齐是在验证检查过程中对电子邮件标头各部分下的域进行对齐(或匹配)的过程。如果邮件通过了 SPF 和 DKIM 标识符对齐,DMARC 就会对邮件进行对齐。
确保您的电子邮件是合法的,并可防范一系列电子邮件欺诈攻击,包括网络钓鱼、欺骗、勒索软件等。
DMARC 验证协议检查 DMARC 标识符是否一致,以确定电子邮件域是否可能被欺骗。在验证电子邮件时,DMARC 会检查 3 个标识符:
- 发件人标题
- 返回路径地址
- DKIM签名中的域名
如果 SPF 或 DKIM 身份验证标识符的标识符对齐,电子邮件就会实现 DMARC 对齐,通过 DMARC 身份验证,并安全地发送到用户收件箱。
DMARC Alignment 是如何工作的?
要理解 DMARC 对齐,我们需要了解它是如何工作的。当您实施 DMARC 时,您会将 SPF 和 DKIM 的结果结合起来,以验证来自您的域的所有电子邮件。对于任何给定的电子邮件,DMARC 都会使用所谓的 "中心身份",即在 From 头中找到的域。这被视为电子邮件的来源域,其中会包含贵组织的域名。
当来自您域名的电子邮件到达接收服务器时、 SPF检查其返回路径,DKIM 验证加密签名。这两项检查分别在两个不同的域上进行。DMARC 获取每个域的验证结果,并检查 SPF 或 DKIM 中使用的域是否与发件人域(中心身份)相匹配。如果两者之一为真,则实现了 DMARC 对齐。
不过,有一个小问题。任何人,包括犯罪分子,都可以购买一个域名并实施 SPF 和 DKIM.因此,从理论上讲,任何人都有可能在发送电子邮件时,在发件人地址(中心身份)中包含贵组织的域名,并让自己域名的 "返回路径 "通过 SPF 验证。用户通常只看到 From: 地址,而看不到 Return Path,因此他们甚至不会知道两者之间存在差异。
SPF 和 DKIM 标识符对齐的作用
您的验证标识符对齐标志着您的电子邮件发件人是否被授权代表您的网域发送电子邮件。这可以通过根据 SPF(发件人策略框架)或 DKIM(域名密钥识别邮件)检查邮件的真实性来确定。对齐电子邮件最终会通过发件人验证检查,接收邮件服务器可将其作为基本范例,以区分恶意或未经授权的电子邮件并将其过滤掉。
在 PowerDMARC,我们更进一步,将您的邮件与 SPF 和 DKIM 标识符进行比对,帮助您的邮件在 p=reject 策略下达到 100% DMARC 合规性。这将帮助您见证电子邮件可送达性的明显改善,并在我们专业技术支持团队的充分监控和协助下,在短短几周内观察到垃圾邮件和跳出率的显著差异。
哪些因素会影响 SPF 和 DKIM 标识符的对齐?
- 您的第三方供应商电子邮件客户端和电子邮件服务提供商可能会带来复杂问题和调整失败
- 您转发的信息可能无法对齐
解决方案是什么?
PowerDMARC 可帮助您正确、准确地调整所有第三方供应商,并在添加更多服务和供应商时轻松修改和更新门户网站上的记录,以确保您的合法电子邮件有最大可能送达客户。
PowerDMARC 可帮助您配置 SPF、DKIM 和 ARC 以及 DMARC,以解决棘手的电子邮件转发问题,在这种情况下,中间服务器可能会对您的电子邮件进行修改,从而导致不必要的验证失败。
PowerDMARC 的直观界面可帮助您轻松升级策略记录,使其达到最大执行力,从而确保您的域受到充分保护,免受电子邮件欺骗和网络钓鱼攻击。
DMARC 对齐类型:严格与宽松标识符对齐
DMARC 标识符对齐可分为两种类型,取决于您希望进行身份验证检查的严重程度和精确度。以下是这两种类型:
1.DMARC 放宽对齐
SPF 和 DKIM 对齐具体有两种:宽松和严格。如果这两种对齐方式都配置了宽松对齐方式,这基本上意味着您已经在整个 DMARC 实施中实施了宽松对齐方式。
对于 SPF 和 DKIM,在宽松对齐模式下,即使邮件发件人命令中的域和返回路径标头或退回电子邮件地址(对于 SPF)和 DKIM 签名(对于 DKIM)标头中的域是组织匹配的,DMARC 对齐也是匹配的。因此,在这种情况下,即使是子域也将根据 DMARC 进行对齐。
如果邮件头域符合其中任一对齐要求,则邮件接收方应通过 DMARC 验证。
DMARC 放宽对齐示例
v=DMARC1; p=reject; rua=mailto: [email protected]; aspf=r; adkim=r
对齐设置解码:DMARC 标记 "aspf "和 "adkim "是各自的对齐标记,用于定义您选择的模式,"r "代表放松。
2.DMARC 严格对齐
如果域名所有者为 SPF 和 DKIM 启用了严格对齐,这基本上意味着您已经为整个 DMARC 实施实施了严格模式。
对于这两种协议,在严格对齐模式下,只有当 From 头中的域和 Return-path(对于 SPF)和 DKIM 签名(对于 DKIM)头中的域完全匹配时,DMARC 对齐检查才是匹配的。因此,在这种情况下,不会根据 DMARC 对齐子域。
DMARC 严格对齐示例
v=DMARC1; p=reject; rua=mailto: [email protected]; aspf=s; adkim=s
对齐设置解码:DMARC 标记 "aspf "和 "adkim "分别是对齐模式标记,用于定义您选择的模式,"s "代表对齐目标,即严格。
哪种 DMARC 对齐模式更好?
在宽松和严格的 DMARC 统一模式之间做出选择,取决于贵组织的电子邮件验证协议政策、对误报的容忍度以及总体安全目标。
宽松模式具有更大的灵活性,而且不容易产生误报。当您有多个电子邮件系统或服务代表您的网域发送电子邮件,而且它们可能使用不同的子域时,这种模式就很有用。不过,该模式也不那么严格,可能会允许一些存在细微差别的电子邮件通过,从而为欺骗或网络钓鱼企图留下可乘之机。
严格模式执行更严格的对齐策略,确保 "发件人 "标头中的确切域与 SPF 和 DKIM 中指定的域相匹配。虽然这对欺骗和网络钓鱼提供了更强的保护,但如果您的电子邮件基础架构出于合法目的使用不同的子域,那么它的宽容度就会降低。实施严格对齐可能需要仔细配置和监控,以避免阻止合法电子邮件。
如何监控严格对齐 DMARC 的电子邮件?
借助我们的 DMARC 分析器工具。我们可以帮助您跟踪电子邮件发送源,检查对齐失败,并直接从我们的仪表板优化您的验证配置。
联系我们立即开始!
如何检查电子邮件的 DMARC 对齐情况?
要验证电子邮件的 DMARC 对齐情况,您可以在 PowerDMARC 门户网站上注册,并按照以下步骤操作:
- 转到主菜单中的报告
- 单击 DMARC 汇总报告并展开下拉列表
- 从列表中选择每个结果
- 按结果监控发送源,查看每个结果的 DMARC 合规性和对齐详情
当 DMARC 对齐通过时
如果 DKIM 或/和 SPF 标识符对齐通过,则电子邮件将通过 DMARC 对齐、
DMARC 对齐为何失败
当电子邮件的 DKIM 和 SPF 标识符都不一致时,就会出现 DMARC 对齐失败。这种情况通常发生在邮件发件人头中的域与返回路径头中的域和 DKIM 签名头中的域都不匹配时。
与 DMARC 对齐相关的一些重要信息
什么是返回路径域?
返回路径域也称为退回地址或信封发件人域,是接收未送达邮件或退回邮件的域。在电子邮件被退回或无法送达的情况下,隐藏的标题字段包含电子邮件被退回的信封发件人域。即使您作为域名所有者部署了第三方服务来路由您的电子邮件,也可以使用退回地址将电子邮件追溯到父域。这就清楚地区分了由坏人发送的邮件和真正出于善意的发件人。
DMARC 检查期间的 SPF 域 SPF 对齐由返回路径地址中的域决定。
什么是 DKIM 签名域?
DKIM 签名域是为您的邮件创建 DKIM 签名时使用的域名,即签名域。在 DMARC 检查过程中进行 DKIM 域对齐验证时,发件人会验证 DKIM 签名域是否与发件人域对齐。如果组织域匹配,DMARC 对齐将在宽松的 DKIM 模式下通过。在严格的 DKIM 模式下,只有建立了精确的域匹配,DMARC 配对才会通过。
电子邮件转发如何影响 DMARC 一致性
转发电子邮件服务器和电子邮件讨论列表会将 "header from "地址重写为转发服务器的地址,并在邮件正文和内容中加入新的元素,从而使 DMARC 对齐过程变得复杂。由于 "邮件发件人 "域身份与重写的退回地址和更改的邮件内容不匹配,这些会导致 SPF 对齐和 DKIM 对齐失败。
如何监控对齐故障?
要监控一致性,您可以启用汇总报告和取证报告(故障报告),这将有助于您监控和实现一致性目标,并更快地解决交付能力问题。
- 修复 SPF 错误克服 SPF DNS 查询次数过多限制- 2024 年 4 月 26 日
- 如何用三个步骤发布 DMARC 记录?- 2024 年 4 月 2 日
- DMARC 为什么会失败?在 2024 年修复 DMARC 故障- 2024 年 4 月 2 日