什么是DMARC "外部目的地验证"?| 在你的域外接收DMARC报告
作者:
阅读时间 5 分钟
如果 DMARC 中的外部域不允许向其发送报告,本指南就是为您准备的。您知道吗? DMARC 报告报告?通过 DMARC 外部目的地验证,可以将 DMARC 报告发送到不属于您自己域范围内的电子邮件地址。如果您拥有的域名是 company.com,您可以将报告发送到一个地址(例如) [email protected]在这种情况下,company.com 对 mailreports.net 没有权限,它们是两个完全独立的域。
然而,为了实现这一点,报告接收域(mailreports.net)需要提供批准,同意接收包含你的域的DMARC数据的报告。 需要提供批准,它同意接收包含你的域(company.com)的DMARC数据的报告。(company.com)。
使之成为可能的方法被称为 "外部域名验证",今天我们将讨论它是什么,以及它如何帮助你的认证之旅。
主要收获
- 您可以通过 "外部域验证 "接收与自己的域无关的外部电子邮件地址的 DMARC 报告。
- 外部域验证需要报告接收域的明确同意,以防止未经授权访问 DMARC 报告。
- 如果没有外部域名验证,恶意行为者就可能劫持 DMARC 记录,向非预期收件人发送敏感报告。
- 在外部域上发布特定的 DMARC 记录有助于有效促进外部目的地验证过程。
- 使用通配符条目进行外部发送可能会带来风险,因为它们允许任何域发送报告,可能会使接收域被垃圾邮件淹没
DMARC外部域名验证 - 解释一下
比方说,你拥有的域名是 company.com并且你为你的域名启用了DMARC。你现在想通过DMARC聚合报告接收关于你的电子邮件发送源的信息,但为了避免对你的内部域和子域的收件箱造成垃圾邮件,你想把这些报告重定向到一个外部目的地,比如说 mailreports.net.
这是拥有多个注册域名、第三方以及大量信息进出其域名的企业所采取的一种常见策略。
为此,您的后续DMARC 记录将如下所示:
v=DMARC1;p=quarantine; rua=mailto:[email protected]
[要免费创建您的自定义记录,请使用我们的 DMARC记录生成器工具]。
rua标签指定了你将收到DMARC报告的电子邮件地址。现在请注意,仅仅因为你在DNS上发布了一条记录,要求你的数据被发送到mailreports.net,并不意味着会这样。这不是那么简单。
报告接收域必须提供数字同意书,以便从 company.com否则无法发送报告。这就是所谓的外部域验证或外部目的地验证(如 RFC 7489 7.1 所述)。 RFC 7489 7.1).
利用 PowerDMARC 简化外部目标验证!
为什么需要外部目的地验证?潜在的威胁和漏洞
以下原因可以迫使你选择外部域名验证。
- DMARC 中的外部域不允许向其发送报告。
- 你拥有一个不运营任何邮件服务器的域名
- 如果没有外部域名验证,网络攻击者可以很容易地创建一个DMARC记录,提到一个外部域名(受害者的)来接收报告。攻击者发送的所有坏邮件的报告现在将充斥着受害者的收件箱
通过外部目的地验证,可以阻止威胁者完成他们的恶意行为,而域名所有者可以将报告路由到运营邮件服务器的外部域名。
外部域名验证是如何进行的?
核实外部报告目的地
当一个发布了DMARC记录的域名发送电子邮件时,电子邮件接收服务器会检查发布该记录的组织域是否与DMARC记录的rua(或ruf)标签中提到的组织域完全匹配。
如果不匹配,并且已经指定了一个外部域来接收报告,那么验证过程就会启动。
为此,报告接收主机的DNS被查询以验证他们是否同意接收报告。如果在他们的DNS中发现一个证明相同的DMARC记录,则验证检查通过,报告被发送到外部域。如果失败,报告就不会被发送。
有时由于DNS超时和其他小问题,可能会发生临时错误,使接收服务器暂时无法完成外部目的地验证过程。不过,以后会重新尝试。
特定域(和子域)的外部目的地验证配置
让我们以前面的例子来确定如何确保你的外部目的地验证过程不会对你的特定域和子域返回错误结果。
示例域名:company.com
外部报告接收域示例:mailreports.net
需要在mailreports.net域名上发布一条包含以下信息的DMARC DNS记录。
| 场地 | 描述 | 价值 |
| 宿主 | 这是你发布记录的地方,在 | company.com._report._dmarc.mailreports.net |
| 价值 | 你的TXT记录值 | v=DMARC1。 |
注释: 用你自己的域名和任何你想接收报告的外部域名替换域名。这条记录不是发布在你的域名上,而是发布在你想发送报告的外部域名上。
然后你就完成了!在外部目的地验证期间,现在这将通知电子邮件接收服务器,你在rua或ruf标签中提到的首选外部域实际上同意代表你的域接收DMARC报告。
外部目的地验证的可选配置
与其发布上述记录来给特定的域名发送报告的权限,外部域名通常使用一个 通配符记录 (以星号 "*"开头)。
这是一个简单的捷径,以避免额外的努力,因为通配符记录本质上是表示 外部域同意接收来自任何域的DMARC报告(而不仅仅是你的特定域)。
下面是用于外部域名验证的通配符记录的语法(例子)。
| 场地 | 描述 | 通配符记录值 |
| 宿主 | 这是你发布记录的地方,在 | *._report._dmarc.domain.com |
| 价值 | 你的TXT记录值 | v=DMARC1。 |
与使用通配符条目有关的潜在风险
使用通配符条目进行外部域名验证并不是一个值得推荐的做法,而且会带来潜在的风险。这是因为当一个域同意接收来自任何域的报告时,不良行为者可以利用这一点,用来自恶意域的大量报告向电子邮件账户发送垃圾邮件,而没有任何机制来监管或过滤这些报告。这可能会对接收报告的域名造成潜在的伤害,也会给使用该域名接收自己报告的你带来问题。
我们如何在PowerDMARC处理外部域验证?
对于已经创建了PowerDMARC账户的客户,并在以下方面接收报告 DMARC报告分析器仪表盘不需要担心外部域名验证,因为我们为你处理。所有由接收者发送的报告都会被自动路由并发送至我们的平台,整齐地解析和组织,供您查看,而您无需发布记录,以简化外部目的地验证过程。你所需要做的就是在你的DMARC记录中指定我们的自定义rua(或ruf)地址。
立即注册,即可免费获得以下服务,轻松完成外部目的地验证和DMARC 实施流程 DMARC 试用版.
域名和电子邮件安全专家PowerDMARC
阿霍娜是 PowerDMARC 的市场经理,拥有 5 年以上的网络安全主题写作经验,擅长领域和电子邮件安全。阿霍娜拥有新闻与传播专业的研究生学位,自 2019 年以来,她在安全领域的职业生涯更加稳固。
Ahona Rudra的最新文章(查看全部)
- 微软加强电子邮件发件人规则:您不应错过的关键更新- 2025 年 4 月 3 日
- DKIM 设置:为电子邮件安全配置 DKIM 的分步指南 (2025)- 2025 年 3 月 31 日
- PowerDMARC 被《2025 年 G2 春季报告》评为 DMARC 网格领导者- 2025 年 3 月 26 日
