我相信你已经听说过 DMARC，但你知道它是什么吗？这本DMARC傻瓜指南是为每个人（技术和非技术）准备的，它将用简单的英语带领你了解DMARC的基本知识。

互联网上的很多人都对信息安全和电子邮件认证的概念感到好奇，但却发现这些协议很难理解和实施。我们今天聚集在这里，就是要让大家知道配置DMARC是多么容易，并揭穿一些围绕它的常见神话。  

用简单的英语解释DMARC

什么是 DMARC？?DMARC是基于域的信息验证、报告和一致性（Domain-based Message Authentication, Reporting, and Conformance）的缩写。它是一种电子邮件安全策略，允许电子邮件发件人指定接收服务器在收到电子邮件时应如何处理的策略。

例如，如果你使用一个营销自动化平台，你可以设置一个规则，说："如果电子邮件来自Gmail，那么接受它。"然后你可以设置另一条规则，说："如果电子邮件来自Hotmail，那么拒绝它"。这样，如果有人收到来自Hotmail而不是Gmail的回复，他们就会知道他们的信息没有被正确传递--他们就能采取措施来解决这个问题。

这也是企业通过确保他们收到的电子邮件是合法的来保护自己免受网络钓鱼攻击的一种方式。

它是如何工作的？

 如果该邮件是假的，DMARC会让你知道。

它的工作原理是这样的。一个发件人域名（如company.com）向他们的域名注册商发布一个DNS记录，说明他们希望他们的政策是什么：他们将接受和拒绝哪些类型的电子邮件，以及如果这些电子邮件被拒绝，应该发送到哪里。然后，当有人使用DMARC代表你的公司发送电子邮件时，接收服务器在接受之前会检查是否有一个有效的政策到位。如果没有，那么接收服务器可以拒绝或隔离该邮件，直到它被贵公司知道情况的人验证，或者完全销毁!

我为什么要关心这个？

如果你是一个使用电子邮件营销的企业，你需要知道如何正确实施DMARC。它有助于防止欺骗和网络钓鱼，这意味着它可以保护你的客户不被骗。它还可以维护和保持你的品牌声誉，确保其发出的所有电子邮件是合法的，所以人们知道他们可以信任你。

总结一下。 

• 它可以防止来自欺骗者的电子邮件，这些欺骗者发送的电子邮件假装来自你的域名
• 它通过防止电子邮件冒名顶替，帮助保护你的品牌免受网络钓鱼攻击
• 它让你对合法的电子邮件如何传递给收件人有更多的控制权

企业DMARC傻瓜指南

DMARC要点和先决条件 

在高层次上，你需要做三件事来实施DMARC。

1. 创建一个DNS记录，指向你的电子邮件服务器的SPF记录
2. 创建一个DNS记录，指向你的电子邮件服务器的DKIM关键记录
3. 在你的电子邮件服务器上设置SPF和DKIM

注释:在配置DMARC时，并非必须同时实施SPF和DKIM。你可以实施这两者中的任何一个，但是，为了增强安全性，建议同时实施。 如果你的域名由Office 365或Google Apps等电子邮件提供商托管，他们可能已经为你设置了一个必要的SPF记录--你可以向他们查询是否如此。你还需要了解他们的DKIM密钥是什么，以便你能将其添加到你的DNS设置中。

当你准备实施DMARC时，你需要确保你有正确的工具和基础设施。

要开始，你将需要。

1. 域名注册商(如GoDaddy)
2. 一个DNS提供商（如AWS Route 53）。
3. 一个支持SPF和DKIM的邮件服务器（如Amazon SES）。

设置和政策模式 

要在你的组织建立DMARC的电子邮件认证，你需要在你的DNS上有一个政策记录，在你处理了上述的先决条件后。 

下面是一个此类记录的例子。 

名字。_dmarc

价值。 v=DMARC1; pct=100; p=none; rua=mailto:reporting@company.com。

每个标签都很重要，指向服务器的具体指示。让我们来分析一下这里提到的几个标签："v "标签指向正在使用的协议版本，pct指的是认证的电子邮件的百分比（在这种情况下是100%），p是DMARC失败模式或政策在起作用，rua标签是报告域要发送汇总报告的电子邮件地址。 

如果你熟悉语法，你可以手动创建一个特定于你的域名的记录。否则，你可以使用一个免费的在线 DMARC记录生成器工具来帮助你完成这个过程。

在创建你的记录时，你必须提到一个政策模式（在 "p="标签下）。有3种DMARC政策可供选择。 

• 无:你指示你的收件人接受每一封来自你的域名的邮件，无论他们是否通过了域名对齐。最适合刚开始使用电子邮件认证的新手。
• 检疫:你指示你的收件人对域名调整失败的邮件进行隔离，以便以后可以进行审查。
• 拒绝:你指示你的收件人拒绝每一封未能对齐的电子邮件。如果你想保护自己免受欺骗和钓鱼攻击，这是你应该选择的策略。

监测和报告电子邮件发送失败的情况 

DMARC的报告是一个允许你跟踪你的电子邮件的认证状态和交付失败的功能。这是一个很好的功能，可以使详细的 DMARC分析通过提取电子邮件的头信息。它还可以帮助你确定你的邮件在哪里被转发，以及你从收件人那里得到什么样的回应。

下面显示的是DMARC 报告的一部分，让你了解报告的内容。  

当你进一步向下滚动你的报告时，你应该能够看到你的SPF和DKIM认证结果按时间顺序列出。 

每个报告都是以XML文件的形式发送的。的形式发送，这意味着你需要对可扩展标记语言有相当的了解，以读取数据。你可以选择通过利用一个 DMARC报告分析器来避免这种麻烦，它可以为你自动解析报告，使其成为人类可读的报告。

要启用报告，你需要在你的记录中添加 "rua "标签，指定一个你想接收这些报告的电子邮件地址。确保该电子邮件地址属于你自己的域名范围内，并且是专门为此目的而创建的，以避免数据杂乱。

行业支持和欺骗保护 

支持DMARC的ESP包括谷歌、微软、亚马逊、MailChimp等行业巨头!行业领袖和专家认可电子邮件认证是减少直接域名欺骗和电子邮件钓鱼攻击的成熟方法。然而，这只能通过强制的政策来实现。 

同样重要的是要注意，DMARC并不能取代你的防病毒或防火墙解决方案。它只是一个额外的安全层，可以更好地保护你的组织免受电子邮件欺诈攻击。为了提供全面的保护，将DMARC与你最喜欢的防病毒软件或防火墙扩展配对是必须的。

• 关于
• 最新文章

Ahona Rudra

阿霍娜是 PowerDMARC 的市场经理，拥有 5 年以上的网络安全主题写作经验，擅长领域和电子邮件安全。阿霍娜拥有新闻与传播专业的研究生学位，自 2019 年以来，她在安全领域的职业生涯更加稳固。

Ahona Rudra的最新文章(查看全部)

• 区块链能帮助提高电子邮件安全吗？- 2024 年 5 月 9 日
• 数据中心代理：揭开代理世界的神秘面纱- 2024 年 5 月 7 日
• Kimsuky 在最近的网络钓鱼攻击中利用 DMARC "无 "策略- 2024 年 5 月 6 日