如何修复 2025 中的 "DMARC 策略未启用 "问题?
作者:
阅读时间 5 分钟
在反向 DNS 查询中返回的 "DMARC 策略未启用 "错误表示您的域的DMARC 记录没有定义策略。如果存在这种错误,您的域名就无法防范欺骗和冒充威胁。
通过本文,我们将带您了解配置DMARC所需的各种步骤,并为您的域设置正确的策略,这样您就不会再遇到 "DMARC 策略未启用 "的提示!
主要收获
- DMARC 策略未启用 "错误表明您的域缺乏已定义的 DMARC 策略,容易受到欺骗和冒充。
- 您可以根据所需的执行级别,用 p=拒绝、p=隔离或 p=无来定义 DMARC 策略。
- 之后,在 DNS 中发布 DMARC 记录,并附上适当的策略参数,以修复错误并指导电子邮件服务器处理未经授权的电子邮件。
- 启用 DMARC 可保护您的域名免受网络钓鱼攻击,并提高您品牌的可信度和电子邮件的可送达性。
- 持续监控DMARC 报告有助于跟踪电子邮件验证并优化电子邮件安全态势。
- 使用DMARC 分析器和动态 SPF等工具是简化管理和防止 SPF 记录问题的好方法。
第1步:为你的DMARC记录定义一个策略
为了解决 "DMARC策略未启用 "的错误,我们需要了解这样的策略是什么,以及我们可以为我们的DMARC认证系统配置哪些不同的类型。
1.拒绝未经授权的电子邮件
你可以通过将DMARC记录中的p=标签设置为 "拒绝",拒绝所有未通过认证的邮件,从而将你的失败模式配置为最大的执行力。
2.预定你的未经授权的电子邮件,以便以后审查
如果你不想直接丢弃这些邮件,可以在接收方的隔离箱中保留你未经授权的邮件。这可以通过设置你的p=标签为 "隔离"来实现。
3.什么都不做,让未经授权的电子邮件按原样送达
你可能不想对未能通过DMARC的邮件采取任何行动。在这种情况下,只需将你的p=标签设置为 "无"。
这些模式的主要要求是为域名所有者提供灵活性,以选择他们希望他们的收件人对可能是恶意的或来自未被特别提供授权的来源的电子邮件作出何种反应。这是阻止域名冒充的一个重要步骤。
第2步--用你选择的政策重新发布/出版你的记录
一旦你对你选择的策略模式感到满意,发布你的DMARC记录,这次要确保你填写 "p "参数。一旦你定义了这个参数,电子邮件接收服务器现在就可以解析你的记录,以接收关于对未经授权的邮件采取何种行动的指示。现在,你的域名的 "DMARC政策未启用 "错误应该得到解决。
你为什么要首先启用DMARC政策?
DMARC 是 "基于域的消息验证、报告和一致性"(Domain-based Message Authentication, Reporting, and Conformance)的缩写,是一种用于验证出站电子邮件的标准,以确保您的域受到充分保护,防止 BEC 和直接域欺骗企图。DMARC 的工作原理是对齐返回路径域(退回地址)、DKIM 签名域和发件人:域,以查找匹配项。这有助于验证发送源的真实性,阻止未经授权的发送源发送看似来自您的电子邮件。
公司域名是您的数字店面,负责您的数字身份。各种规模的组织都会利用电子邮件营销来扩大影响力和吸引客户。但是,如果您的域名被欺骗,攻击者向您的客户发送网络钓鱼电子邮件,这不仅会严重影响您的电子邮件营销活动,还会对您组织的声誉和信誉造成损害。这就是为什么采用 DMARC 对保护您的身份至关重要。
为了开始为你的域名实施DMARC。
- 打开你的DNS管理控制台
- 浏览到记录部分
- 发布你的DMARC记录,你可以使用我们免费的DMARC记录生成工具轻松生成,并指定一个DMARC策略来为你的域名启用该记录(该策略将指定接收MTA如何回应未能通过认证检查的邮件)。
- 你的DNS可能需要24-48小时来处理这些变化,然后你就完成了!
- 如果您在 48 小时后遇到 "未找到 DMARC 记录 "错误,请在为您的域配置DMARC 记录后,使用我们的免费 DMARC 记录查询工具验证记录的正确性
如何修复 "未启用DMARC隔离/拒绝策略"
当你收到 "未启用DMARC隔离/拒绝政策 "的警告时,或者有时只是 "未启用DMARC政策 "或 "无DMARC保护",这只是表明你的域被配置为 "无 "的DMARC政策,只允许监控。
如果你刚刚开始你的电子邮件认证之旅,并且你想监控你的域名和电子邮件流,以确保电子邮件的顺利发送,那么我们建议你一开始就采用无DMARC策略。然而,无策略对欺骗行为的保护为零,因此,你会经常遇到这样的提示。"DMARC政策未启用",这时你会被提醒,你的域名没有得到充分的保护,无法防止滥用和冒充。
为了解决这个问题,你需要做的就是修改你的DMARC记录中的策略机制(p),从p=none到p=reject/quarantine,从而转变为DMARC执行。如果你的DMARC记录以前是。
v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]。
你的优化的DMARC记录将是。
v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]。
或。 v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]。
修复 "DMARC政策未启用的Cloudflare "错误
如果你使用 Cloudflare作为你的DNS托管提供商,要摆脱这个错误,你必须访问你的Cloudflare DNS管理控制台,发布一个定义了策略参数的DMARC记录。使用自动工具来生成记录,以获得最佳效果。
- 登录到您的Cloudflare账户,查看您的DNS管理控制台
- 选择你的域名
- 从左侧的菜单栏,选择 "DNS"
- 在你的域名的DNS管理部分,点击 "添加记录"
使用我们的DMARC生成工具生成你的记录。这只需要几秒钟![生成后复制你的记录值] 。
注意:在创建你的DMARC记录时,确保你选择一个适当的政策模式。在你的记录中,p=字段不应该是空白。
- 在添加记录部分,设置类型为 "TXT",TTL为 "自动",名称为"_dmarc",并在值域粘贴工具生成的值。
- 保存更改
我修复了 "DMARC策略未启用",接下来怎么办?
在解决了 "DMARC 策略未启用 "的提示后,监控域应该是一个持续的过程,以确保 DMARC 的部署不会影响电子邮件的可送达性,反而会提高它。DMARC 报告可以帮助您获得所有电子邮件渠道的可见性,这样您就不会错过正在发生的事情。选择 DMARC 执行策略后,PowerDMARC 将帮助您在 DMARC 汇总报告中查看电子邮件验证结果,报告格式简单易读,任何人都能看懂。有了它,随着时间的推移,您的电子邮件送达率可能会提高 10%。
此外,您还需要确保 SPF 不会因 DNS 查询过多而中断。这会导致SPF 失效并影响电子邮件的发送。动态 SPF 是一种简便的解决方案,可使您始终处于 SPF 硬限制之下,并随时更新 ESP 所做的任何更改。
今天就注册我们的免费DMARC分析器,使你的DMARC部署过程尽可能的无缝。
网络安全专家,PowerDMARC 首席执行官PowerDMARC
Maitham 是一位技术企业家、网络安全专家、PowerDMARC 首席执行官兼创始人,拥有 15 年以上的行业经验。Maitham 拥有曼彻斯特大学全球工商管理硕士学位以及 CISSP、CISM、CRISC 和 ISC2 CCSP 等多项专业认证。
Maitham Al Lawati发表的最新文章(查看全部)
- 如何在 2025 年修复 "未找到 SPF 记录- 2025 年 1 月 21 日
- 如何阅读 DMARC 报告- 2025 年 1 月 19 日
- 什么是 MTA-STS?设置正确的 MTA STS 政策- 2025 年 1 月 15 日
