本文将详细解释什么是 DMARC 策略覆盖、它们如何工作、DMARC 策略覆盖和 DMARC 策略失败之间的区别,以及覆盖 DMARC 记录是否合法。
DMARC政策重写。解释一下
DMARC政策覆盖发生在接收电子邮件服务器覆盖了 覆盖记录。这发生在发件人已经指定他们希望他们的电子邮件在不符合接收邮件服务器的政策时被拒绝,但接收邮件服务器决定它不适合自己的一套政策。
例如,如果发件人指定了严格的策略(如 "p=拒绝所有无 SPF 或 DKIM 的邮件"),而收件人的电子邮件服务器采用了宽松或松散的策略(如 "接受所有无 SPF 或 DKIM 的邮件")。在这种情况下,收件服务器可能会用自己的本地策略覆盖发件人的DMARC 策略设置,并将邮件发送到收件人的收件箱,即使它未能通过 DMARC 检查。
了解DMARC政策覆盖机制
DMARC用于传达策略设置,电子邮件接收者可以用它来强制执行从你的域名发送的电子邮件。
例如,您可以使用 DMARC 的策略来告诉收件人的电子邮件服务器,如果从您的网域发送的电子邮件 SPF 或DKIM 检查失败,它应该怎么做(p=拒绝或 p=无或 p=隔离)。
这几乎概括了DMARC的力量,对吗?
但是,如果接收邮件的服务器有自己的一套本地策略来处理接收邮件呢?它是否会遵守发件人设置的DMARC政策,或者用自己的本地政策覆盖发件人的政策?
嗯...
DMARC规范要求邮件接收者做出真诚的努力,尊重域主公布的DMARC政策。因此,如果对发件人的SPF、DKIM和发件人头的测试失败,应该触发发件人的DMARC政策(p)中规定的内容,如隔离、拒绝或无。
现在我们假设,情况是这样的。
➜ 你的域名(mypersonaldomain.org)有DMARC策略(p=none)。
➜ 接收方(theirdomain.org)运行的电子邮件服务器会拒绝所有未通过SPF 检查的邮件。也就是说,如果发送到 (theirdomain.org) 的邮件没有通过 SPF 检查,就会被拒收。对吗?
但是...
如果你的域名(mypersonaldomain.org)的DMARC策略p=none的邮件被somedomain.org收到,并且没有通过SPF检查,会发生什么?
在这种情况下,接收邮件服务器(其配置方式)将取决于是否同意发件人设置的 DMARC 策略,或者在SPF 检查失败时使用本地策略中定义的 p=reject 规则覆盖发件人的策略,从而拒收电子邮件。
微软365就是一个实时的例子,因为它将所有p=拒绝的邮件送入用户的垃圾/垃圾邮件文件夹,而不是拒绝它。这是因为O365认为由收件人来做最终处置的决定是没有问题的。
DMARC政策覆盖的五个价值
转发的- 根据确定转发模式的本地算法,该邮件可能被转发。可以预计认证会失败。
本地政策(local_policy- 邮件接收者的本地策略使该邮件免于受到其域名所有者所要求的行动。例如,当请求的策略被设置为 "拒绝",但ARC检查通过,邮件接收者可以推翻这一决定,选择不拒绝一封邮件。
什么是ARC?
ARC代表的是 经过验证的接收链(ARC)。有了ARC,电子邮件的DKIM和SPF协议将不再被转发或邮件列表所破坏。这是因为ARC保存了电子邮件认证的结果,跨越了路由器、中介机构和其他系统("跳"),这些系统可能在邮件从互联网上的一个节点传到另一个节点时对其进行修改。 因此,如果存在ARC链,接收邮件的服务器可能会选择评估测试的结果,并做出例外处理,允许来自这些间接邮件流的合法邮件到达目的地。 |
mailing_list- 这封邮件是从一个邮件列表中发出的,所以过滤程序认为它可能不合法。
sampled_out - 由于DMARC 记录中设置了 "pct",因此该邮件不适用于该策略。
受信任的转发者- 证据表明,将该邮件与本地维护的受信任的转发者名单相联系,这就预示着失败。
其他- 一些政策包含清单中其他条目未涉及的例外情况。
DMARC政策覆盖。它是被允许的吗?
RFC 7489的第6节指出,邮件服务器应该按照发件人的政策来尊重和处理邮件。尽管覆盖是违反DMARC的精神的,但邮箱提供商保留覆盖任何发件人政策的权利。因此,是的,接收服务器用其本地政策覆盖DMARC政策是允许的。
这意味着,即使电子邮件服务器应该遵循的政策不这样说,但它仍然可以发送伪造的邮件。
你应该发送DMARC政策覆盖报告吗?
DMARC政策覆盖主要发生在以下情况。
- 接收者的启发式方法识别出一个未通过认证但可能是由授权来源发送的信息。
- 一个邮箱提供者有一封邮件 由于 邮件转发但他们对该邮件的合法性有足够的信心,他们可能会覆盖该政策,并无论如何都会交付该邮件。
尽管DMARC政策覆盖是允许的,但RFC 7489的第6和7.2节指出,当接收方选择偏离域名所有者公布的政策时,它必须向域名所有者报告这一事实以及这样做的原因(使用汇总反馈报告格式)。
如何允许DMARC政策重写?
DMARC由两部分组成。
DMARC 策略- 该策略由发送机构设置(与SPF 和 DKIM 一起在发送机构面向公众的 DNS 上设置),并规定接收方应如何处理不符合其策略的邮件。
DMARC 验证- 它由接收机构使用(在接收机构的电子邮件安全网关上),并根据该公司 DMARC 记录中列出的策略检查从特定机构收到的每封邮件。不过,接收组织也可以覆盖发送组织的 DMARC 政策执行。
设置一个 确立DMARC政策是一个 "要求,而不是义务":它本质上意味着你在 请求邮件服务器表明他们应该如何处理从你的域名发出的或冒充你的域名的电子邮件。
然而,电子邮件接收者在处理收到的电子邮件时不需要遵循一套严格的准则。他们可以就他们接受或拒绝的信息制定自己的政策,并相应地应用这些标准。
例如,如果电子邮件接收方认为邮件是有效的。因此,如果电子邮件未能通过DMARC 检查,接收方仍可应用其本地策略并将其发送到收件箱。此外,电子邮件接收方的策略可能会优先于域名所有者的策略。
接收机构如何能够覆盖我的DMARC政策?
其他组织可以通过他们自己的DMARC验证工具覆盖你的DMARC政策配置,并决定他们自己的一套政策,如何对传入的邮件采取行动。根据系统的不同,具有管理权限的用户可能能够覆盖所有的域或只覆盖某些域。
需要注意的是,DMARC政策是由域名所有者设置的,每个政策只适用于该组织的域名。因此,一个DMARC政策不能影响其他组织的地址或他们的信息。
DMARC政策失败与DMARC政策重写。有什么区别?
DMARC失败是指邮件服务器没有正确实施DMARC,导致接收方的SPF和DKIM验证失败。无法验证你的合法性会导致收件箱将你标记为垃圾邮件或拒绝你的邮件。在这里,接收邮件的服务器会尊重发件人的政策,不会用其本地政策覆盖上述政策。
当接收邮件的服务器不尊重发件人的政策时,就会发生DMARC政策的覆盖。相反,它用自己的本地策略覆盖了发件人的DMARC策略。这意味着,如果发件人的邮件有一个严格的政策,即p=reject,没有SPF或DKIM验证,接收邮件将覆盖该政策,并仍然将该邮件送到收件箱。
用PowerDMARC保持对DMARC政策覆盖的正确跟踪
保持最新的DMARC政策覆盖是防止电子邮件欺骗和冒充的关键部分。然而,大多数组织没有时间或资源来跟踪他们的DMARC政策覆盖。
您无法阻止 DMARC 策略覆盖,但您可以使用我们的DMARC 服务跟踪它们。我们将为您提供完整的报告,说明哪些组织推翻了您的策略模式,以及接收方允许来自哪些组织的哪些类型的邮件。这将有助于发件人跟踪并在发现欺骗或冒充时采取必要的措施。
报名参加我们的 免费DMARC试用并亲自测试!
- 雅虎日本将于 2025 年强制用户采用 DMARC- 2025 年 1 月 17 日
- MikroTik 僵尸网络利用 SPF 配置错误传播恶意软件- 2025 年 1 月 17 日
- 禁止发送 DMARC 未验证邮件 [解决]- 2025 年 1 月 14 日