2022年你应该遵循的十大DMARC规则
如果你对电子邮件认证和 识别器,从今天开始,你需要遵循一些DMARC规则,这些规则可以证明是你的电子邮件认证旅程中的一个改变者。总结一下几个最基本的规则。
1.不要使用不允许认证的策略
4.也要为你的域名设置SPF记录
5.为你的域名设置DKIM签名
现在让我们深入探讨一下这些DMARC规则以及其他规则,以帮助你加强你的整体认证基础设施。
我们都听说过DMARC,但它是什么?
DMARC 是 "基于域的消息验证、报告和一致性"(Domain-based Message Authentication, Reporting & Conformance)的缩写。它是一种电子邮件安全协议,有助于确保您的电子邮件在发送前经过验证,以最大限度地减少域名伪造。创建该协议的目的是通过验证电子邮件发件人的身份,防止网络钓鱼攻击和其他电子邮件攻击。
你如何使用DMARC?
这很简单!首先,你设置你的域名的DNS记录,表明你想使用DMARC。然后,如果有人试图从你的域名发送电子邮件而不使用DMARC,他们将无法发送,除非他们有一个与他们的域名相关的公钥--这只有在他们被授权的情况下才可能。这确保了只有合法的邮件才能到达收件人的收件箱,同时也允许人们对来自他们网络之外的邮件设置通知。
该过程的工作原理如下。
- 发件人设置了一个 DMARC记录并在他们的DNS记录中启用DKIM签名(可选,但推荐)。
- 当一封电子邮件从该域名发出时,它包含一个标头,其中有关于使用了什么设置以及这些设置是什么的信息。Gmail等接收方可以利用这个头来检查邮件是否按照预期的格式发送。
- 如果这些设置有任何问题,那么它将被标记为失败或软失败,这取决于这是否是代表发件人的故意行为;如果是这样,那么他们可能会选择完全忽略它,直到他们修复了导致它的原因。
我们喜欢DMARC的一点是,它的设置非常简单--只需几个步骤就可以完成。
企业的DMARC规则101
当你在设置一个 时,你应该遵循一些规则。的时候,有一些规则你应该遵循。这里列出了最重要的5条DMARC规则。
- 该策略必须是一个TXT记录,而且必须在你的DNS上发布。如果你的DNS中没有一个TXT记录,你就没有实施该协议。
- 如果你想阻止未经认证的邮件,政策应该是p=reject或p=quarantine。
- 如果你使用多个策略,并为每个策略设置不同的认证级别(比如 "我的品牌 "和 "我的组织"),请确保它们都有独特的SPF记录和DKIM签名!否则,它们都会被归入一个规则,无法很好地同步。否则,它们都会被归入一个规则,不能很好地同步。
- DMARC 还要求您为域名设置 SPF 和/或 DKIM 记录。即使您不想使用 DMARC,这条规则也是强制性的,因为它有助于防止欺骗攻击,即攻击者可以使用他人的电子邮件地址或域名发送看似合法但实际上并非来自授权来源的网络钓鱼电子邮件。
- 另一项重要的 DMARC 规则要求您发布包含您的电子邮件地址的DMARC 记录,以便其他组织可以使用该系统报告与您的电子邮件相关的任何问题。这些被称为DMARC 报告。
用于加强保护的额外DMARC规则
- 考虑为您的停放域(不活动域)设置DMARC 策略,因为即使是这些域也可能被攻击者欺骗,从而成功假冒您的品牌。
- 严格不鼓励为同一个域名设置多个 SPF 或 DMARC 记录。一个域应该只包含一个 SPF 和 DMARC 记录。然而,你可以选择为同一个域配置一个以上的 DKIM 记录,以实现定期的密钥轮换,从而获得更好的保护。
- 你可以跳过为你的子域设置策略,除非你想为它们实施不同的执行模式。这是因为主域的DMARC策略会自动被子域所继承。
- 如果你想接收你域外的DMARC报告(在不属于你自己域范围的外部电子邮件地址上),你需要启用外部域验证,以告诉服务器外部域同意接收这些报告。
- 最后,需要注意的是,DMARC不是银弹,不能保护你免受所有攻击。你确实需要有一个可靠的杀毒软件和防火墙,以及DMARC来提高你的安全性。
你应该在认证过程的哪个阶段实施这些DMARC规则?
如果你刚刚开始,你不需要在认证过程的一开始就遵守上述所有的DMARC规则。例如,一开始就使用p=reject策略,可能会导致递送的复杂性。相反,建议你在承诺执行之前,先用一个无政策来监控你的电子邮件渠道。
这里的问题可能变得有点复杂。关键是你要确定一个最适合你和你的企业的步伐。慢慢开始,为你的协议实施宽松的政策,这样你就可以完全控制它们,直到你准备好选择执行。
- 网络安全 101 - 最佳实践与解决方案- 2023 年 11 月 29 日
- 什么是电子邮件加密,它有哪些类型? - 十一月 29, 2023
- DMARC 黑色星期五:在这个假日季节加固您的电子邮件- 2023 年 11 月 23 日
