DMARC如果以正确的方式配置 DMARC 记录，您将在更多方面受益。它是电子邮件安全的一个新领域，可为域名所有者提供有关其电子邮件发送来源和性能的大量信息。DMARC 漏洞指的是用户在实施协议或执行协议时经常犯的错误。

你的电子邮件认证系统中的漏洞可能从简单的错误（如错误的语法）到更复杂的错误。无论哪种方式，除非你排除这些问题并正确设置你的协议，否则可能使你的电子邮件安全工作失效。 

在我们分析你在电子邮件认证过程中可能遇到的漏洞之前，让我们先快速浏览一下几个基本概念。它们是

1. 什么是电子邮件认证？
2. DMARC是如何认证你的电子邮件的？
3. DMARC漏洞对你的信息传递能力的影响

什么是电子邮件认证？

网络犯罪分子可以通过拦截电子邮件通信或使用社交工程来欺骗毫无戒心的受害者，从而获取经济利益。 

电子邮件认证是指域名所有者可以配置特定的验证系统，以确定从其域名发送的电子邮件的合法性。这可以通过放置在邮件正文中的数字签名、验证返回路径地址和/或标识符对齐来实现。 

一旦认证检查确认了邮件的合法性，该邮件就会被放入接收者的收件箱。 

DMARC是如何认证你的电子邮件的？

当一家公司向其用户发送邮件时，该邮件从发送服务器到接收服务器，以完成其可传递性旅程。这封电子邮件有一个邮件发件人：标题这是一个可见的标题，显示了该邮件的发送地址，还有一个Return-path标题是一个包含返回路径地址的隐藏头。

攻击者可以欺骗公司域名，从相同的域名中发送电子邮件，然而，他们要掩盖返回路径地址则要困难得多。 

让我们来看看这封可疑的电子邮件。

虽然与该邮件相关的电子邮件地址似乎来自[email protected]。感觉是真实的，但在检查返回路径地址时，可以很快确定该退件地址完全与 company.com而且是由一个未知的域名发出的。

此退回地址（又称返回路径地址）用于电子邮件接收服务器查找发件人的 SPF记录。如果发件人的 DNS 包含与所发邮件 IP 匹配的 IP 地址，SPF 和 DMARC 就会通过，否则就会失败。现在，根据发送域配置的DMARC 策略，邮件可能会被拒绝、隔离或递送。

另外，DMARC也可以检查 DKIM标识符的一致性来验证电子邮件的真实性。

DMARC漏洞对你的信息传递能力的影响

你的邮件被传递给你的客户的概率在很大程度上取决于你对协议的配置是否准确。你的组织的电子邮件安全状况中存在的漏洞会削弱你的邮件被送达的机会。 

你的DMARC认证系统存在漏洞的某些明显迹象如下。

• 电子邮件交付能力方面的问题
• 合法的邮件被标记为垃圾邮件 
• 使用在线工具时的DMARC错误提示 

DMARC漏洞的类型 

DMARC漏洞#1：DNS记录中的句法错误

DMARC 记录是一个 TXT 记录，其中的机制用分号分隔，指定了对电子邮件接收 MTA 的某些指示。下面是一个示例： 

v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100。

诸如机制分离器（；）这样的小细节在确定你的记录是否有效方面起着重要作用，因此，不能忽视。这就是为什么要消除猜测，我们建议你使用我们免费的 DMARC记录生成器工具来为你的域名创建一个准确的TXT记录。

DMARC漏洞#2：未找到DMARC记录/DMARC记录缺失漏洞

域名所有者在使用在线工具时可能经常遇到这样的信息，提示他们的域名缺少一条DMARC记录。如果你的DNS上没有发布有效的记录，就会出现这种情况。 

DMARC帮助你保护你的域名和组织免受广泛的攻击，包括网络钓鱼和直接域名欺骗。生活在一个数字世界中，威胁者试图拦截电子邮件通信的每一步，我们需要谨慎行事，实施预防措施来阻止这些攻击。DMARC有助于这一过程，以促进一个更安全的电子邮件环境。

我们有一篇详细的文章介绍了如何修复 没有发现DMARC记录漏洞，你可以通过点击链接来参考。

DMARC的漏洞#3。政策在无：仅监控

在用户中经常出现的一个误解是，一个p=none的DMARC政策就足以保护他们的域名免受攻击。实际上，只有一个强制的拒绝/隔离政策才能帮助你建立起对欺骗的防御。 

然而，如果你只想监控你的电子邮件渠道，而不实施保护，一个宽松的政策可能是富有成效的。然而，建议你一旦有信心，就迅速转变为p=reject。 

我们把这个问题放在DMARC漏洞类别下，是基于这样的标准：大多数用户实施DMARC是为了获得更高的保护，以防止攻击。因此，一个执行力为零的政策对他们来说是没有价值的。

DMARC漏洞4：未启用DMARC策略

与之前的漏洞类似，这个错误提示往往是由于缺乏DMARC的强制政策造成的。如果你用无策略设置了你的域名，使其容易受到网络钓鱼的攻击，建议尽快转变为p=拒绝/检疫的做法。要做到这一点，你只需要对你现有的DNS记录做一个小的调整，修改和升级你的策略模式。 

我们已经在一份详细的文件中介绍了如何解决 DMARC政策未启用错误，你可以通过点击链接查看。

实时排除DMARC漏洞的故障

为了解决这些问题，你可以考虑在你的组织中实施以下步骤。

1. 列出所有授权电子邮件发送源，并配置DMARC 监控工具，每天或不定期跟踪这些源
2. 与你的电子邮件供应商进行讨论，证实他们是否支持电子邮件认证做法
3. 在进入下一个步骤之前，详细了解SPF、DKIM和DMARC。
4. 确保您的 SPF 记录中没有 SPF Permerror通过使用SPF 扁平化工具
5. 通过注册一个免费的DMARC分析器，使您的协议实施过程与DMARC专家的专业见解和指导无缝对接。 免费的DMARC分析器.这可以帮助你通过实时漏洞和攻击检测安全地转向p=reject。

保护你的域名是保护你的声誉和维护你的信誉的最原始的步骤之一。今天就把电子邮件安全作为你安全态势的一部分吧!

• 关于
• 最新文章

Maitham Al Lawati

网络安全专家，PowerDMARC 首席执行官PowerDMARC

Maitham 是一位技术企业家、网络安全专家、PowerDMARC 首席执行官兼创始人，拥有 15 年以上的行业经验。Maitham 拥有曼彻斯特大学全球工商管理硕士学位以及 CISSP、CISM、CRISC 和 ISC2 CCSP 等多项专业认证。

Maitham Al Lawati发表的最新文章(查看全部)

• 什么是 DMARC 策略？无、隔离和拒绝- 2024 年 9 月 15 日
• 修复 SPF 错误克服 SPF DNS 查询次数过多限制- 2024 年 4 月 26 日
• 如何用三个步骤发布 DMARC 记录？- 2024 年 4 月 2 日