DMARC是一种通过验证传入邮件的真实性来帮助防止电子邮件欺诈和网络钓鱼攻击的协议。要配置DMARC,需要创建 DMARC 记录、选择策略、配置 SPF 和 DKIM、监控DMARC 报告并根据需要调整策略。DMARC 记录指定了处理验证检查失败的电子邮件的策略,策略可以设置为无、隔离或拒绝。 SPF和 DKIM应为您的域配置,以确保您的电子邮件通过 DMARC 检查。
定期监测DMARC报告,并根据需要调整政策,以改善电子邮件认证,保护你的域名免受欺诈和网络钓鱼攻击,这一点很重要。
什么是DMARC TXT记录?
DMARC是以TXT格式配置的,发布在你的DNS上。它通过检查发件人地址与发送域的报告所有者的地址来验证电子邮件的来源。收件人的服务器根据验证结果来处理收到的电子邮件。你可以将该记录设置为对未经授权的电子邮件不采取任何行动,将其隔离,或完全拒绝其进入邮箱。
一个已发布的DMARC记录也负责向所有者发送报告,其中包括从他们各自的域名看到的所有电子邮件的数据。
配置DMARC的步骤
要配置DMARC,你需要形成一个DMARC TXT记录,并在DNS上发布。如果你拥有一个自定义域名或部署在企业内部的Exchange服务器,你必须知道如何为所有从你的域名发出的外发邮件手动配置DMARC。这个过程中涉及的通常步骤是。
第1步:为你的域名确定有效的邮件来源
如果你已经实施了SPF,你一定知道这个演习。但是,你还需要考虑一些要点,以配置DMARC进行电子邮件认证。
- 查看哪些所有的IP地址被允许使用你的域名发送电子邮件。
- 检查5321.MailFrom和5322.From(域名)是否与第三方供应商代表你发送的所有邮件相匹配。
第2步:为你的域名设置SPF
一旦你列出了一个允许使用你的域名发送电子邮件的所有有效IP地址的清单,就要设置SPF,以避免以你公司的名义进行网络钓鱼和欺骗攻击。
第3步:为你的自定义域名设置DKIM(可选但建议)。
现在你已经设置了SPF,你需要 设置DKIM来配置DMARC记录。DKIM帮助你在电子邮件标题中添加数字签名。如果你不为你的域名重新设置DKIM配置,可能会出现DMARC失败,因为5321.MailFrom和5322.From地址之间会出现不匹配。
如果5321.MailFrom和5322.From地址不一样,DMARC也会对第三方供应商发送的邮件失效。你需要将你的域名特别与第三方发件人对齐,以避免DMARC失败。这样,收件人的服务器就不会把你的邮件标记为可疑,否则就会影响邮件的送达率。
第四步:为你的域名形成DMARC TXT记录
配置DMARC的下一步是创建你的DMARC TXT记录。 是以下列格式创建你的DMARC TXT记录。
_dmarc.domain TTL IN TXT "v=DMARC1; p=policy; pct=100"
在哪里?
- 领域是指 域,你必须对其实施DMARC。默认情况下,DMARC记录会屏蔽来自该域和所有子域的邮件。
- TTL必须相当于一个小时,这意味着你可以把它设置为小时(1小时)、分钟(60分钟)或秒(3600秒)。这将取决于你的域名注册商的偏好。
- pct 指定这些DMARC规则将被应用于100%的电子邮件。
- 政策表示你希望收件人的邮件服务器如何处理从你的域名发送的未经认证的电子邮件。你可以把它设置为无、隔离或拒绝。点击这里阅读更多关于 DMARC策略.
你可以使用我们免费的 DMARC记录生成器它可以自动生成记录,这样你就不必手动操作了。你所要做的就是设置一个策略(无、隔离或拒绝),并选择你的协议对齐模式。
在形成你的记录后,下一步是在你的域名注册商处更新它。
第5步:向DNS添加DMARC记录
进入你的DNS,选择你的域名。然后,点击 添加来创建一个新的DNS记录。还要确保,你没有添加多个记录。在列中输入TXT值并保存。不要忘记验证,并不时地使用 DNS TXT记录查询工具。它揭示了语法或配置错误,并很容易补救它们。
最后的话
了解如何配置DMARC有助于你远离钓鱼者和诈骗者,因为他们通过冒充发件人来利用电子邮件信息。为了实施DMARC协议,你需要创建一个TXT记录,添加到DNS中。这很容易使用免费工具生成,你必须选择政策、对齐模式,添加你想接收报告的电子邮件地址,然后将其添加到你的DNS。
- 如何为企业找到最佳 DMARC 解决方案提供商?- 2024 年 4 月 25 日
- PowerDMARC 与 Zendata 结成合作伙伴关系以增强域安全性- 2024 年 4 月 25 日
- PowerDMARC 与 CNS 合作推进中东地区的电子邮件安全实践- 2024 年 4 月 24 日