随着新行业规定的出台,DMARC 在行业中的采用率正在缓慢(但稳步)上升。到 2021 年,DMARC 记录和策略的采用率将增长高达 到 2021 年增加了 84并且自那时起一直在稳步上升。这表明企业终于认识到了 DMARC 在信息安全领域的重要性。
要配置 DMARC,需要创建 DMARC 记录。创建的 DMARC 记录是一个 TXT 记录,然后会发布到您的 DNS 上。这将启动电子邮件验证流程。通过设置 DMARC 记录,域名所有者可以指示收件人如何回应从未经授权或非法来源发送的电子邮件。
DMARC记录的解释
DMARC记录包含的信息有:域名处理认证失败的策略(拒绝、隔离或无),接收电子邮件认证结果反馈的报告电子邮件地址,以及可选的附加说明。
DMARC(基于域的消息验证、报告和一致性)有助于防止电子邮件欺骗和网络钓鱼。通过为电子邮件接收者提供区分合法电子邮件和欺诈电子邮件的方法,有助于防止电子邮件欺骗和网络钓鱼,从而降低电子邮件诈骗和攻击的风险。
为什么需要添加 DMARC 记录?
企业需要添加 DMARC 记录,以保护其域名和电子邮件免受各种形式的电子邮件攻击、假冒和欺诈。
下面是一些关键的原因,为什么你可能想添加一个DMARC记录:
- 电子邮件认证:DMARC有助于验证从你的域名发送的电子邮件的真实性。
- 防范网络钓鱼:网络钓鱼攻击往往涉及假冒知名品牌或组织。通过设置DMARC,你可以防止网络犯罪分子使用你的域名向不知情的收件人发送欺诈性电子邮件。
- 电子邮件的可传递性:DMARC记录有助于提高来自你的域名的合法电子邮件的可送达性,因为接收者可以自信地识别合法的电子邮件,避免将它们标记为垃圾邮件。
- 报告和可见性:DMARC还包括报告机制,提供对电子邮件生态系统和潜在滥用你的域名的宝贵见解。
- 符合谷歌和雅虎的要求:谷歌和雅虎现在 要求批量电子邮件发送者实施 DMARC。不遵守规定将导致可送达性问题。
- 符合 PCI-DSS v4 要求: 第 4 版 PCI-DSS将要求处理敏感金融数据的信用卡公司从 2025 年 3 月起实施 DMARC。
添加 DMARC 记录以增强安全性的 6 大理由
DMARC 记录在企业的安全态势中起着举足轻重的作用。如上所述,DMARC 可以防止各种基于电子邮件的攻击,这比以往任何时候都更加重要:
- 联邦贸易委员会报告称,电子邮件是网络攻击的主要媒介
- 2021 年,网络钓鱼攻击造成的损失超过 4000 万美元
- 谷歌每天拦截一亿封网络钓鱼邮件
- 联邦调查局的 IC3 报告概述了商业电子邮件失密在 2022 年使企业损失 103 亿美元的情况
如何创建一个DMARC记录?
要为你的域名创建一个DMARC DNS记录,请确保你有--a)一个可靠的工具来生成该记录,b)可以访问你的DNS管理控制台来发布该记录。按照下面的步骤进行:
1.使用 DMARC 记录生成工具
注册使用电子邮件地址访问我们的门户网站,或使用 电子邮件/办公室 365.转到分析工具 > 工具箱 > DMARC 记录生成器,开始创建 DMARC 记录。
3.为 DMARC 记录定义 DMARC 策略
决定 DMARC 策略根据您所需的执行级别(无、隔离或拒绝)来决定 DMARC 策略。以下是选择 DMARC 记录策略的方法:
- 如果您不希望对从您的域名发送的未经请求的电子邮件采取任何行动,请选择 "无"。
- 如果要隔离 DMARC 失败的电子邮件,请选择 "隔离"。
- 如果要拒绝或丢弃未通过身份验证的电子邮件,这样可以最大限度地减少欺骗和网络钓鱼攻击,请选择 "拒绝"。
3.配置推荐的 DMARC 记录可选字段
虽然并非所有字段都是必填字段,但我们建议您在 DMARC 记录中配置几个有用的可选字段。让我们来了解一下它们是什么:
- 汇总 (rua) 报告字段:如果配置了 rua 字段,您将直接收到电子邮件地址上的 DMARC 验证数据。
- Florence (ruf) 报告字段:通过在 DMARC 记录中配置 ruf 字段,深入了解网络攻击等取证事件。
- DKIM/SPF 对齐模式 "选择 SPF 和/或 DKIM 是选择宽松对齐还是严格对齐。
如何发布DMARC记录?
要发布 DMARC 记录,有几个先决条件:
- 您需要访问 DNS 管理控制台
- 您需要拥有为域名编辑和添加新 DNS 记录的权限
第1步:访问你的DNS管理控制台
以下是 cPanel DNS 管理控制台的示例,但具体步骤因 DNS 托管服务提供商(如 Cloudflare、Godaddy、Bluehost、Amazon SES 等)而异。
第2步:单击 "DNS区域编辑器
在域名部分,点击DNS区域编辑器或高级区域编辑器
第3步:添加一个TXT类型的记录
添加类型为TXT(tex)的DMARC记录,填写详细信息,如下所示。在 "TXT数据 "或 "值 "字段,你需要粘贴你先前创建的DMARC记录。
注意: 步骤可能因 DNS 托管服务提供商而异。
如何验证您的 DMARC 记录?
要验证 DMARC 记录,您可以使用我们的免费验证工具。
1.免费注册并导航至分析工具 > 工具箱 > DMARC 记录检查器
2.查看 DMARC 记录状态、语法和标记,找出可能存在的错误
DMARC 记录状态类型
| 状况 | 其含义 | 您能做些什么 |
|---|---|---|
| 有效 | 您的 DMARC 记录正确无误 | 什么也不做 |
| 无效 | 您的 DMARC 记录有错误。这可能是由于语法不完整或错误造成的。 | 查看语法,参考我们的 DMARC 标签完整指南,或联系我们寻求专家帮助。 |
| 未找到记录 | 您的 DNS 中没有 DMARC 记录。 | 为您的域名创建 DMARC 记录,并在 DNS 上发布。 |
一旦检测到记录中的错误,必须对 DNS 进行必要的更改并保存更改。更改处理完毕后,您可以重新检查记录。
DMARC 记录示例
示例 1:仅包含必填字段的典型无差错 DMARC 记录:
v=DMARC1; p=none;
生成的记录现在要发布在你的域名的DNS中的子域上。_dmarc.YOURDOMAIN.com
示例 2:采用无策略的典型无差错 DMARC 记录如下所示:
v=DMARC1; p=none; rua=mailto:example@domain.com; ruf=mailto:example@domain.com; fo=1;
示例 3:带有隔离策略的典型无差错 DMARC 记录如下所示:
v=DMARC1; p=quarantine; rua=mailto:example@domain.com; ruf=mailto:example@domain.com; fo=1;
示例 4:带有拒绝策略的典型无差错 DMARC 记录如下所示:
v=DMARC1; p=reject; rua=mailto:example@domain.com; ruf=mailto:example@domain.com; fo=1;
DMARC记录已发布:下一步是什么?
在你完成发布你的DMARC记录后,你的下一步应该是专注于保护你的域名免受骗子和冒名顶替者的侵害。这是你在实施安全协议和电子邮件认证服务时的主要议程。
简单地发布一个带有p=none策略的DMARC记录并不能提供任何保护,以防止域名欺骗攻击和电子邮件欺诈。为此,你需要转变为 DMARC执行.
用PowerDMARC执行DMARC
为了获得对冒名顶替攻击的免疫力,同时确保你的电子邮件交付能力在执行时不会受到影响,你需要做的是:
- 注册与PowerDMARC注册并启用 DMARC报告为您的域名提供报告
- 每天获得关于电子邮件认证结果的DMARC RUA报告,有一系列的查看选项,便于理解。
- 每当电子邮件认证失败时,在仪表板上获得取证报告更新
- 保持在SPF的硬限制之下,以确保你的SPF记录永不失效
有了DMARC汇总和取证报告,对于域名所有者来说,从监控到执行变成了小菜一碟,因为你可以从PowerDMARC平台上直观地监控你的邮件流,跟踪并即时响应可传递性问题。今天就注册获取您的免费 DMARC分析器试用!
- 修复 SPF 错误克服 SPF DNS 查询次数过多限制- 2024 年 4 月 26 日
- 如何用三个步骤发布 DMARC 记录?- 2024 年 4 月 2 日
- DMARC 为什么会失败?在 2024 年修复 DMARC 故障- 2024 年 4 月 2 日