随着网络钓鱼和基于电子邮件的攻击日益流行,您必须配置 DMARC 设置,以巩固您的防御,抵御即将到来的网络攻击。设置 DMARC(基于域的消息验证报告和一致性)协议是您获得电子邮件合规性的第一步。实现这一目标的最快方法是创建 DNS 记录,并在托管服务提供商的帮助下将其发布。
配置 DMARC,首先需要创建 DMARC 记录。虽然听起来很复杂,但 DMARC 的设置过程相对简单!
DMARC 设置说明
DMARC 设置是一种电子邮件验证程序,可帮助企业打击电子邮件欺骗、网络钓鱼和电子邮件欺诈。为了验证电子邮件通信的真实性,DMARC 设置与 SPF(发件人策略框架)和 DKIM(域键识别邮件)等其他电子邮件验证系统协同工作。
为什么要配置 DMARC?
90% 的网络钓鱼攻击以电子邮件为载体,因此电子邮件验证必不可少。联邦调查局 2020 年互联网犯罪投诉中心(FBI IC3 报告联邦调查局 IC3 报告 2020)报告称,美国收到了 28,500 起关于电子邮件攻击的投诉。这立即将 DMARC 推到了风口浪尖。
你知道吗?
- 2020 年,全球 75% 的组织域名被欺骗,用于发送网络钓鱼电子邮件 网络钓鱼电子邮件给受害者
- 其中74%的网络钓鱼活动是成功的
- 自去年以来,BEC的频率增加了15%。
- IBM报告称,去年每5家公司中就有一家经历了由恶意邮件引起的数据泄露事件
检查您的域名现在就检查您的域名,看看您对电子邮件欺诈的防范程度!
DMARC 设置要求
如果您设置了 DMARC 记录并决定使用它,那么在开始实施之前,您需要具备一些先决条件。
- 你需要访问你的DNS管理控制台
- 确保你认识到你所有的授权电子邮件发送者
- 在 DNS 中发布 SPF 和/或 DKIM 记录
DMARC 设置的基本要素:SPF 和 DKIM 对齐
要配置您的 DMARC 策略 设置,需要实施发件人策略框架 (SPF) 或域密识别邮件 (DKIM),或两者兼而有之。
SPF告诉邮件服务器哪些 IP 地址或发送源可以从您的域名向外发送邮件。 DKIM为外发邮件添加数字签名,防止邮件被篡改。这可以防止垃圾邮件和欺诈邮件通过冒充您的品牌进行网络钓鱼诈骗而到达您的电子邮件客户端。
您可以对域对齐进行配置,以通过与 From: 域的 SPF 和 DKIM 标头字段的部分匹配,也可以选择精确匹配来进行更严格的验证。
如何设置 DMARC? 分步指南
要启动 DMARC DNS 设置,请按照以下步骤进行设置:
步骤 1:创建 DMARC 记录
首先要创建 DNS 记录,以定义策略并确定实施。
要创建免费记录,请使用我们的 DMARC 生成器工具。打开工具屏幕后,您需要填写一些必填条件。
第 2 步:为电子邮件选择合适的 DMARC 策略
p= 策略标记是 DMARC 设置中必须配置的标记。如果跳过此标记,您的记录将无效。
p= 策略标记是 DMARC 设置中必须配置的标记。如果跳过此标记,您的记录将无效。
要防止电子邮件被欺骗,您需要配置一个 DMARC 策略p=quarantine 或更高。不过,如果您希望在完全执行之前监控您的电子邮件,也可以选择 "无 "策略。
第 3 步:启用报告功能并点击 "生成
不过,如果您想为 DKIM 和 SPF 设置对齐灵活性或启用DMARC 报告,则可以这样做。RUA 和 RUF 报告可帮助您跟踪邮件流和身份验证结果,快速发现不一致之处。
最后,点击 "生成 "按钮,完成 DMARC 设置并完成创建记录的过程。
步骤 4:发布和验证记录设置
创建 TXT 记录完成后,使用 "复制 "按钮直接复制语法,然后前往 DNS 管理控制台。将记录粘贴到 DNS 上,完成 DMARC 设置。
阅读我们的详细指南,了解如何发布 DMARC 记录了解更多信息。
DMARC 设置示例
下面是一个典型的 DMARC 设置示例:
v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:mymail@domain.com; ruf=mailto:mymail@domain.com; pct=100; fo=0;
注意:在开始进行电子邮件身份验证时,可以将 DMARC 策略 (p) 设置为 "无",而不是 "拒绝",以便在转向严格策略之前监控电子邮件流并解决问题。
揭开记录语法的神秘面纱
DMARC 设置的语法是实施过程中最重要的部分,因为它决定了如何验证电子邮件以及验证后将采取的行动。让我们来探讨一些主要机制:
- v "字段决定 DMARC 的协议版本,即 DMARC1
- p "字段是强制性 DMARC 策略字段,可设置为无/拒绝/隔离策略
- rua "汇总反馈和 "ruf "取证报告字段是 DMARC 报告选项,可帮助接收 ESP 就发送给收件人的电子邮件提供反馈,这些反馈将发送到您定义的电子邮件地址或专用邮箱中
这只是其中的几个例子,您可以在我们有关 DMARC 标记的详细博客中了解更多信息。
验证 DMARC 记录设置
设置 DMARC 后,您必须验证您的配置,以确保协议按照您的需求运行。如果没有适当的检查和监控,验证电子邮件可能会变得非常困难,导致误报或失败,影响邮件发送性能。
要验证您的设置,可以免费使用 PowerDMARC 的 DMARC 检查工具。这是一个即时有效的工具,用于验证您的 DNS TXT 记录,它不仅能显示记录的有效性状态,还能突出显示错误并提出改进建议,以尽快实现合规性!
使用方法
- 在目标框中输入您的域名(例如,如果您的网站 URL 是 https://company.com您的域名将是 company.com)
- 点击 "查找 "按钮
- 查看屏幕上显示的结果
我们建议使用这种验证方法,以替代人工验证,获得更快、更准确、更省心的体验。
您可以在没有 DKIM 或 SPF 的情况下设置 DMARC 吗?
不需要。您需要配置两者之一,以确保您的电子邮件经过验证。您可以选择同时设置这两项,这是实现最高安全性的推荐方法,但这完全是可选的。
我们在知识库中深入介绍了这两种方法。
DMARC 设置的好处和用途
在以下情况下,DMARC的设置可能是有用的。
- 确保只有授权的发件人才能代表您的电子邮件域发送电子邮件
- 为了防止电子邮件网络钓鱼和直接域名欺骗攻击
- 查看代表您发送电子邮件的 IP 地址或来源
- 为了防止垃圾邮件到达你的收件人手中
- 提高合法电子邮件流量的可送达性
DMARC 的最佳设置是什么?
如果想最大限度地防止基于电子邮件的攻击,最好的 DMARC 设置是 p=拒绝(其中 p 是用于指定记录策略的机制)。合适的 DMARC 设置取决于您希望执行的程度(您希望接收方如何严格处理 DMARC 失败的电子邮件)。
如果只用于监控,可以用 "无 "策略设置 DMARC,而如果想在丢弃或接受未经授权的电子邮件之前审查隔离区或垃圾邮件文件夹中的邮件,则可以配置 "隔离 "策略。
利用DMARC来防止域名欺骗
请注意,如果您想配置 DMARC 以阻止您的域名被欺骗,并防止网络钓鱼和 BEC 攻击,我们建议您在生成 DMARC 记录时选择以下标准:
将 DMARC 策略设置为 p= 拒绝
这意味着什么呢?
当您通过选择 "拒绝 "DMARC 设置在您的组织中配置 DMARC 执行时,这意味着只要从您的网域发送的电子邮件未通过 DMARC 验证,接收电子邮件的服务器就会立即拒绝该恶意电子邮件,而不是将其发送到电子邮件接收者的收件箱中。
如何关闭 DMARC?
重要的是要记住,不建议或不鼓励关闭域名的电子邮件验证,因为这会使您的域名容易受到各种网络攻击,并为网络犯罪分子冒充您的域名提供了开放的途径。考虑到这一点,如果您仍想禁用该协议,可以按照以下步骤操作:
- 访问 DNS 注册商的管理控制台
- 导航至高级 DNS 编辑器,编辑 DNS 设置
- 找到要禁用 DMARC 的域
- 删除 DMARC TXT 记录
- 保存更改并等待一段时间以反映更改内容
如果无法访问控制台,也可以联系域名注册商帮助删除记录。
删除 DMARC 的 DNS 条目将自动禁用特定域的协议。但是,如果您有多个启用了 DMARC 的域,则需要手动删除上述域的 DNS 条目,以便为您的组织禁用它们。
使用 PowerDMARC 轻松设置 DMARC
当您 创建账户时 时,我们将为您处理协议的实施和设置。我们还会管理和监控您的域名和电子邮件的健康状况,解析您的汇总报告,并在专用仪表板上整理您的验证结果。
如果您不想经历手动设置的麻烦,您可以通过我们提供的 15 天免费试用来自动完成这一过程。要享受电子邮件验证的好处,并以有效保护您的域名的方式设置 DMARC,请注册使用 DMARC 分析器注册!
- 修复 SPF 错误克服 SPF DNS 查询次数过多限制- 2024 年 4 月 26 日
- 如何用三个步骤发布 DMARC 记录?- 2024 年 4 月 2 日
- DMARC 为什么会失败?在 2024 年修复 DMARC 故障- 2024 年 4 月 2 日