DMARC "t=" 标签取代 DMARCbis 中的 "pct
作者:
阅读时间 4 分钟
在不断发展的电子邮件安全领域,DMARC(基于域的消息验证、报告和一致性)一直是域名所有者保护其电子邮件域免遭滥用和网络钓鱼的重要工具。
随着时间的推移,该协议经历了多次更新,其中一次可预见的变化可能是IETF在其 DMARCbis 技术草案中报告的用 "t "标记取代 "pct "标记。
本文将探讨这一修改背后的原因及其对电子邮件安全的影响。
注:请勿根据本文采取任何行动。IETF 文件仍处于草案阶段,未来可能会有变动。
主要收获
- DMARC 对于保护电子邮件域免遭网络钓鱼和滥用至关重要。
- pct" 标签允许逐步执行 DMARC 政策,但在操作上面临挑战。
- 引入 "t "标记的目的是简化DMARC 政策的实施和管理。
- t=y "设置表示域正在测试其DMARC 策略,但不强制执行。
- DMARC 协议仍处于草案阶段,因此应密切关注其变化。
pct" 标签
RFC7489 中记录的 DMARC 协议早期版本引入了 "pct "标记。该标记允许域名所有者指定受更严格 DMARC 政策约束的邮件百分比,例如从 "无 "到 "隔离"。 无 "改为 "隔离或 隔离 "到 "拒绝"。这样做的目的是提供一个逐步过渡的过程,让域名所有者能够轻松地采用更严格的电子邮件政策。
利用 PowerDMARC 简化安全性!
带有 "pct "标记的挑战
然而,操作经验表明,"pct "标签带来了各种挑战。除了当值为 "0 "或 "100"(默认值)时,它经常被不准确地应用。
默认值 "100 "不需要邮件接收方进行特殊处理,因此许多人都会直接选择该值。另一方面,"pct "值为 "0 "则与偏离标准处理有关,主要是由中间商和邮箱提供商改写 RFC5322 From 标头,以避免 DMARC 在下游失败。
自定义操作和宝贵见解
奇怪的是,这种无意中使用 "pct=0 "的做法对电子邮件社区很有价值。当中间商用 "pct=0 "重写标头时,域名所有者就可以深入了解有多少电子邮件流量是通过没有更改 RFC5322 的中间商传输的。虽然这种比较需要付出努力,但对域名所有者来说却是一个重要的信息来源。
域名所有者在了解了由于 RFC5322 的缺失而导致中间人重写邮件头可能导致DMARC 失败的邮件数量后,就可以做出明智的决定。他们可以评估自己对 DMARC 失败的容忍度,并决定是否从 "p=无 "过渡到 "p=隔离 "或 "p=拒绝"。
介绍 "t "标签
认识到 "pct=0 "对域名所有者的价值,在 DMARC 协议中保留这一功能是合理的。但是,保留一个只有两个有效值的名为 "pct "的标记已经毫无意义。为了解决这个问题,最新版本的 DMARC 协议可能会引入代表 "测试 "的 "t "标签。t "标签有两个有效值:y "和 "n"。
有关详细信息,请参阅DMARC IETF官方草案。
t "标记与 "pct "标记的比较
t "标记在邮箱提供商和中间商的应用中将分别类似于 "pct "标记值 "0 "和 "100"。下面是它们的比较:
- "t=y "等同于 "pct=0":标记为 "t=y "的报文意味着域名所有者目前正处于政策推广的测试阶段,执行检查的接收者不会应用该政策。
- "t=n "相当于 "pct=100":标记为 "t=n "的报文将遵守默认的 DMARC 策略,类似于之前的 "pct=100 "设置。
阅读DMARC IETF 官方草案中有关 t= 标记的更多信息。
t" 标签的含义
总的来说,引入 "t "标记可以简化 DMARC 策略的处理。虽然这最初看起来只是一个小改动,但它也简化了DMARC策略的设置和实施。新标签可能有助于确保更准确地应用策略,解决以前存在的问题。
总结
所提供的信息基于一份尚未确认或实施的文件草案。DMARC 协议的当前版本仍在积极使用和支持 DMARC "pct "标记。本文仅代表我们的观点,未经 IETF 正式确认,不得据此采取任何行动。
域名和电子邮件安全专家PowerDMARC
Yunes 是 PowerDMARC 的运营团队负责人,拥有电子邮件验证和安全方面的专业知识。Yunes 是微软认证的 Azure 管理员助理,并获得了 CompTIA A+ 等认证。
Yunes Tarada 的最新帖子(查看全部)
- 电子邮件加盐攻击:隐藏文本如何绕过安全性- 2025 年 2 月 26 日
- SPF 扁平化:它是什么,为什么需要它?- 2025 年 2 月 26 日
- DMARC 与 DKIM:主要区别及如何协同工作- 2025 年 2 月 16 日
