岗位

在你的域名上有多条DMARC记录是完全不允许的,原因就在这里!我们知道,实施像DMARC这样的电子邮件认证协议对一个组织的声誉和数据安全至关重要,为了做到这一点,域名所有者需要在他们的DNS中发布一条TXT记录。但是,在社区中经常再次出现的一个问题是:" 我的域名上可以有多个DMARC记录吗?"答案是不能。同一域名上的多个DMARC记录会使你的记录无效,因此为你的域名设置的DMARC认证策略无法发挥作用。

DMARC记录是如何被MTA处理的?

在你的域名的DNS中发布的DMARC记录看起来是这样的。

TXT mydomain.com v=DMARC1; p=reject; rua=mailto:[email protected]

因此,当一个为其配置了DMARC的域名发送电子邮件时,接收电子邮件的MTA会获取所有以v=DMARC1开头的TXT记录。MTA查询发送域的DNS,可能会遇到以下情况。

  1. 它在源域的DNS中找到一条有效的DMARC记录,并根据DMARC政策规范处理该邮件。
  2. 它没有发现发送域的DMARC记录,并且DMARC处理自动停止,电子邮件在没有验证来源的情况下被送达。
  3. 它发现在同一个域上有多条DMARC记录,在这种情况下,DMARC处理也被中断,所应用的策略也不能被执行。

多个DMARC记录。如何解决这个问题?

当你为你的域名配置DMARC并设置一个策略时,你希望MTA以符合你意图的方式来回应你的邮件。这就是DMARC能够保护你的域名免受冒充和欺骗的方式。为了帮助配置的协议有效运作,我们建议采取以下步骤。

  • 确保你没有为你的域名发布多个DMARC记录
  • 确保你的DMARC记录不包含语法错误
  • 与其手动生成你的DMARC记录,不如使用可靠的工具,如我们的免费DMARC记录生成器来为你完成工作。
  • 为你的域名启用DMARC报告,不时监测你的邮件流和认证结果,这样你就可以跟踪交付问题并对恶意发送源采取行动
  • 确保你保持在SPF10查询限制之下,以避免出现错误的结果。

你可以采取几个步骤为你的域名正确实施DMARC,并避免多个DMARC记录,而另一个选择是简单地注册我们的DMARC分析器

PowerDMARC在后台处理大部分复杂的问题,使你的电子邮件验证过程自动化,并帮助你减少任何可能导致电子邮件交付能力问题的配置错误。

电子邮件认证是电子邮件提供商工作的一个重要方面。电子邮件认证也被称为SPF和DKIM,检查电子邮件提供商的身份。DMARC增加了验证电子邮件的过程,通过检查电子邮件是否从合法的域名发送,并向接收服务器指定如何回应未能通过认证检查的邮件。今天我们将讨论各种情况,以回答你关于DMARC失败的疑问。

DMARC是你的电子邮件认证政策中的一项关键活动,有助于防止伪造的 "欺骗 "电子邮件通过交易性垃圾邮件过滤器。但是,它只是整个反垃圾邮件计划的一个支柱,并非所有的DMARC报告都是一样的。有些报告会告诉你邮件接收者对每封邮件采取的确切行动,而其他报告只告诉你某封邮件是否成功。了解一封邮件失败的原因与了解它是否失败同样重要。下面的文章解释了邮件未能通过DMARC认证检查的原因。这些是最常见的原因(其中一些可以很容易地解决),这些原因可能导致邮件无法通过DMARC认证检查。

邮件可能无法通过DMARC的常见原因

识别DMARC失败的原因可能很复杂。然而,我将介绍一些典型的原因,以及导致这些原因的因素,这样,作为域名所有者的你就可以更及时地纠正这个问题。

DMARC对准失败

DMARC利用域名对齐来验证你的电子邮件。这意味着DMARC通过与隐藏的Return-path头(用于SPF)和DKIM签名头(用于DKIM)中提到的域进行匹配,来验证发件人地址(在可见的头中)中提到的域是否是真实的。如果两者匹配,则电子邮件通过DMARC,否则DMARC失败。

因此,如果你的邮件不能通过DMARC,这可能是一个域名错位的案例。也就是说,SPF和DKIM的标识符都没有对准,邮件看起来是从一个未经授权的来源发出的。然而,这只是DMARC失败的原因之一。

DMARC对准模式 

你的协议排列模式在你的信息通过或不通过DMARC方面也起着巨大的作用。你可以为SPF认证选择以下排列模式。

  • 放松:这表示如果Return-path头中的域和From头中的域只是简单的组织匹配,即使这样,SPF也会通过。
  • 严格的。这表示只有当Return-path头中的域和From头中的域完全匹配时,SPF才会通过。

你可以为DKIM认证选择以下排列模式。

  • 放松:这表示如果DKIM签名中的域和发件人头中的域只是简单的组织匹配,即使这样DKIM也会通过。
  • 严格的。这表示只有当DKIM签名中的域和发件人中的域完全匹配时,才会通过DKIM。

请注意,要使电子邮件通过DMARC认证,SPF或DKIM都需要对齐。  

没有设置你的DKIM签名 

一个很常见的情况是,你的DMARC可能会失败,因为你没有为你的域名指定一个DKIM签名。在这种情况下,你的邮件交换服务商会给你的出站邮件分配一个默认的DKIM签名,而这个签名并不与你的发件人标题中的域名一致。接收的MTA无法对准这两个域,因此,你的邮件的DKIM和DMARC失败了(如果你的邮件同时对准了SPF和DKIM)。

未在您的DNS中添加发送源 

值得注意的是,当你为你的域名设置DMARC时,接收的MTA会执行DNS查询来授权你的发送源。这意味着,除非你在域名的DNS中列出所有授权的发送源,否则对于那些没有列出的发送源,你的邮件将无法通过DMARC,因为接收方无法在你的DNS中找到它们。因此,为了确保你的合法邮件总是被送达,请确保在你的DNS中列出所有授权的第三方电子邮件供应商,他们被授权代表你的域名发送邮件。

在电子邮件转发的情况下

电子邮件转发过程中,电子邮件在最终被送到接收服务器之前会经过一个中间服务器。在邮件转发过程中,由于中间服务器的IP地址与发送服务器的IP地址不一致,所以SPF检查失败,而这个新的IP地址通常不包括在原服务器的SPF记录中。相反,转发邮件通常不会影响DKIM邮件认证,除非中介服务器或转发实体对邮件内容进行了某些改动。

我们知道,在电子邮件转发过程中,SPF不可避免地会失效,如果发送源是DKIM中立的,而仅仅依靠SPF进行验证,那么在DMARC认证过程中,转发的电子邮件将被视为非法的。为了解决这个问题,你应该立即在你的组织中选择完全符合DMARC的标准,根据SPF和DKIM来调整和验证所有发出的邮件,因为要通过DMARC验证,邮件需要通过SPF或DKIM验证和调整。

你的域名被欺骗了

如果你为你的域名正确配置了DMARC、SPF和DKIM协议,你的策略处于执行状态,并且有有效的无误记录,而且问题不是上述两种情况,那么你的邮件无法通过DMARC的最可能的原因是你的域名被欺骗或伪造。这是指冒名顶替者和威胁者试图使用一个恶意的IP地址来发送看似来自你的域名的邮件。

最近的电子邮件欺诈统计得出的结论是,电子邮件欺骗案件在最近一段时间呈上升趋势,对你的组织的声誉是一个非常大的威胁。在这种情况下,如果你在拒绝策略上实施了DMARC,它就会失败,被欺骗的邮件就不会被送到收件人的收件箱。因此,域名欺骗可能是大多数情况下DMARC失败的答案。

我们建议你注册我们的免费DMARC分析器,开始你的DMARC报告和监测之旅。

  • 有了无政策,你可以通过DMARC(RUA)汇总报告来监控你的域名,并密切关注你的入站和出站邮件,这将有助于你应对任何不需要的交付问题。
  • 之后,我们会帮助你转向一个强制的政策,最终帮助你获得对域名欺骗和网络钓鱼攻击的免疫力。
  • 在我们的威胁情报引擎的帮助下,你可以记下恶意的IP地址,并直接从PowerDMARC平台上报告,以规避未来的冒名攻击
  • PowerDMARC的DMARC(RUF)取证报告帮助你获得有关你的电子邮件未能通过DMARC的案例的详细信息,以便你能找到问题的根源并加以解决。

防止域名欺骗,用PowerDMARC监控你的邮件流,今天就开始吧!