标签存档:: DMARC 检疫政策

如何修复2023年的 "DMARC策略未启用"?

在DNS反向查询过程中返回的 "DMARC策略未启用 "错误表明您的域名的DMARC记录没有定义的策略。在存在这个错误的情况下,你的域名没有得到保护,无法抵御欺骗和冒充威胁。

通过这篇文章,我们将带领你完成配置DMARC所需的各个步骤,并为你的域名设置正确的策略,这样你就不会再遇到 "DMARC策略未启用 "的提示了!

第1步:为你的DMARC记录定义一个策略

为了解决 "DMARC策略未启用 "的错误,我们需要了解这样的策略是什么,以及我们可以为我们的DMARC认证系统配置哪些不同的类型。

1.拒绝未经授权的电子邮件 

你可以通过将DMARC记录中的p=标签设置为 "拒绝",拒绝所有未通过认证的邮件,从而将你的失败模式配置为最大的执行力。

2.预定你的未经授权的电子邮件,以便以后审查 

如果你不想直接丢弃这些邮件,可以在接收方的隔离箱中保留你未经授权的邮件。这可以通过设置你的p=标签为 "隔离"来实现。

3.什么都不做,让未经授权的电子邮件按原样送达 

你可能不想对未能通过DMARC的邮件采取任何行动。在这种情况下,只需将你的p=标签设置为 ""。

这些模式的主要要求是为域名所有者提供灵活性,以选择他们希望他们的收件人对可能是恶意的或来自未被特别提供授权的来源的电子邮件作出何种反应。这是阻止域名冒充的一个重要步骤。 

第2步--用你选择的政策重新发布/出版你的记录

一旦你对你选择的策略模式感到满意,发布你的DMARC记录,这次要确保你填写 "p "参数。一旦你定义了这个参数,电子邮件接收服务器现在就可以解析你的记录,以接收关于对未经授权的邮件采取何种行动的指示。现在,你的域名的 "DMARC政策未启用 "错误应该得到解决。

你为什么要首先启用DMARC政策?

DMARC是Domain-based Message Authentication, Reporting, and Conformance的缩写,是一个验证出站邮件的标准,以确保你的域名得到充分的保护,防止BEC和直接域名欺骗的企图。DMARC的工作原理是对准返回路径域(反弹地址)、DKIM签名域和发件人:域,以寻找一个匹配。这有助于验证发送源的真实性,并阻止未经授权的来源发送看似来自你的电子邮件。

你的公司域名是你的数字店面,对你的数字身份负责。各种规模的组织都在利用电子邮件营销来赢得客户并吸引他们。然而,如果你的域名被欺骗,攻击者向你的客户发送钓鱼邮件,这不仅会极大地影响你的电子邮件营销活动,还会对你的组织的声誉和信誉造成损失。这就是为什么采用DMARC对于保护你的身份变得非常重要。

为了开始为你的域名实施DMARC。

  • 打开你的DNS管理控制台
  • 浏览到记录部分
  • 发布你的DMARC记录,你可以使用我们免费的DMARC记录生成工具轻松生成,并指定一个DMARC策略来为你的域名启用该记录(该策略将指定接收MTA如何回应未能通过认证检查的邮件)。
  • 你的DNS可能需要24-48小时来处理这些变化,然后你就完成了!
  • 你可以在为你的域名配置DMARC记录后,使用我们免费的DMARC记录查询工具验证你的记录是否正确。

如何修复 "未启用DMARC隔离/拒绝策略"

当你收到 "未启用DMARC隔离/拒绝政策 "的警告时,或者有时只是 "未启用DMARC政策 "或 "无DMARC保护",这只是表明你的域被配置为 "无 "的DMARC政策,只允许监控。

如果你刚刚开始你的电子邮件认证之旅,并且你想监控你的域名和电子邮件流,以确保电子邮件的顺利发送,那么我们建议你一开始就采用无DMARC策略。然而,无策略对欺骗行为的保护为零,因此,你会经常遇到这样的提示。"DMARC政策未启用",这时你会被提醒,你的域名没有得到充分的保护,无法防止滥用和冒充。

为了解决这个问题,你需要做的就是修改你的DMARC记录中的策略机制(p),从p=none到p=reject/quarantine,从而转变为DMARC执行。如果你的DMARC记录以前是。

v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]

你的优化的DMARC记录将是。

v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]

或。 v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]

修复 "DMARC政策未启用的Cloudflare "错误

如果你使用 Cloudflare作为你的DNS托管提供商,要摆脱这个错误,你必须访问你的Cloudflare DNS管理控制台,发布一个定义了策略参数的DMARC记录。使用自动工具来生成记录,以获得最佳效果。

  • 登录到您的Cloudflare账户,查看您的DNS管理控制台
  • 选择你的域名
  • 从左侧的菜单栏,选择 "DNS"
  • 在你的域名的DNS管理部分,点击 "添加记录"

使用我们的DMARC生成工具生成你的记录。这只需要几秒钟![生成后复制你的记录值] 。

注意:在创建你的DMARC记录时,确保你选择一个适当的政策模式。在你的记录中,p=字段不应该是空白。 

  • 在添加记录部分,设置类型为 "TXT",TTL为 "自动",名称为"_dmarc",并在值域粘贴工具生成的值。
  • 保存更改

我修复了 "DMARC策略未启用",接下来怎么办?

在解决了 "DMARC政策未启用 "的提示后,监测域应该是一个持续的过程,以确保DMARC的部署不会影响你的电子邮件交付能力,而是改善它。DMARC报告可以帮助你获得所有电子邮件渠道的可见性,这样你就不会错过正在发生的事情。在选择了DMARC执行策略后,PowerDMARC帮助你在DMARC汇总报告中查看你的电子邮件认证结果,其格式简单易读,任何人都能理解。有了这个,你也许能看到你的电子邮件送达率随着时间的推移增加了10%。

此外,你需要确保你的SPF不会因为过多的DNS查询而中断。这可能会导致SPF失败,并影响电子邮件的发送。动态SPF是一个简单的解决方案,可以在SPF的硬限制下,以及随时更新你的ESP所做的任何改变。

今天就注册我们的免费DMARC分析器,使你的DMARC部署过程尽可能的无缝。

未启用DMARC政策

/作者

什么是DMARC检疫? p=检疫政策 [解释]

在DMARC中,有一个隔离政策标签p=quarantine,这意味着电子邮件被标记为垃圾邮件,然后转发给该域名的所有者进行审查。这可以提前捕捉到大多数欺骗性的域名。本指南旨在帮助你了解什么是DMARC隔离,以及DMARC如何与p=quarantine策略一起工作。

什么是DMARC检疫?

DMARC隔离是三种DMARC策略之一。 (另外两个是p=none和p=reject)它指示电子邮件接收服务器将所有未能通过DMARC认证的电子邮件放入收件人的垃圾邮件/垃圾文件夹。

当你将DMARC策略设置为 p=quarantine时,你是在告诉电子邮件服务器,如果一封邮件未能通过DMARC认证,服务器就应该隔离该邮件。"隔离 "电子邮件意味着它仍然会被送到收件人的收件箱,但它将被标记为可疑邮件并被发送到收件人的垃圾邮件文件夹(或 "垃圾邮件"),而不是收件箱。

以下是你如何在GMAIL上找到你的垃圾邮件文件夹

一个带有隔离策略的DMARC记录可能看起来像这样。

v=DMARC1; p=quarantine; rua=mailto:[email protected]

如何执行DMARC检疫政策?

隔离政策意味着,从你的终端接收邮件的电子邮件供应商将用 DMARC来检查邮件是否通过了DKIM或SPF认证,他们还将检查地址中发现的域是否与SPF或DKIM标识符排列中发现的域相符。如果符合这些标准,那么电子邮件提供商将把你的邮件送到用户的收件箱。然而,如果不符合这些标准,那么电子邮件提供商将把你的信息放入垃圾邮件文件夹或直接拒绝。

逐步分析DMARC检疫政策的功能

1.当一封电子邮件被发送时,接收方会检查是否存在DMARC记录。

2.如果邮件未能通过SPF或DKIM,那么将根据DMARC记录中的域对齐参数进行评估,这些参数与DMARC检查一起传入。域名对齐指的是发件人地址中的域名是否与SPF记录中的域名相匹配。

3.由DMARC策略定义的处理方案是基于信息与发送域的紧密程度。

4.如果发件人通过了认证,那么就会照常送达。

5.相反,如果它不紧密结合,那么应用的DMARC策略(在我们的例子中是p=quarantine)就会被执行。

6.DMARC p=quarantine策略将指示接收服务器将未能通过DMARC认证的邮件视为可疑邮件;它们不会被直接送到用户的收件箱中,但也不会被完全丢弃。它们将被放在垃圾邮件或垃圾文件夹中,或以某种方式进行标记,以便用户知道该邮件不是真实的。

DMARC 检疫政策的重要性

DMARC是防止电子邮件欺骗的有效工具,而隔离政策是保持收件箱安全的好方法,无需对你的系统做大量改动。

使用 p=quarantine告诉你的接收邮件服务器,所有在 "发件人 "栏中没有你的域名的邮件(或任何其他设定的条件)都应该被默认为隔离。

比如说。

如果一个垃圾邮件发送者试图从 "[email protected] "发送电子邮件,但无法获得用DKIM或SPF签名的必要信息,那么该邮件将被隔离,而不是送达。这可以保护你的收件箱免受大量不需要的邮件。

隔离策略也很好,因为它减少了误报--因为你只是告诉你的接收邮件服务器隔离任何不符合设定标准的邮件,你不需要担心识别哪些邮件是恶意的,哪些是来自合法来源。

用一个例子来解释DMARC检疫的意义

假设你是一家叫Akme的公司的人力资源代表。有一天,你的老板给你发了一封邮件,让你把1000美元转到一个叫Dynamic Corp的供应商的银行账户上。

你以前从未听说过这个供应商。你甚至不认为你的公司与供应商有合作关系!

但由于信息来自你老板的电子邮件地址,而不是某个随机账户,你认为它是合法的。所以你就把钱汇过去了。

第二天,你的老板问你为什么给DynamicCorp寄了1000美元。你告诉他,你认为是他要求你这么做的。他告诉你,是有人冒充他发了那封邮件,而他实际上并没有让你支付那笔钱。

有了DMARC检疫政策,这种情况永远不会发生。如果Akme通过DMARC协议建立了DMARC隔离政策(通过发布DMARC TXT记录),当有人伪造Akme域名并发送像这样声称来自Akme HR的邮件时,收件人的收件箱会将该邮件标记为垃圾邮件或垃圾邮件,在问题开始之前就已经防止了。

建议在DMARC记录中隔离邮件的百分比

当你设置你的DMARC记录时,重要的是要记住,隔离行动会导致你失去一些好的邮件。这就是百分比值的作用--它告诉接收邮件服务器,有多少百分比的邮件应该被当作垃圾邮件。这意味着,每100封邮件中,只有[x]封会被隔离。

对于小型组织,我们建议的数值是10%。这意味着,如果有人向你发送一封未能通过DMARC检查的邮件,只有十分之一的机会会被隔离为垃圾邮件。这样一来,你就可以减少丢失合法邮件的风险,同时还可以在真实的邮件上测试你的DMARC设置。

我们建议大型机构采用更低的百分比--大约1%。对于大型组织来说,这意味着如果有人发送的电子邮件未能通过DMARC认证,那么它就有1/100的机会被隔离为垃圾邮件。当你运行一个大型组织时,你可能需要根据他们的IP地址或域名来信任某些发件人,例如,如果你的办公楼位于一个共享空间,并且所有租户都有一个IP地址。

一个带有百分比标签的DMARC记录的例子。

 

v=DMARC1; p=quarantine; pct=10%; adkim=r; aspf=r; rua=mailto:[email protected]

pct=代表你希望被抽样的电子邮件的百分比。因此,如果你的pct标签写着100,那么每封邮件都会被抽查。如果你的pct标签写着10,那么每10封邮件中就有1封会被抽样。

p=无 VS p=检疫 VS p=拒绝

  •  p=none只是意味着你的收件人服务器将监测来自你的域名的电子邮件,但不阻止任何可能是欺诈性的邮件。这是一个开始监测欺诈行为的好方法,但对防止欺诈行为的发生并没有多大作用。
  •  p=quarantine是一种告诉收件人服务器的方式,你希望他们把任何从你的域名发出的、未能通过SPF或DKIM检查的邮件放到收件箱的垃圾邮件文件夹中,而不是放到他们的普通邮箱中。
  • p=reject更进一步,告诉收件人服务器实际拒绝任何从你的域名发出的、未能通过SPF或DKIM检查的邮件。这意味着这些邮件将永远不会到达接收它们的用户的收件箱(甚至是垃圾邮件文件夹)。

我们希望你了解什么是DMARC隔离,以及它是如何工作的。如果你有兴趣学习更多关于DMARC的知识,PowerDMARC提供了各种工具来帮助你完成这一过程。这些工具包括 DMARC报告分析器总结你当前的DMARC记录并检测任何现有的问题,以及一个 SPF生成器所以你可以免费为你的域名创建你自己的SPF记录。

未启用DMARC政策

/作者