岗位

了解如何发布一个DMARC记录

在我们着手发布DMARC记录之前,重要的是要了解什么是DMARC记录?DMARC记录只不过是一个DNS TXT记录,可以在你的域名的DNS(域名命名系统)中发布,以便为你的域名配置基于域的消息认证、报告和一致性或DMARC。通过为你的域名配置DMARC,你作为域名所有者现在有能力向接收服务器指定他们应该如何回应从未经授权或非法来源发送的电子邮件。

生成您的DMARC记录的说明

如果你使用我们免费的DMARC记录生成工具,生成你的DMARC DNS记录的过程非常简单。你所需要做的就是填写以下标准。

  • 选择你的DMARC策略模式(如果你刚开始使用电子邮件认证,我们建议你先使用p=none的策略,这样你就可以监控你的电子邮件流。
  • 为你的子域选择DMARC政策模式(我们建议你只激活这个标准,如果你想为你的子域选择不同的政策,否则,默认情况下,它与你的主域采用相同的政策)。
  • 键入您想要的电子邮件地址,您希望您的DMARC RUA(汇总)和RUF(取证)报告被传递到那里
  • 选择你的DKIM对准模式(对于严格对准,电子邮件标题中的DKIM签名必须与来自标题中的域名完全匹配。对于宽松的对齐方式,两个域必须共享相同的组织域)
  • 选择你的SPF对齐方式(对于严格的对齐方式,返回路径头中的域必须与来自头中的域完全匹配。对于宽松的对齐方式,这两个域必须只共享同一个组织域)
  • 选择你的法医选项(这代表你想在哪些情况下收到你的法医报告。

一个典型的无错误的DMARC记录看起来是这样的。

v=DMARC1; p=none; sp=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1。

生成的记录现在要发布在你的域名的DNS中的子域上。_dmarc.YOURDOMAIN.com

如何发布你的DMARC记录? 

为了发布你生成的DMARC记录,你将需要登录到你的DNS控制台,并导航到你想配置DMARC的特定域。

在你的DNS管理控制台中导航到该域后,你将需要指定主机名和资源类型。由于DMARC作为DNS TXT记录存在于你的域中,它的资源类型是 TXT,在这种情况下,要指定的主机名是 。 _dmarc

最后,你需要添加你的DMARC记录的值(你之前生成的记录)。 v=DMARC1; p=none; sp=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1。

保存对整个过程的修改,你就成功地为你的域名配置了DMARC!

我的下一步应该是什么?

在你完成发布你的DMARC记录后,你的下一步应该是专注于保护你的域名免受骗子和冒名顶替者的侵害。这是你在实施安全协议和电子邮件认证服务时的主要议程。简单地发布一个带有p=none策略的DMARC记录并不能提供任何保护,以防止域名欺骗攻击和电子邮件欺诈。为此,你需要转向DMARC的执行。

什么是DMARC的执行?

如果你实施了p=拒绝或p=隔离的DMARC策略模式,你可以实现DMARC的执行。为了最大限度地保护域名欺骗攻击和BEC,我们建议采用拒绝的策略模式。 然而,实现DMARC强制执行的过程并不像将你的策略模式从监控改为强制执行那么简单。为了获得对冒充攻击的免疫力,同时确保你的电子邮件交付能力不受影响,你需要做的是。

  • 注册PowerDMARC,为你的域名启用DMARC报告
  • 每天获得关于电子邮件认证结果的DMARC RUA报告,有一系列的查看选项,便于理解。
  • 每当电子邮件认证失败时,在仪表板上获得取证报告更新
  • 保持在SPF的硬限制之下,以确保你的SPF记录永不失效

有了DMARC汇总和取证报告,对于域名所有者来说,从监控到执行变成了小菜一碟,因为你可以从PowerDMARC平台上直观地监控你的邮件流,跟踪并即时响应可传递性问题。今天就注册获取您的免费DMARC分析器试用版!

作为一个域名所有者,你总是需要注意威胁者发动域名欺骗攻击和网络钓鱼攻击,利用你的域名或品牌名称进行恶意活动。无论你使用哪种电子邮件交换解决方案,保护你的域名不被欺骗和冒充都是当务之急,以确保品牌的可信度并维持你尊敬的客户群的信任。本博客将带你了解为Office 365用户设置DMARC记录的过程。

最近,大多数企业已经转向使用有效和强大的基于云的平台和托管电子邮件交换解决方案,如Office 365。随后,网络犯罪分子也升级了他们的恶意技术,通过避开集成在平台上的安全解决方案来进行电子邮件欺诈。这就是为什么微软在其所有的电子邮件平台上扩大了对DMARC等电子邮件认证协议的支持。但是,你应该知道如何正确实施Office 365的DMARC,以充分利用其优势。

为什么是DMARC?

可能出现的第一个问题是,既然反垃圾邮件解决方案和电子邮件安全网关已经集成到Office 365套件中以阻止虚假电子邮件,为什么还需要DMARC进行认证?这是因为,虽然这些解决方案专门防止发送到你的域名的入站钓鱼邮件,但DMARC认证协议赋予域名所有者权力,向接收的电子邮件服务器指定如何响应从你的域名发送的未通过认证检查的邮件。

DMARC利用两个标准的认证做法,即SPF和DKIM来验证电子邮件的真实性。通过设置强制执行的策略,DMARC可以提供高水平的保护,防止冒充攻击和直接域名欺骗。

在使用Office 365时,你真的需要DMARC吗?

企业中普遍存在一种误解,认为拥有Office 365解决方案可以确保免受垃圾邮件和网络钓鱼攻击的安全。然而,在2020年5月,对几个使用Office 365的中东保险公司进行的一系列网络钓鱼攻击造成了重大的数据损失和空前的安全漏洞。这就是为什么简单地依赖微软的集成安全解决方案,而不实施外部努力来保护你的领域,可能是一个巨大的错误

虽然Office 365的集成安全解决方案可以提供对入站安全威胁和网络钓鱼尝试的保护,但你仍然需要确保从你自己的域名发送的出站信息在落入你的客户和合作伙伴的收件箱之前得到有效验证。这就是DMARC的作用。

利用DMARC确保Office 365免受欺骗和冒充的影响

Office 365套件附带的安全解决方案作为垃圾邮件过滤器,不能保证你的域名不被冒充,这就突出了对DMARC的需求。DMARC作为DNS TXT记录存在于你的域名的DNS中。为了给你的域名配置DMARC,你需要。

第1步为你的域名确定有效的电子邮件来源
第2步。为你的域名设置SPF
第3步:为你的域名设置DKIM
第4步。 在你的域名的DNS中发布一个DMARC TXT记录

你可以使用PowerDMARC的免费DMARC记录生成器,用正确的语法即时生成一条记录,发布在你的DNS中,并为你的域名配置DMARC。然而,请注意,只有拒绝的执行策略才能有效地帮助你缓解冒名攻击和域名滥用。

但是,发布一个DMARC记录就够了吗?答案是否定的。这就把我们带到了最后一个环节,即DMARC报告和监控。

使用微软Office365时需要PowerDMARC的5个原因

微软Office 365为用户提供了大量基于云的服务和解决方案,以及集成的反垃圾邮件过滤器。然而,尽管有各种优势,但从安全角度来看,这些是你在使用它时可能面临的缺点。

  • 没有验证从你的域名发出的外发信息的解决方案
  • 没有关于认证检查失败的电子邮件的报告机制
  • 对你的电子邮件生态系统没有可见性
  • 没有仪表盘来管理和监控你的入站和出站邮件流
  • 没有机制来确保你的SPF记录总是在10个查询限制以下

使用PowerDMARC的DMARC报告和监控

PowerDMARC与Office 365无缝集成,为域名所有者提供先进的认证解决方案,防止复杂的社会工程攻击,如BEC和直接域名欺骗。当你与PowerDMARC签约时,你将签署一个多租户SaaS平台,它不仅集合了所有电子邮件认证的最佳实践(SPF、DKIM、DMARC、MTA-STS、TLS-RPT和BIMI),而且还提供一个广泛和深入的DMARC报告机制,为你的电子邮件生态系统提供完整的可视性。PowerDMARC仪表板上的DMARC报告以两种格式生成。

  • 汇总报告
  • 法证报告

我们通过解决各种行业问题,努力为您提供更好的认证体验。我们确保对您的DMARC取证报告进行加密,并以7种不同的视图显示汇总报告,以增强用户体验和清晰度。PowerDMARC帮助您监控电子邮件流和认证失败,并将来自世界各地的恶意IP地址列入黑名单。我们的DMARC分析工具可以帮助你为你的域名正确配置DMARC,并在短时间内从监控转变为执行!

 

商业电子邮件入侵或BEC是一种电子邮件安全漏洞或冒充攻击的形式,影响商业、政府、非营利组织、小型企业和初创企业以及跨国公司和企业,以提取机密数据,对品牌或组织产生负面影响。鱼叉式网络钓鱼攻击、发票诈骗和欺骗性攻击都是BEC的例子。

网络犯罪分子是专业的阴谋家,他们故意针对一个组织内的特定人员,特别是那些像首席执行官或类似的人这样的专制职位,甚至是一个值得信赖的客户。由于BEC造成的全球金融影响是巨大的,特别是在美国,它已成为主要的中心。阅读更多关于全球BEC诈骗量的信息。解决办法是什么?切换到DMARC!

什么是DMARC?

基于域的消息认证、报告和一致性(DMARC)是电子邮件认证的行业标准。这种认证机制向接收服务器规定了如何应对未能通过SPF和DKIM认证检查的电子邮件。DMARC可以将你的品牌遭受BEC攻击的几率降到最低,并帮助保护你的品牌声誉、机密信息和金融资产。

请注意,在发布DMARC记录之前,你需要为你的域名实施SPF和DKIM,因为DMARC认证利用了这两个标准认证协议来验证代表你的域名发送的信息。

你可以使用我们免费的SPF记录生成器DKIM记录生成器来生成记录,公布在你的域名的DNS中。

如何优化你的DMARC记录以防止BEC?

为了保护您的域名免受商业电子邮件的破坏,以及启用一个广泛的报告机制来监测认证结果,并获得您的电子邮件生态系统的完整可视性,我们建议您在您的域名的DNS中发布以下DMARC记录语法。

v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;

了解生成DMARC记录时使用的标签。

v(强制)这个机制指定了协议的版本。
p(强制)这个机制指定了正在使用的DMARC策略。你可以将你的DMARC策略设置为

p=none (DMARC仅在监控时,未通过认证检查的邮件仍会进入收件人的收件箱)。 p=quarantine (DMARC在执行时,未通过认证检查的邮件会被隔离或放入垃圾邮件文件夹)。

p=拒绝(DMARC的最大执行力,在这种情况下,未能通过认证检查的邮件将被丢弃或根本不交付)。

对于认证新手来说,建议一开始只用监控政策(p=none),然后慢慢转向强制执行。然而,就本博客而言,如果你想保护你的域名不受BEC影响,p=reject是推荐给你的政策,以确保最大程度的保护。

sp (可选)这个标签指定子域策略,可以设置为sp=none/quarantine/reject,要求对所有子域的邮件进行DMARC认证失败的策略。

这个标签只有在你希望为你的主域和子域设置不同的策略时才有用。如果不指定,默认情况下,你的所有子域都会被征收相同的政策。

adkim (可选)这个机制指定了DKIM标识符对齐模式,可以设置为s(严格)或r(放松)。

严格对齐规定,电子邮件头的DKIM签名中的d=字段必须与来自头中的域名完全对齐和匹配。

然而,对于宽松的对齐,两个域必须只共享同一个组织域。

aspf (可选) 这个机制指定了 SPF 标识符的对齐模式,可以设置为 s (严格) 或 r (放松)。

严格对齐规定,"Return-path "头中的域必须与from头中的域完全对齐和匹配。

然而,对于宽松的对齐,两个域必须只共享同一个组织域。

rua(可选,但建议)。此标签指定了发送到mailto:字段后指定的地址的DMARC汇总报告,提供关于通过和未通过DMARC的电子邮件的洞察力。
ruf(可选,但建议)。此标签指定了要发送到mailto:字段后指定的地址的DMARC鉴证报告。鉴证报告是消息级别的报告,提供关于认证失败的更多详细信息。由于这些报告可能包含电子邮件内容,加密它们是最佳做法。
pct(可选)此标签指定了DMARC策略适用的电子邮件的百分比。默认值被设置为100。
箔(可选,但建议)。你的DMARC记录的取证选项可以被设置为。

->DKIM和SPF不通过或不一致(0)。

->DKIM或SPF不合格或不一致(1)。

->DKIM不通过或对齐(d)。

->SPF不通过或对齐(S)。

推荐的模式是fo=1,指定每当电子邮件未能通过DKIM或SPF认证检查时,就会生成取证报告并发送至你的域名。

你可以使用PowerDMARC的免费DMARC记录生成器来生成你的DMARC记录,在这里你可以根据你所希望的执行级别来选择字段。

请注意,只有拒绝的执行政策才能最大限度地减少BEC,并保护你的域名免受欺骗和网络攻击。

虽然DMARC可以成为保护你的企业免受BEC影响的有效标准,但正确实施DMARC需要努力和资源。无论你是认证新手还是认证爱好者,作为电子邮件认证的先驱,PowerDMARC是一个单一的电子邮件认证SaaS平台,它将所有的电子邮件认证最佳实践,如DMARC、SPF、DKIM、BIMI、MTA-STS和TLS-RPT,为你在同一屋檐下。我们帮助您。

  • 迅速从监控转向执法,让BEC无处遁形
  • 我们的汇总报告是以简化的图表和表格形式生成的,以帮助你轻松理解,而不必阅读复杂的XML文件。
  • 我们对您的法医报告进行加密,以保障您的信息隐私。
  • 在我们用户友好的仪表板上以7种不同的格式(每个结果、每个发送源、每个组织、每个主机、详细统计、地理位置报告、每个国家)查看你的认证结果,以获得最佳用户体验
  • 通过调整你的电子邮件与SPF和DKIM的关系,获得100%的DMARC合规性,这样,未能通过任何一个认证检查点的电子邮件就不会进入你的收件箱中。

DMARC是如何保护BEC的?

只要你把你的DMARC政策设置为最大的执行力(p=拒绝),DMARC就会通过减少冒名攻击和域名滥用的机会来保护你的品牌免受电子邮件欺诈。所有的入站信息都会根据SPF和DKIM电子邮件认证检查进行验证,以确保它们来自有效的来源。

SPF以TXT记录的形式出现在你的DNS中,显示所有被授权从你的域名发送邮件的有效来源。接收者的邮件服务器根据你的SPF记录来验证邮件,以证明其真实性。DKIM分配了一个加密签名,使用私钥创建,在接收服务器中验证电子邮件,其中接收方可以从发件人的DNS中检索公钥来验证邮件。

有了你的拒绝政策,当认证检查失败时,电子邮件根本不会被传递到你的收件人邮箱,表明你的品牌被冒充了。这最终使像欺骗和网络钓鱼攻击这样的BEC受到遏制。

PowerDMARC的小型企业基本计划

我们的基本计划每月只需8美元起,因此试图采用DMARC等安全协议的小型企业和初创企业可以轻松利用它。使用该计划,你将拥有以下优势。

  • 在您的年度计划中节省20%的费用
  • 多达2,000,000封符合DMARC的电子邮件
  • 最多5个域名
  • 1年的数据历史
  • 2个平台用户
  • 托管的BIMI
  • 托管的MTA-STS
  • TLS-RPT

今天就注册PowerDMARC,通过最大限度地减少商业电子邮件破坏和电子邮件欺诈的机会来保护您的品牌域名

如果你在这里阅读这篇博客,你有可能遇到过这三个常见提示中的任何一个。

  • 没有DMARC记录 
  • 没有发现DMARC记录 
  • DMARC记录丢失
  • 未找到DMARC记录 
  • 没有公布DMARC记录 
  • 未启用DMARC政策
  • 无法找到DMARC记录

无论哪种方式,这只意味着你的域名没有配置最受赞誉和普遍使用的电子邮件认证标准--基于域的消息认证、报告和一致性或DMARC。让我们来看看它是什么。

什么是DMARC,为什么你的域名需要电子邮件认证?

为了了解如何解决 "没有找到DMARC记录 "的问题,让我们了解一下DMARC是怎么回事。DMARC是当前使用最广泛的电子邮件认证标准,其目的是赋予域名所有者向接收服务器指定如何处理未能通过认证检查的邮件的能力。这反过来有助于保护他们的域名免受未经授权的访问和电子邮件欺骗攻击。DMARC使用流行的标准认证协议来验证来自你的域名的入站和出站信息。

用DMARC保护您的企业免受冒充攻击和欺骗的影响

你知道吗,电子邮件是网络犯罪分子滥用你的品牌名称的最简单方式。

通过使用你的域名并冒充你的品牌,黑客可以向你自己的员工和客户发送恶意的钓鱼邮件。由于SMTP没有加装针对伪造 "发件人 "字段的安全协议,攻击者可以伪造电子邮件标题,从你的域名发送欺诈性电子邮件。这不仅会损害你的组织的安全,而且会严重损害你的品牌声誉。

电子邮件欺骗会导致BEC(商业电子邮件破坏)、公司宝贵信息的丢失、对机密数据的未经授权的访问、财务损失和对你的品牌形象的不良反映。即使为你的域名实施了SPF和DKIM,你也无法防止网络犯罪分子冒充你的域名。这就是为什么你需要像DMARC这样的电子邮件认证协议,它使用上述两种协议对电子邮件进行认证,并向你的客户、雇员和合作伙伴的接收服务器说明,如果电子邮件来自未经授权的来源且未能通过认证检查,该如何回应。这为你提供了最大限度的保护,防止精确域名攻击,并帮助你完全控制你公司的域名。

此外,在DMARC这样一个有效的电子邮件认证标准的帮助下,你可以提高你的电子邮件发送率、覆盖率和信任度。

 


为你的域名添加缺失的DMARC记录

在使用在线工具检查域名的DMARC记录时,如果遇到 "主机名返回了一条缺失或无效的DMARC记录 "的提示,会让人感到恼火和困惑。

为了解决 "没有找到DMARC记录 "的问题,你所需要做的就是为你的域名添加一个DMARC记录。添加DMARC记录实质上是在你的域名的DNS中发布一个文本(TXT)记录,在_dmarc.example.com子域,以符合DMARC规范。一个DMARC TXT记录在你的DNS中可能看起来像这样。

v=DMARC1; p=none; rua=mailto:[email protected]

瞧!你已经成功地解决了 "没有找到DMARC记录 "的提示。你已经成功地解决了 "没有找到DMARC记录 "的提示,因为你的域名现在已经配置了DMARC认证,并且包含一个DMARC记录。

但这就够了吗?答案是否定的。简单地在你的DNS中添加一个DMARC TXT记录可能会解决缺少DMARC提示的问题,但这根本不足以缓解冒充攻击和欺骗。

用PowerDMARC以正确的方式实施DMARC

PowerDMARC通过统一认证标准,帮助您的组织实现100%的DMARC合规性,并帮助您在短时间内从监控转向执行,在短时间内解决 "没有找到DMARC记录 "的提示!此外,我们的交互式和用户友好型仪表板会自动生成。

  • 您所有注册的域名的汇总报告(RUA),从复杂的XML文件格式简化并转换成可读的表格和图表,供您理解。
  • 加密的法医报告(RUF)。

为了缓解 "没有发现DMARC记录",你所需要做的就是。

  • 用PowerDMARC生成你的免费DMARC记录,并轻松地选择你所需要的DMARC政策。

DMARC策略可以被设置为:

  • p=none(DMARC只设置为监控,未通过认证的邮件仍然会被送到收件人的收件箱中,但是,你会得到汇总报告,告知你认证结果)
  • p=检疫(DMARC设置为执行级别,未通过认证的邮件将被送至垃圾邮件箱,而不是收件人的收件箱
  • p=拒绝(DMARC被设置为最大的执行水平,在这种情况下,认证失败的邮件要么被删除,要么根本就不被发送。

为什么是PowerDMARC?

PowerDMARC是一个单一的电子邮件认证SaaS平台,它将所有的电子邮件认证最佳实践,如DMARC、SPF、DKIM、BIMI、MTA-STS和TLS-RPT,结合在同一个屋檐下。在我们详细的汇总报告的帮助下,我们为您的电子邮件生态系统提供最佳的可视性,并帮助您自动更新仪表板的变化,而无需您手动更新DNS。

我们为您的领域量身定制解决方案,并在后台完全为您处理一切,从配置到设置再到监控。我们帮助你正确地实施DMARC,以帮助防止冒名顶替的攻击!

因此,今天就注册PowerDMARC,为你的域名正确配置DMARC吧!