岗位

基于域的消息验证、报告和一致性(DMARC)是一种规范,允许你防止电子邮件欺骗和网络钓鱼的尝试。简而言之,DMARC允许你实施一项政策,帮助验证你的电子邮件可以被收件人的邮件服务器所信任。DMARC可以通过提高你的域名声誉和邮件送达率来降低你的邮件退信率。它还能促进你的电子邮件营销活动,提高你的域名的发件人声誉,并使接收电子邮件更加安全。

高的电子邮件退信率会严重损害你未来电子邮件营销活动的成功率。调查显示,由你的组织的营销专家发出的所有电子邮件中,有50%甚至从未到达你的潜在客户的收件箱。从那里,许多人在实际阅读方面面临进一步的挑战,比起其他地方,有更多的邮件最终出现在你的垃圾箱或垃圾邮件文件夹中。幸运的是,DMARC是一个非常接近现实的电子邮件认证标准,它将解决这些问题。让我们来看看是怎样的!

为什么会出现邮件退信?

有时你的外发邮件会被收件人的邮件服务器拒绝。当电子邮件被退回时,这是因为电子邮件服务器认为你发送邮件的方式有问题或错误。邮件退信可能是由于各种各样的原因造成的,以下是其中几个原因。

  • 服务器停机时间
  • 你的接收者的收件箱已满
  • 因垃圾邮件投诉而导致发件人声誉不佳

虽然前两种情况很容易处理,但第三种情况是事情变得有点棘手和复杂的地方。更多的时候,你的域名可以被攻击者欺骗,这意味着你的域名可以被用来发送虚假的电子邮件来欺骗你的收件人。对你的域名进行反复的欺骗尝试,以及向你的收件人发送含有欺诈性附件的电子邮件,会极大地损害你的发件人的声誉。这增加了你的电子邮件被标记为垃圾邮件的机会,加剧了电子邮件被退回的风险。

DMARC分析器帮助你阻止电子邮件欺骗,并保护你的收件人不接受从你的域名发送的虚假电子邮件。这反过来又维护了你的声誉和可信度,并随着时间的推移降低了你的电子邮件退订率。

DMARC和送达性

如果你经营在线业务,你已经知道电子邮件的可送达性是多么重要。为了使你的电子邮件营销活动的利润最大化,你需要确保合法的电子邮件总是能够送达,并减少你的电子邮件在收件箱中被标记为垃圾邮件的机会。

确保用户信任的最有效方法是不允许网络钓鱼和垃圾邮件的出现。但要做到这一点,你将需要看起来合法的可信度--换句话说,你的用户需要识别你的电子邮件是真正的电子邮件,而不是垃圾邮件。DMARC旨在减少传递到收件人收件箱中的垃圾邮件的数量,同时确保来自你的域名的合法邮件总是能够成功传递。DMARC为发送机构提供了一种方法,以确保电子邮件被可靠地交付,并使用SPF/DKIM记录提供域名保护。DMARC是基于认证协议(前面提到的SPF和DKIM)和描述发件人使用情况的报告(如邮件拒收或政策违反)之间的协调概念。

用DMARC报告监控你的邮件渠道

在实施DMARC时,专家建议你从无政策开始,并为你的所有域名启用DMARC报告。虽然DMARC的无策略不能保护你的域名免受欺骗和网络攻击,但当你想简单地监控所有的电子邮件渠道并查看你的电子邮件的表现时,它是理想的。DMARC报告分析器是一个完美的平台,可以做到这一点,甚至更多!它可以帮助你查看所有的电子邮件发送情况。它可以帮助你在一个单一的玻璃窗上查看所有的电子邮件发送源,并修复电子邮件交付中的问题。

慢慢地,但肯定的是,你可以自信地转向一个更加强制的政策,以便阻止攻击者滥用你的域名。为了进一步增加你的合法邮件到达客户手中的机会,你可以在你的组织中实施BIMI。信息识别的品牌指标(BIMI),顾名思义,通过在你的每封外发邮件上贴上你的独特标志,帮助你的客户在收件箱中直观地识别你的品牌。这使你的电子邮件营销活动更加成功,并进一步减少了电子邮件退信的几率

电子邮件认证是电子邮件提供商工作的一个重要方面。电子邮件认证也被称为SPF和DKIM,检查电子邮件提供商的身份。DMARC增加了验证电子邮件的过程,通过检查电子邮件是否从合法的域名发送,并向接收服务器指定如何回应未能通过认证检查的邮件。今天我们将讨论各种情况,以回答你关于DMARC失败的疑问。

DMARC是你的电子邮件认证政策中的一项关键活动,有助于防止伪造的 "欺骗 "电子邮件通过交易性垃圾邮件过滤器。但是,它只是整个反垃圾邮件计划的一个支柱,并非所有的DMARC报告都是一样的。有些报告会告诉你邮件接收者对每封邮件采取的确切行动,而其他报告只告诉你某封邮件是否成功。了解一封邮件失败的原因与了解它是否失败同样重要。下面的文章解释了邮件未能通过DMARC认证检查的原因。这些是最常见的原因(其中一些可以很容易地解决),这些原因可能导致邮件无法通过DMARC认证检查。

邮件可能无法通过DMARC的常见原因

识别DMARC失败的原因可能很复杂。然而,我将介绍一些典型的原因,以及导致这些原因的因素,这样,作为域名所有者的你就可以更及时地纠正这个问题。

DMARC对准失败

DMARC利用域名对齐来验证你的电子邮件。这意味着DMARC通过与隐藏的Return-path头(用于SPF)和DKIM签名头(用于DKIM)中提到的域进行匹配,来验证发件人地址(在可见的头中)中提到的域是否是真实的。如果两者匹配,则电子邮件通过DMARC,否则DMARC失败。

因此,如果你的邮件不能通过DMARC,这可能是一个域名错位的案例。也就是说,SPF和DKIM的标识符都没有对准,邮件看起来是从一个未经授权的来源发出的。然而,这只是DMARC失败的原因之一。

DMARC对准模式 

你的协议排列模式在你的信息通过或不通过DMARC方面也起着巨大的作用。你可以为SPF认证选择以下排列模式。

  • 放松:这表示如果Return-path头中的域和From头中的域只是简单的组织匹配,即使这样,SPF也会通过。
  • 严格的。这表示只有当Return-path头中的域和From头中的域完全匹配时,SPF才会通过。

你可以为DKIM认证选择以下排列模式。

  • 放松:这表示如果DKIM签名中的域和发件人头中的域只是简单的组织匹配,即使这样DKIM也会通过。
  • 严格的。这表示只有当DKIM签名中的域和发件人中的域完全匹配时,才会通过DKIM。

请注意,要使电子邮件通过DMARC认证,SPF或DKIM都需要对齐。  

没有设置你的DKIM签名 

一个很常见的情况是,你的DMARC可能会失败,因为你没有为你的域名指定一个DKIM签名。在这种情况下,你的邮件交换服务商会给你的出站邮件分配一个默认的DKIM签名,而这个签名并不与你的发件人标题中的域名一致。接收的MTA无法对准这两个域,因此,你的邮件的DKIM和DMARC失败了(如果你的邮件同时对准了SPF和DKIM)。

未在您的DNS中添加发送源 

值得注意的是,当你为你的域名设置DMARC时,接收的MTA会执行DNS查询来授权你的发送源。这意味着,除非你在域名的DNS中列出所有授权的发送源,否则对于那些没有列出的发送源,你的邮件将无法通过DMARC,因为接收方无法在你的DNS中找到它们。因此,为了确保你的合法邮件总是被送达,请确保在你的DNS中列出所有授权的第三方电子邮件供应商,他们被授权代表你的域名发送邮件。

在电子邮件转发的情况下

电子邮件转发过程中,电子邮件在最终被送到接收服务器之前会经过一个中间服务器。在邮件转发过程中,由于中间服务器的IP地址与发送服务器的IP地址不一致,所以SPF检查失败,而这个新的IP地址通常不包括在原服务器的SPF记录中。相反,转发邮件通常不会影响DKIM邮件认证,除非中介服务器或转发实体对邮件内容进行了某些改动。

我们知道,在电子邮件转发过程中,SPF不可避免地会失效,如果发送源是DKIM中立的,而仅仅依靠SPF进行验证,那么在DMARC认证过程中,转发的电子邮件将被视为非法的。为了解决这个问题,你应该立即在你的组织中选择完全符合DMARC的标准,根据SPF和DKIM来调整和验证所有发出的邮件,因为要通过DMARC验证,邮件需要通过SPF或DKIM验证和调整。

你的域名被欺骗了

如果你为你的域名正确配置了DMARC、SPF和DKIM协议,你的策略处于执行状态,并且有有效的无误记录,而且问题不是上述两种情况,那么你的邮件无法通过DMARC的最可能的原因是你的域名被欺骗或伪造。这是指冒名顶替者和威胁者试图使用一个恶意的IP地址来发送看似来自你的域名的邮件。

最近的电子邮件欺诈统计得出的结论是,电子邮件欺骗案件在最近一段时间呈上升趋势,对你的组织的声誉是一个非常大的威胁。在这种情况下,如果你在拒绝策略上实施了DMARC,它就会失败,被欺骗的邮件就不会被送到收件人的收件箱。因此,域名欺骗可能是大多数情况下DMARC失败的答案。

我们建议你注册我们的免费DMARC分析器,开始你的DMARC报告和监测之旅。

  • 有了无政策,你可以通过DMARC(RUA)汇总报告来监控你的域名,并密切关注你的入站和出站邮件,这将有助于你应对任何不需要的交付问题。
  • 之后,我们会帮助你转向一个强制的政策,最终帮助你获得对域名欺骗和网络钓鱼攻击的免疫力。
  • 在我们的威胁情报引擎的帮助下,你可以记下恶意的IP地址,并直接从PowerDMARC平台上报告,以规避未来的冒名攻击
  • PowerDMARC的DMARC(RUF)取证报告帮助你获得有关你的电子邮件未能通过DMARC的案例的详细信息,以便你能找到问题的根源并加以解决。

防止域名欺骗,用PowerDMARC监控你的邮件流,今天就开始吧!

是否需要DMARC?

如果你经营的组织每天都使用大量的电子邮件流,那么你有可能已经遇到了 "DMARC "一词。那么,什么是DMARC?基于域的信息验证、报告和一致性是你在接收方的电子邮件检查点,帮助你验证你的外发电子邮件,以及对这些电子邮件的合法性有疑问的情况作出反应。DMARC提供了几个优势,在当今世界,远程工作环境被采用,电子通信已成为企业最常用的互动方式,它尤其有用。让我们列出5个重要的原因,为什么在今天的背景下需要DMARC。

1) DMARC有助于缓解冒名顶替的攻击

自从2021年2月COVID-19疫苗的消息在全球范围内爆发后,网络攻击者就趁机利用真实的公司域名创建伪造的电子邮件,向员工和客户提供疫苗诱饵。一些用户,特别是老年公民成为诱饵的受害者,并最终损失了金钱。这解释了为什么现在比以往任何时候都更需要DMARC。

一种新形式的BEC(商业电子邮件破坏)最近在互联网上大行其道,它利用微软365的阅读收据中的漏洞,操纵认证协议来逃避垃圾邮件过滤器和安全网关。像这样复杂的社会工程攻击可以轻易地绕过强大的安全措施,欺骗毫无戒心的客户提交他们的凭证。

DMARC最大限度地减少了BEC和域名欺骗攻击的机会,并帮助确保你的电子邮件免受欺诈和冒充。这是因为DMARC的工作方式与你基于云的电子邮件交换服务中的普通集成安全网关不同,它为域名所有者提供了一种方式,以决定他们希望接收服务器如何回应未能通过SPF/DKIM电子邮件认证协议的电子邮件。

2) DMARC提高了电子邮件的送达率

当你的电子邮件域名被欺骗时,与你的品牌互动多年的接收者是最不会怀疑来自你的欺诈活动的人。因此,他们很容易打开被欺骗的电子邮件,成为这些攻击的牺牲品。然而,当他们下次收到你的电子邮件时,即使信息是真实的,而且是来自授权的来源,他们也会不愿意打开你的电子邮件。这将极大地影响你的电子邮件交付能力,以及你公司的电子邮件营销战略和议程。

然而,随着时间的推移,DMARC可以将电子邮件的送达率提高近10%!DMARC要求你通过选择哪些邮件被传递到收件人的收件箱,来保持对你的域名的完全控制。这使非法的电子邮件受到限制,并确保合法的电子邮件总是毫不拖延地被送达。

3) DMARC汇总报告帮助你获得可见性

DMARC汇总报告可以帮助你查看你的认证结果,并以更快的速度减少电子邮件交付的错误。它可以帮助你深入了解代表你的域名发送电子邮件的发送源和IP地址,以及认证失败的情况。这也有助于你追踪恶意的IP地址,解释为什么需要DMARC。

PowerDMARC的DMARC汇总报告在平台上有7种不同的视图,可以帮助您获得一个未经过滤的视角,了解您的电子邮件发送源和主机名,这是前所未有的此外,我们还为您提供了将DMARC报告即时转换为PDF文件的选项,您可以与您的整个团队分享,也可以创建一个时间表,定期将报告通过电子邮件发送给您。

4) DMARC鉴证报告帮助你应对鉴证事件

DMARC取证报告在取证事件被触发时就会产生,例如当出站邮件无法通过SPF或DKIM认证时。这样的事件可能在域名欺骗攻击的情况下被触发,当电子邮件域名被冒名顶替者使用恶意的IP地址伪造,向毫无戒心的接收者发送欺诈性的信息,而这些信息似乎来自于他们知道并可以信任的真实来源。取证报告提供了对可能试图欺骗你的恶意来源的详细分析,这样你就可以对他们采取行动,防止未来的事件。

请注意,取证报告是非常详细的,可能包含你的邮件正文。然而,你可以在查看DMARC取证报告时避免披露你的邮件内容,方法是用PowerDMARC的私人密钥加密你的报告,只有你能访问。

5) DMARC有助于提高你的域名声誉

作为域名所有者,一个好的域名信誉就像你帽子上的羽毛。一个好的域名信誉向接收电子邮件的服务器表明,你的电子邮件是合法的,而且来源可靠,因此不太可能被标记为垃圾邮件或落入垃圾文件夹。DMARC通过验证你的信息来源来帮助你提高你的域名声誉,并表明你的域名通过实施标准的电子邮件认证做法(如SPF和DKIM)来扩展对安全协议的支持。

由此可见,为什么需要DMARC,并且可以证明它对你的业务是有益的!因此,下一步是:

如何为你的域名配置DMARC?

PowerDMARC的DMARC分析器可以帮助你通过4个简单的步骤实现DMARC。

  • 在你的域名的DNS中发布你的SPF、DKIM和DMARC记录
  • 注册PowerDMARC,以获得你的DMARC汇总和取证报告,并监控你的电子邮件流。
  • 从监测政策转向DMARC执行,以获得对BEC和欺骗的最大保护
  • 用PowerSPF保持在SPF10的查询限制之下

今天就注册获得免费的DMARC分析器,今天就可以利用DMARC的多种好处了!

域名所有者问的一个非常普遍的问题是:"为什么我的邮件会进入垃圾箱,而不是收件人的收件箱?"。现在需要注意的是,邮件进入垃圾箱的根本原因从来都不是单向的,而是由各种原因造成的,从简单的诱因,如邮件写得不好,到更复杂的原因,如你的域名以前曾被用于发送垃圾邮件。无论是哪种情况,你的邮件落入垃圾邮件文件夹都会极大地影响你的邮件送达率和域名声誉。 

如果你想快速解决这个障碍,同时确保你的邮件将来总是到达指定的目的地,你就来对地方了。我们不拐弯抹角,让我们直接进入阻止你的电子邮件被标记为垃圾邮件的解决方案:今天就选择一个可靠的服务提供商提供的电子邮件认证解决方案吧

电子邮件认证如何提高电子邮件的送达率?

请记住,这都是为了提高你的域名的声誉,并确保你的域名不被用来进行恶意活动,如欺骗或网络钓鱼攻击和BEC。这正是像DMARC这样的电子邮件认证协议的作用。基于域的消息认证、报告和一致性(DMARC)是一个行业推荐的电子邮件认证标准,它利用SPF和DKIM来认证从你的域发出的电子邮件。DMARC以DNS TXT记录的形式存在于你的域名的DNS中,向接收服务器指定他们应该如何处理未通过认证的电子邮件(可能是由威胁者使用你的域名发送的欺骗/钓鱼邮件)。

然而,这并不像表面上那么容易。简单地发布DMARC记录并不能保护你免受电子邮件欺诈,相反,如果你错误地配置了你的认证协议,它可能会使情况恶化。为了正确实施DMARC,你需要用正确的语法和策略模式为你的域名设置SPF和DKIM。此外,只有DMARC政策的执行水平(p=拒绝/隔离)才能充分保护你的域名免受BEC和欺骗。

考虑到所有这些,最终通过DMARC,你可以观察到你的邮件送达率增加了10%以上,并且明显减少了落入垃圾邮件文件夹的邮件数量。

如何正确配置DMARC以停止被标记为垃圾邮件?

你可以按照下面的步骤为你的域名正确设置DMARC。

  • 记下所有可以代表你的域名发送电子邮件的授权发送源。
  • 使用PowerDMARC的免费SPF记录生成器,为你的域名完全免费地设置SPF。
  • 使用PowerDMARC的免费DKIM记录生成器为你的域名配置DKIM。
  • 使用PowerDMARC的免费DMARC记录生成器为你的域名配置DMARC。
  • 查询和验证你的记录。
  • 使用我们的DMARC分析工具,通过自动生成的、易于理解的DMARC汇总和取证报告来监控你的认证结果和电子邮件流,这样你就可以在短时间内从无政策转变为DMARC强制执行!

你可以在PowerDMARC工具箱中找到所有的记录生成器

关于阻止邮件进入垃圾文件夹的其他建议

保持在SPF的硬限值之下

你可能没有意识到这一点,但是 SPF 认证有一个 10 的 DNS 查询限制。超过这个限制,你的 SPF 记录就会失效,导致 SPF 崩溃,甚至合法的邮件也无法通过认证检查。在这种情况下,如果你为你的域名启用了DMARC监控,会返回一个SPF错误结果。因此,为了确保你的邮件到达收件人的收件箱,并防止邮件进入垃圾箱,保持在SPF 10的DNS查询限制之下是必须的。

报告滥用的IP地址

将使用您的域名进行欺诈的滥用性IP地址列入黑名单,是确保未来不再发生类似事件的重要一步。我们的DMARC分析器可以帮助您实时报告来自世界各地的恶意地址,以确保他们无法再使用您的域名进行欺诈活动

获得100%的DMARC合规性

根据SPF和DKIM认证标准调整通过你的域名发送的电子邮件,以获得100%的DMARC合规性。这将大大改善你的发件人的声誉,随着时间的推移,并尽量减少你的电子邮件被标记为垃圾邮件的机会,从而尽量减少你的电子邮件进入垃圾文件夹的机会。

今天就注册PowerDMARC,获得免费的DMARC,为防止你的邮件进入垃圾箱迈出第一步

电子邮件到达收件人收件箱的速度被称为电子邮件可送达率。当邮件最终进入垃圾邮件文件夹或被接收服务器屏蔽时,这一比率可能会减慢或延迟,甚至导致发送失败。它本质上是一个重要的参数,用来衡量你的邮件是否成功到达你想要的收件人的收件箱而不被标记为垃圾邮件。 电子邮件认证绝对是认证新手可以采用的选项之一,随着时间的推移,电子邮件送达率会有很大的改善。

在这篇博客中,我们将和你谈谈如何轻松地提高你的电子邮件送达率,同时讨论最佳的行业实践,以确保信息在你所有的电子邮件渠道中顺利流动

什么是电子邮件认证?

电子邮件认证是用来验证你的电子邮件的真实性的技术,与所有允许从你的域名发送电子邮件的授权来源进行比较。它还有助于验证参与传输或修改电子邮件的任何邮件传输代理(MTA)的域名所有权。

为什么你需要电子邮件认证?

简单邮件传输协议(SMTP)是电子邮件传输的互联网标准,它不包含验证入站和出站电子邮件的功能,使网络犯罪分子可以利用SMTP缺乏安全协议的特点。这可以被威胁者用来实施电子邮件钓鱼诈骗、BEC和域名欺骗攻击,他们可以冒充你的品牌并损害其声誉和公信力。电子邮件认证增强了你的域名的安全性,以防止假冒和欺诈,向接收服务器表明你的电子邮件符合DMARC标准,并来自有效和真实的来源。它也是一个检查点,以防止未经授权和恶意的IP地址从你的域名发送电子邮件。

为了保护你的品牌形象,最大限度地减少网络威胁,BEC和确保提高送达率,电子邮件认证是必须的!

电子邮件认证的最佳实践

发件人政策框架(SPF

SPF以TXT记录的形式出现在你的DNS中,显示所有被授权从你的域名发送邮件的有效来源。每一封离开你的域名的电子邮件都有一个IP地址,用来识别你的服务器和你的域名所使用的电子邮件服务提供商,该地址在你的DNS中被列为SPF记录。接收者的邮件服务器根据你的SPF记录来验证邮件,并相应地将该邮件标记为SPF通过或失败。

请注意,SPF 有一个 10 次的 DNS 查询限制,超过这个限制会返回一个 PermError 结果,导致 SPF 失败。这可以通过使用PowerSPF来缓解,使其始终保持在查询限制之下。

域名密钥识别邮件(DKIM

DKIM是一个标准的电子邮件认证协议,它分配了一个加密签名,使用私钥创建,以验证接收服务器中的电子邮件,其中接收方可以从发件人的DNS中检索公钥来验证邮件。与SPF很相似,DKIM的公钥也作为TXT记录存在于域名所有者的DNS中。

基于域的消息认证、报告和一致性(DMARC

仅仅实施SPF和DKIM是不够的,因为域名所有者没有办法控制接收服务器如何回应未能通过认证检查的电子邮件。

DMARC是目前使用最广泛的电子邮件认证标准,其目的是让域名所有者有能力向接收服务器指定他们应该如何处理那些不能通过SPF或DKIM或两者的邮件。这反过来有助于保护他们的域名免受未经授权的访问和电子邮件欺骗攻击。

DMARC如何提高电子邮件的送达率?

  • 当在你的域名的DNS中发布DMARC记录时,域名所有者要求支持DMARC的接收服务器对他们收到的该域名的电子邮件进行反馈,自动向接收服务器表明你的域名对电子邮件的安全协议和认证标准的支持,如DMARC、SPF和DKIM。
  • DMARC汇总报告帮助你获得对你的电子邮件生态系统的更多可见性,使你能够查看你的电子邮件认证结果,检测认证失败和缓解交付问题。
  • 通过执行你的DMARC政策,你可以阻止冒充你的品牌的恶意邮件进入你的接收者的邮箱。

关于提高电子邮件送达率的其他提示。

  • BIMI在收件人的收件箱中实现对你的品牌的视觉识别
  • 确保用MTA-STS 对传输中的邮件进行TLS加密
  • 通过TLS-RPT实现广泛的报告机制,检测和应对电子邮件交付问题

PowerDMARC是一个单一的电子邮件认证SaaS平台,它结合了所有的电子邮件认证最佳实践,如DMARC、SPF、DKIM、BIMI、MTA-STS和TLS-RPT,在同一个屋檐下。今天就注册使用PowerDMARC,并见证我们增强的电子邮件安全和认证套件在电子邮件交付能力方面的显著改善。