电子邮件安全一直是个难题。仅仅加密邮件还不足以防止黑客和垃圾邮件发送者利用邮件安全。这就是DMARC评估概念发挥作用的地方。DMARC 使用 DNS 来指定如何处理未通过以下验证的电子邮件 SPF, DKIM或两者都验证失败的电子邮件的处理方式。
这篇博客将讨论什么是DMARC,为什么你需要它,以及如何解决521 5.2.1 DMARC评估失败的错误。
什么是DMARC?
DMARCDMARC 是基于网域的邮件验证、报告和一致性(Domain-based Message Authentication, Reporting & Conformance)的缩写,是建立在SPF 和 DKIM协议基础上的电子邮件验证协议。信息从授权服务器发送到 DMARC 兼容域的 SPF 记录和/或DKIM 签名。如果检查成功,信息就会送达。但是,如果由于不符合 SPF 或 DKIM 要求而未能通过这两项检查,则会返回未送达信息。
截至2021年,与2020年相比,观察到的使用中的有效DMARC政策数量增加了84%之多,总数达到近500万条独特记录。
什么是SPF
SPF是发送者策略框架的简称,是一种检测和提供电子邮件验证协议 电子邮件欺骗的安全性.它让你创建一个DNS TXT记录,列出所有允许使用你的域名发送电子邮件的IP地址。SPF帮助ISP或电子邮件服务器验证来自某个特定域的邮件。
什么是DKIM?
DKIM是Domainkeys Identified Mail的缩写,是一个允许你以数字方式签署电子邮件的协议。它是通过使用公钥加密法的唯一标识符而不是IP地址来完成的。因此,接收服务器总是比较私人和公共哈希值,看它们是否匹配。
如果它们匹配,信息就会被验证;否则,它就被标记为垃圾邮件。
DMARC是如何依赖SPF和DKIM的?
DMARC依赖于SPF和DKIM电子邮件认证协议。它允许你描述收件人服务器应如何管理来自你的域名的未经授权的电子邮件。DMARC定义了另一个 DNS记录其中存储了发送域的公钥。这些记录允许接收电子邮件的服务器进行以下工作。
- 验证发件人的认证,以便使用SPF从源域发送电子邮件。
- 通过使用建立DKIM的数字签名集进行验证,对电子邮件进行认证。
- 决定接收方的邮件服务器应如何处理这些未经认证的邮件。
尽管电子邮件系统管理员试图对未经认证的邮件保持谨慎,但DMARC帮助他们决定如何处理这些邮件。这是通过设置三种策略之一来实现的;无、拒绝或隔离。
然而,你应该对你的团队进行培训,了解如何防止网络钓鱼和 BEC攻击以减轻风险。
DMARC如何限制我的信息
以下是你在DMARC评估失败时可能看到的一些信息。
"521 5.2.1 DMARC 评估失败:根据提供的 DMARC政策,该邮件未通过DMARC 评估并被拒收"。
"550 5.7.1- 由于域的DMARC政策,来自domain.tld的未经认证的电子邮件不被接受。如果这是一封合法的邮件,请联系domain.tld域名的管理员。请访问https://support.google.com/mail/answer/2451690,了解DMARC倡议的情况。62si14044909itw.103 - gsmtp"
你看到这些信息是由于DMARC错误。这通常发生在邮箱提供商不接受发件人域是他们的地址之一的邮件,而该邮件是从一个未经授权的邮件域服务提供商发出的。
这就是为什么Twilio SendGrid的账户不允许使用Gmail、AOL或Yahoo的发件人地址向任何事先验证了DMARC的域名发送邮件。这些复杂情况使得了解什么是DMARC评估以及如何解决评估失败的问题变得至关重要。
如果你仍然想发送电子邮件,你就必须把你的电子邮件地址改成另一个不受保护的电子邮件地址。最好是使用你自己的电子邮件域名,因为它是合法的。你也可以使用供应商的合法电子邮件域名。然后,你可以将Reply-To字段设置为先前设置为发件人地址的原始地址。
需要注意的是,DMARC评估失败的邮件可能会被丢弃,并被追踪为 被阻止.如果你想顺利发送,请如上所述调整你的发件人地址,然后再尝试从你的终端重新发送。
语法错误
在学习什么是DMARC评估的同时,你可能还想知道DNS记录的语法错误。常见的SMTP错误以554代码开始,表示交易的失败。这是一个永久性错误,服务器不会重新发送邮件。
- 一个评估 dmarc 策略(Protonmail)的 554 5.7.5永久错误是这样的;
来自远程服务器的响应是。
554 5.7.5 评估DMARC策略的永久错误
- 521 5.2.1评估dmarc策略的错误是这样的。
该邮件未能通过DMARC评估,并且由于提供的DMARC政策而被拒绝。
- 550 5.7.1评估dmarc策略的错误是这样的。
由于域名的dmarc政策,来自example.com的未经认证的电子邮件不被接受。
如何解决521 5.2.1 Dmarc评估失败的问题?
你可以采取什么措施来解决'此邮件未能通过DMARC评估 错误?
要使用DMARC,你必须调整SPF和自定义DKIM签名。接下来,你必须确保所有使用你的域名的电子邮件服务器都被更新。这也包括你公司在发布DMARC策略前在本地使用的那些。如果你收到一个反弹信息,指定一个由于没有SPF或DKIM对齐而导致DMARC评估失败的邮件,你需要更新策略。
你可以咨询我们的DMARC专家团队,以获得正确的指导和配置。
- 增强型网络钓鱼攻击中借口式诈骗的兴起- 2025 年 1 月 15 日
- 2025 年起支付卡行业将强制执行 DMARC- 2025 年 1 月 12 日
- 国家计算机安全委员会邮件检查变化及其对英国公共部门电子邮件安全的影响- 2025 年 1 月 11 日