什么是 DMARC 策略?无、隔离和拒绝
随着电子邮件继续成为企业和个人的重要通信渠道,DMARC等协议的重要性只会与日俱增。DMARC 的全称是 "基于域的消息验证、报告和一致性",它代表着电子邮件安全领域的一次重大飞跃。
DMARC 为电子邮件域名所有者提供了一个框架,用于发布电子邮件验证策略,帮助创建一个更可信的电子邮件生态系统。实施 DMARC 意味着企业可以主动保护其品牌、员工和客户免受基于电子邮件的威胁。
虽然 DMARC并不是解决所有电子邮件相关安全问题的万能药,但它是打击网络钓鱼和电子邮件欺骗攻击的重要工具。在本文中,我们将探讨 DMARC 策略、如何实施、挑战和优势,以及为什么要选择我们的托管 DMARC 解决方案来实施策略。
DMARC 为何重要
电子邮件很容易伪造,很难辨别真假。这就是 DMARC 的作用所在。DMARC 就像一个 电子邮件安全检查站,在允许邮件通过之前会验证发件人的身份。
福布斯》的一份报告估计,到 2025 年,与网络犯罪相关的成本预计将达到每年 10.5 万亿美元。同时, Verizon 报告称,在所有数据泄露事件中,有 30% 以上是由网络钓鱼攻击造成的,这凸显了 DMARC 等强大保护功能的必要性。
根据 IETF 的 RFC 7489,DMARC 具有允许电子邮件发件人设置验证首选项的独特功能。启用该功能后,您还可以获得有关电子邮件处理和潜在域名滥用的报告。这使得 DMARC 在域名验证方面真正脱颖而出。
要启动 DMARC 的设置过程,需要对 DNS 进行一些更改,并为协议添加 DNS TXT 记录。然而,对于非技术用户来说,手动实施 DMARC 协议可能相当复杂。如果您聘请外部 CISO 来为您的企业进行管理,成本甚至会相当高。因此, PowerDMARC的 DMARC 分析器是一个简单的替代方案。利用我们的 DMARC 分析器,我们可以自动设置 DMARC 策略,为您节省时间和金钱。
我在谷歌和雅虎 发布了新的电子邮件发件人要求之后,我找到了 PowerDMARC。PowerDMARC 很快就为我们提供了 DMARC 监控策略!它帮助我们慢慢地(但肯定地)转向强制政策,以获得更好的保护。"企业主 Rachel R. 报告说 。
什么是DMARC政策?
DMARC 策略是一种电子邮件验证系统,它使用域名系统 (DNS) 来指示接收邮件服务器如何处理声称来自自己域名但未通过验证检查的电子邮件。它由 DMARC 记录中的 "p "标记表示,该标记指定了邮件服务器在邮件未通过 DMARC 验证时应采取的措施。
DMARC 策略可以帮助您确定如何严格处理可能试图冒充您的品牌的电子邮件。将其视为组织域的保安。根据您的 ID,保安决定是否允许您进入大楼(这里指收件人的收件箱)。他可能会阻止你进入(拒绝),可能会将你发送到一个特殊的地方进行进一步审查(隔离),也可能直接让你进入(不允许)。
当您的 DMARC 策略为 p=reject 时,它可以帮助您防止欺骗、网络钓鱼和域名滥用,就像一个 "禁止擅闯 "标志,提醒那些试图冒充您品牌的不良行为者。
因此,概括地说,三种 DMARC 策略类型包括
- DMARC 无:仅监控 "策略,不提供任何保护。适合部署初期使用。邮件会送达,但会生成未验证邮件的报告。
- DMARC 隔离:可疑邮件会被标记,并放入收件人的垃圾邮件文件夹中进行审查。
- DMARC 拒绝:最严格的选项,它指示接收服务器完全拒绝未经验证的电子邮件。
让我们更广泛地了解这些政策,以及如何和何时实施每项政策。
3 种 DMARC 政策:p=拒绝、p=无、p=隔离
您可以将 DMARC 记录设置为 "无"、"隔离 "或 "拒绝",但使用哪一种取决于电子邮件域名所有者希望建立的执行级别。这些策略选项之间的主要区别取决于接收邮件传输代理在遵守邮件发件人在其 DNS 记录中定义的指定策略时所采取的行动。
1.DMARC无政策
DMARC 策略无 (p=none) 是一种宽松模式,不会触发接收方的任何操作。该策略可用于监控电子邮件活动,通常在 DMARC 实施的初始阶段用于监控和数据收集。
它不提供任何级别的网络攻击保护,允许发送所有邮件,无论验证结果如何。该选项使用 "p=none "标记在DMARC 记录中指定。
例如:v=DMARC1; p=none; rua= mailto:(电子邮件地址);
无 政策实施用例
- 选择 "无 "策略的域名所有者的主要目的应该是收集发送源的信息,并对其通信和可发送性进行监控,而不会倾向于严格的身份验证。这可能是因为他们尚未准备好强制执行,正在慢慢分析当前形势。
- 接收电子邮件系统将从配置了此策略的域发送的邮件视为 "无操作 "邮件,这意味着即使这些邮件未能通过 DMARC,也不会采取任何措施丢弃或隔离它们。这些邮件将成功送达您的客户。
- 如果设置了 "p=none",则仍会生成DMARC 报告。收件人的 MTA 会向组织域所有者发送汇总报告,为看似来自其域的邮件提供详细的 电子邮件验证状态信息。
2.DMARC 检疫政策
该选项在DMARC 记录中使用 "p=quarantine "标记指定。p=quarantine 提供了一定程度的保护,因为域所有者可以提示接收者将 电子邮件退回 到垃圾邮件或隔离文件夹,以便在DMARC 失败时稍后再查看。
该策略指示接收邮件服务器以怀疑的态度对待 DMARC 验证失败的邮件。它通常作为 "无 "和 "拒绝 "之间的中间步骤来实施。
例如:v=DMARC1; p=quarantine; rua=mailto:(电子邮件地址);
隔离策略实施用例
- 隔离 "政策不是直接丢弃未经验证的电子邮件,而是采取 "先验证后信任 "的方法,为域名所有者提供维护安全的能力,同时还提供在接受电子邮件之前对其进行审查的选项。
- 将 DMARC 策略更改为 DMARC 隔离,可确保未通过 DMARC 验证的合法邮件不会在您仔细检查之前丢失。
- 在执行方面,这种方法可被视为中间方法,有利于平稳过渡到 p=拒绝,域名所有者可以
a) 评估 DMARC 对电子邮件的影响
b) 就是否应该丢弃标记的电子邮件做出明智的决定。 - 隔离策略还有助于减少收件箱中的杂乱信息,确保收件箱中的垃圾邮件文件夹不会过多。
3.DMARC 拒绝政策
该选项在 DMARC 记录中使用 "p=reject "指定。这是最严格的策略,告诉接收方拒绝未经验证的邮件。
DMARC 拒绝提供最大限度的执行,确保不通过 DMARC 检查的邮件根本不会被发送。当域名所有者对其电子邮件验证设置有信心时,就可以执行该策略。
例如:v=DMARC1; p=reject; rua= mailto:(电子邮件地址);
拒绝政策实施用例
- DMARC 拒绝增强了电子邮件的安全性。它可以防止攻击者发起网络钓鱼攻击或直接域名欺骗。DMARC 的拒收策略可阻止欺诈性电子邮件,将可疑邮件拦截在外。
- 如果您有足够的信心不隔离可疑邮件,那么 "拒绝 "策略就很适合您。
- 在选择拒绝 DMARC 之前,必须进行全面测试和计划。
- 在 DMARC 拒绝时,确保为您的域启用 DMARC 报告。
- 要 DIY 您的执行之旅,请从 p=none 开始,然后在监控每日报告的同时慢慢过渡到拒绝。
其他 DMARC 政策
DMARC 提供额外的策略参数,以便对实施进行微调。
- 百分比 (pct=) 参数允许通过指定受 DMARC 限制的邮件部分来逐步推广策略。
例如:pct=50 将策略应用于 50% 的邮件。 - 子域策略 (sp=) 是一种 DMARC 策略记录,可为子域设置单独的规则。当需要对子域进行不同处理时,该策略非常有用。
例如:v=DMARC1; p=reject; sp=quarantine; rua=mailto:[email protected]`
DMARC 报告选项
DMARC 的报告选项包括
- 汇总报告 (rua=),提供有关验证结果和发送源的高级数据。
- 取证报告 (ruf=) 可获取详细的身份验证失败信息。
通过这些参数,企业可以收集有关 DMARC 验证结果的宝贵信息,了解未通过或通过 DMARC 验证的电子邮件数量。DMARC 报告也有帮助:
- 确定潜在问题和虐待模式
- 检测其电子邮件设置中的错误配置
- 深入了解电子邮件行为和邮件流
- 查看SPF 和 DKIM协议的验证结果
分阶段实施 DMARC 政策的方法
在现实世界中实施基于网域的邮件验证、报告和一致性策略通常采用分阶段的方法。这种方法允许企业逐步加强电子邮件安全,同时最大限度地降低干扰合法电子邮件流的风险。
您可以按照本指南自行执行 DMARC 政策。不过,理想情况下,我们建议您选择我们的 托管 DMARC解决方案,以获得专家协助。我们的专业人员会指导您的 DMARC 实施和整个执行过程。
以下是优化后的时间表:
观察和数据收集
这个阶段大约持续 2-4 周,但对于复杂的组织来说可能会更长。在这一阶段,你要
- 执行 p=none,因为该策略不会影响电子邮件的发送,但会开始收集数据。您还应设置 DMARC记录:
v=DMARC1; p=none; rua=mailto:[email protected] - 分析 DMARC 报告:您应该查看汇总 (RUA) 报告,以了解电子邮件模式。这些报告还能帮助您识别未经正确验证的合法电子邮件来源。
- 纠正身份验证问题:努力为所有合法电子邮件源正确配置 SPF(发件人策略框架)和 DKIM(域键识别邮件)。这可能需要您与使用您域名的第三方发件人进行协调。
有限检疫
这种情况大约会持续 2-4 周,你应该这样做:
- 实施有限的隔离策略:首先更新 DMARC 记录:
v=DMARC1; p=quarantine; pct=5; rua=mailto:[email protected]
此 DMARC 示例记录仅对 5% 的不合规电子邮件应用隔离策略。 - 监控影响:密切关注对合法电子邮件造成的任何意外后果。然后继续分析 DMARC 报告,找出改进之处和遗留问题。
- 逐步增加:逐步增加 pct 值(例如,5% → 25% → 50% → 75% → 100%)。根据遇到问题的数量调整时间。
全面隔离
这种情况大约会持续 2-4 周。您应该
- 实施全面隔离策略。为此,将 DMARC 记录更新为
v=DMARC1; p=quarantine; rua=mailto:[email protected]
这将对 100% 不符合要求的电子邮件应用隔离策略。 - 最后调整:解决任何剩余的身份验证问题,并确保所有合法的电子邮件来源都已正确配置。
拒绝政策
这是一个持续的阶段,只有当域名所有者对其电子邮件验证设置有信心时才可实施。您应该
- 实施拒绝政策。为此,请将 DMARC 记录更新为
v=DMARC1; p=reject; rua=mailto:[email protected]
现在,不合规的电子邮件将被接收邮件的服务器拒绝。 - 持续监控:定期查看 DMARC 报告以发现任何新问题,并对电子邮件模式的变化或新的合法发件人保持警惕。
其他考虑因素
如果您要自行实施 DMARC 身份验证策略,这里有几点需要注意:
- 子域政策:仅在必要时考虑为子域实施单独的策略。
例如:v=DMARC1; p=reject; sp=quarantine; rua=mailto:[email protected] - 取证报告:考虑添加 RUF(取证)报告,以获取详细的故障信息。
例如:v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected] - 利益相关者沟通:在整个过程中随时向所有相关方(IT、市场营销、业务部门)通报情况。
- 第三方发件人管理:维护经授权的第三方发件人的最新清单,并与他们密切合作以确保合规。
- 政策调整:做好准备,一旦出现重大问题,可暂时恢复较宽松的政策。
请记住,每个阶段的时间安排可能会有很大差异,这取决于企业电子邮件基础设施的复杂程度和实施过程中遇到的问题数量。
实施 DMARC 的常见挑战
虽然 DMARC 为电子邮件安全带来了巨大的好处,但企业在实施过程中往往会面临一些挑战。这就是大多数人选择我们的托管 DMARC服务的原因--该服务可帮助您在云平台上轻松配置、监控和更新 DMARC 解决方案。
PowerDMARC 的托管 DMARC 允许您完全控制 DMARC 合规性,同时无需了解技术细节的来龙去脉。以下是您在手动实施 DMARC 策略时可能会遇到的一些最常见问题,以及解决这些问题的策略:
- 识别所有电子邮件来源
许多组织都在努力识别使用其域名的所有合法电子邮件来源。您应该对所有电子邮件系统进行彻底审计,包括营销工具、客户关系管理系统和第三方服务。使用初始 DMARC 记录 "p=none "策略,收集从组织发送邮件的所有 IP 地址的数据,并与所有部门合作,确保不会忽略任何电子邮件来源。
- 调整所有来源的 SPF 和 DKIM
确保对所有合法电子邮件来源进行正确的 SPF 和 DKIM 身份验证可能很复杂,尤其是第三方发件人。为了解决这个问题,您需要与第三方供应商密切合作,实施适当的身份验证。您还可以考虑使用电子邮件网关或 DKIM 签名服务来集中验证。最后,考虑分阶段实施,首先关注高发送量的发件人。
- 管理大量电子邮件
发送数百万封电子邮件的大型组织可能会发现,有效监控和响应 DMARC 反馈具有挑战性。请考虑投资DMARC自动报告工具,以处理大量数据。您还可以使用 "pct "标签逐步实施策略变更,以管理过渡或将DMARC 监控和分析外包给专业服务。
- 平衡安全性和可交付性
严格的 DMARC 检查策略有时会影响合法电子邮件的送达。要解决这个问题,可以考虑分阶段逐步提高严格程度。同时,在政策变更期间密切监控电子邮件的送达度量,并做好准备在出现重大问题时迅速调整政策。
- 跨大型机构协调
在复杂的大型企业中,协调不同部门和地区的 DMARC 实施工作可能很困难。要解决这个问题,可以建立一个跨职能的 DMARC 实施团队,并制定明确的沟通渠道和问题报告流程。此外,在整个组织内创建和分发有关 DMARC 的教育材料。
- 处理转发的电子邮件
电子邮件转发会破坏 DKIM 签名、导致 SPF失败和DMARC 失败。因此,要让用户了解电子邮件转发对 DMARC 的影响。同时,考虑实施验证接收 ChainARC),通过转发保留验证。
- 管理子域名
组织可能对其主域和子域有不同的要求。您可以使用 "sp "标签为子域设置单独的策略。建议尽量维护所有子域及其电子邮件使用情况的清单。
- 解读 DMARC 报告
DMARC 汇总报告和取证报告可能很复杂,令人不知所措。投资购买能提供清晰可视化和洞察力的 DMARC 报告工具,对 IT 员工进行解读 DMARC 报告的培训,并考虑与 DMARC 专家合作进行报告分析和提出建议。
- 保持持续合规
随着电子邮件系统和发送模式的发展,DMARC 需要持续关注和维护。因此,应制定定期计划,审查 DMARC 报告并调整策略。此外,对新的电子邮件系统或发件人实施变更管理流程,并对电子邮件验证设置进行定期审核。
通过预测这些挑战并制定应对策略,企业可以顺利地成功实施 DMARC,并保持强大的电子邮件安全性。
执行 DMARC 政策的好处
让我们深入了解为您的域设置严格的 DMARC 策略的优势:
1.直接防范网络钓鱼和 BEC
在 DMARC 拒绝(DMARC 执行)时,任何未通过验证的电子邮件都会被丢弃。这可以防止欺诈性电子邮件进入收件人的收件箱。因此,它能直接防止网络钓鱼攻击、欺骗、BEC 和 CEO 欺诈。
这一点尤为重要,因为
2.防范恶意软件的第一道防线
勒索软件和恶意软件通常通过 假冒发件人域从外部域发送的 虚假电子邮件传播。它们可以渗透并完全接管您的操作系统。拒收 DMARC 策略可确保将未经验证的电子邮件拦截在客户收件箱之外。
这将自动防止客户点击有害附件。并进一步将客户在不知情的情况下将勒索软件或恶意软件下载到其系统中的几率降至最低。在这里,您的 DMARC 策略是抵御这些攻击的一道基本防线。
3.监控电子邮件渠道
如果您只想监控您的邮件交易和发送源,p=none 的 DMARC 记录就足够了。但是,这并不能保护您免受网络攻击。
4.在发送前审查可疑电子邮件
如果不想直接阻止未经授权的电子邮件,可以对其进行隔离。只需利用隔离 DMARC 策略,就能在接受可疑邮件之前对其进行审查。这将把 DMARC 配对检查失败的邮件放入隔离文件夹,而不是收件箱。
哪种 DMARC 策略类型最好,为什么?
如果您想最大限度地提高电子邮件安全,并启用 Gmail 的蓝勾功能,DMARC 拒绝是最好的 DMARC 策略。这是因为在 p=reject 时,域名所有者会主动将未经授权的邮件拦截在客户收件箱之外。
您的 DMARC 策略可提供高度的网络攻击防护。这包括直接域名欺骗、网络钓鱼和其他形式的冒充威胁。因此,它也是一种有效的 反网络钓鱼策略。
在 DMARC 执行中,您还可以实施 BIMI。通过 BIMI,您可以在 Gmail 和 Yahoo 收件箱中为您的电子邮件启用蓝色复选标记,这非常酷!
破解常见的 DMARC 政策误区
关于 DMARC 政策有一些常见的误解。其中一些可能会给您的邮件发送带来可怕的后果。让我们来了解一下这些误解及其背后的真相:
1.DMARC 不能防止欺骗
DMARC none 是一种 "不采取行动 "的策略,不能保护您的域名免受网络攻击。p=none 策略经常被攻击者用作利用域名和电子邮件的安全漏洞。
多年来,一些域名所有者向 PowerDMARC 求助,解释他们是如何在实施了 DMARC 的情况下仍被欺骗的。经过进一步审查,我们的专家发现他们中的大多数人都将 DMARC 策略配置为 "无"。
2.在 p=none 时不会收到 DMARC 报告
即使在 p=none 时,只需为发件人指定一个有效的电子邮件地址,就能继续接收每日 DMARC 报告。
3.DMARC "隔离 "并不重要
DMARC 中的隔离策略经常被忽视,它在过渡阶段非常有用。域名所有者可以部署该策略,以实现从 "不采取行动 "到 "最大限度执行 "的平稳过渡。
4.DMARC 拒绝对可送达性的影响
即使在 DMARC 拒绝的情况下,您也可以确保您的合法电子邮件能够顺利送达。监控和分析发件人的活动会有所帮助。您还必须查看验证结果,以便更快地发现失败。
排除 DMARC 策略错误
使用 DMARC 时,您可能会遇到错误信息。以下是一些常见的 DMARC 策略错误:
- 语法错误:在设置记录时应注意任何语法错误,以确保协议正常运行。
- 配置错误:配置 DMARC 策略时出错很常见,使用DMARC 检查工具可以避免。
- DMARC sp 策略:如果您配置了 DMARC 拒绝策略,但将 子域策略设置为 "无",则无法实现合规性。这是由于出站电子邮件的策略覆盖造成的。
- "DMARC 策略未启用"错误:如果您的域名报告高亮显示此错误,则表明您的 DNS 中缺少 DMARC 域名策略,或者该策略被设置为 "无"。编辑您的记录,将 p=reject/quarantine 加入其中,这样就可以解决问题。
使用 PowerDMARC 执行 DMARC 政策
PowerDMARC 的 DMARC 分析仪平台可帮助您毫不费力地设置 DMARC 协议。使用我们的云原生界面,只需点击几下按钮即可监控和优化您的记录。让我们来了解一下它的主要优势:
- PowerDMARC 为您的 DMARC 聚合报告提供 7 种视图和过滤机制。每个视图的设计都是为了在任何 DMARC 策略模式下有效监控您的电子邮件流。
- 汇总报告易读、人性化、可导出
- 可对法证报告进行加密,以隐藏私人信息
- 我们的托管 DMARC 功能允许您轻松更新 DMARC 策略模式。您可以切换到 p=reject 模式,并实时有效地监控您的协议。为此,您无需进入 DNS 管理控制台。
- 我们的 24 小时积极支持团队将帮助您从宽松的 DMARC 政策顺利过渡到强制 DMARC 政策。这可以最大限度地提高您的安全性,同时确保可送达性。
- 您可以设置自定义电子邮件警报,以检测任何恶意活动,并尽早对威胁采取行动。
- 我们支持平台上的多租户和多语言翻译。这包括英语、法语、德语、日语、荷兰语、意大利语、西班牙语、俄语、挪威语、瑞典语和简体中文。
立即联系我们,实施 DMARC 政策并轻松监控结果!
DMARC 政策常见问题解答
如何知道我的电子邮件是否符合 DMARC 标准?
PowerDMARC 客户可以通过查看仪表板摘要轻松评估其合规性。他们还可以借助 PowerAnalyzer 分析当前的安全状况。
如何修复 DMARC 策略?
您可以进入 DNS 管理页面手动修复策略。进入后,您需要编辑 DMARC TXT 记录。更简单的解决方案是使用我们的托管解决方案,只需单击一下即可更改策略。
默认 DMARC 策略是什么?
如果使用我们的 DMARC 生成器工具添加策略,我们会将 "无 "指定为默认模式。在手动执行过程中,您必须在 "p="字段中定义您的策略。否则,您的记录将被视为无效。
我们的内容和事实核查审查流程
本内容由网络安全专家撰写。我们的内部安全团队对其进行了仔细审核,以确保技术准确性和相关性。所有事实均已根据 IETF 官方文档进行核实。文中还提到了支持这些信息的报告和统计数据。
- 修复 SPF 错误克服 SPF DNS 查询次数过多限制- 2024 年 4 月 26 日
- 如何用三个步骤发布 DMARC 记录?- 2024 年 4 月 2 日
- DMARC 为什么会失败?在 2024 年修复 DMARC 故障- 2024 年 4 月 2 日