3 种 DMARC 策略类型：无、隔离和拒绝

由于冒充合法和知名组织的威胁增加，电子邮件验证已成为网络安全的重要实践。在发件人的 DNS 中定义 DMARC 政策，并将其纳入一个简单的 TXT 记录，可以成功解决这些问题，并提高发件人的邮件送达率。 

域的 DMARC 策略包含电子邮件接收者如何处理未通过身份验证检查的邮件的说明。该策略可以指定三种可能的操作：

• DMARC 无 
• DMARC 检疫 
• DMARC 拒绝 

将 DMARC 政策设置为 "拒绝"，可大大降低域名滥用、品牌冒充、网络钓鱼和欺骗攻击的风险。

用于电子邮件验证和欺骗保护的 DMARC

DMARC或 "基于域的消息验证、报告和一致性"（Domain-based Message Authentication, Reporting and Conformance）协议，是在其他两个协议（即 SPF（发件人策略框架）和 DKIM（域键识别邮件））的帮助下对电子邮件进行验证的协议。域名所有者可以使用其中一个协议或两个协议配置 DMARC，以获得更强大的网络攻击防护。

要启动设置过程，您需要对 DNS 进行一些更改，并为协议添加 DNS 记录。激活后，您的 DMARC 策略记录将根据 SPF 和 DKIM 验证从您的域名发送的每封邮件，以确定邮件是否来自真实来源，如果不是，则决定如何处理。 

什么是DMARC政策？

DMARC 策略是一种 TXT 指令，用DMARC 记录中的 "p "标记表示，它向接收邮件的服务器说明如果邮件未能通过 DMARC 验证，他们应该采取的措施。发件人可以选择不同的策略，这取决于他们希望收件人如何严格处理不符合要求的电子邮件，例如，p=reject 这样的强制 DMARC 策略可以有效减少网络钓鱼、欺骗和域名冒充等威胁，而 p=none 则没有任何效果。

3 种 DMARC 策略：p=拒绝、p=无、p=隔离

根据域名所有者希望建立的执行级别，有 3 种主要 DMARC 策略类型--无、隔离和拒绝。这些策略选项之间的主要区别取决于接收邮件传输代理在遵守邮件发件人在其 DNS 记录中定义的指定策略时所采取的行动。 

.这里，p 是指定 DMARC 策略的参数：

• DMARC 无:仅监控 "策略，不提供任何保护，适合部署初期使用。
• DMARC 隔离:标记或隔离未经授权的电子邮件。
• DMARC 拒绝：阻止收件箱访问未经授权的电子邮件

1.DMARC无政策

DMARC 策略无 (p=none) 是一种宽松的 DMARC 策略，在 DMARC 的初始实施阶段实施，用于监控电子邮件活动，最适合刚刚开始验证之旅的组织。它不提供任何级别的网络攻击保护。

示例：v=DMARC1; p=none; rua= mailto:（电子邮件地址）；

主要启示 

• 选择 "无 "策略的域名所有者的主要目的应该是收集发送源的信息，并对其通信和可发送性进行监控，而不会倾向于严格的身份验证。这可能是因为他们尚未准备好强制执行，正在慢慢分析当前形势。 
• 接收电子邮件系统将从配置了此策略的域发送的邮件视为 "无操作 "邮件，这意味着即使这些邮件未能通过 DMARC，也不会采取任何措施丢弃或隔离它们。这些邮件将成功送达您的客户。  
• 如果设置了 "p=none"，则仍会生成DMARC 报告。收件人会将汇总报告传送给域所有者，为看似来自其域的邮件提供详细的验证状态信息。

2.DMARC 检疫政策

p= 隔离区提供了一定程度的保护，因为域所有者可以提示接收者将邮件回滚到垃圾邮件文件夹，以便日后审查，以防万一 DMARC 失败.

例如：v=DMARC1; p=quarantine; rua=mailto:（电子邮件地址）；

隔离 "政策不是直接丢弃未经验证的电子邮件，而是采取 "先验证后信任 "的方法，为域名所有者提供维护安全的能力，同时还提供在接受电子邮件之前对其进行审查的选项。 

这可以确保在您仔细检查之前，未通过 DMARC 验证的合法邮件不会丢失。在执行方面，这种方法可被视为中间方法，有利于顺利过渡到 p=拒绝，域名所有者可以 a) 评估 DMARC 对电子邮件的影响，b) 就是否应该丢弃标记的电子邮件做出明智的决定。

3.DMARC 拒绝政策

最后，拒绝 DMARC 策略（p=reject）是一种执行策略，可确保收件人的电子邮件服务器拒绝和丢弃未通过 DMARC 验证的邮件，从而提供最大程度的执行。

示例： v=DMARC1; p=reject; rua= mailto:（电子邮件地址）；

DMARC 拒绝可以阻止可疑邮件，从而防止网络钓鱼攻击、直接域名欺骗和其他欺诈性电子邮件。如果你有足够的信心不给未经授权的电子邮件留有余地，将它们转到单独的文件夹进行审查，那么 "拒绝 "策略就很适合你。 

不过，请记住以下几点： 

• 在选择 DMARC 拒绝之前进行彻底测试和计划 
• 确保您的域已启用报告功能
• 最好选择托管DMARC 解决方案，以便在 DMARC 实施和整个执行过程中获得专家协助。

执行 DMARC 政策的好处

让我们深入了解为您的域设置严格的 DMARC 策略的优势： 

1.直接防范网络钓鱼和 BEC

当您使用 DMARC 拒绝功能时，来自未经验证来源的电子邮件在进入收件人收件箱之前就会被自动丢弃，从而提供直接保护，防止网络钓鱼攻击、商业电子邮件泄露和 CEO 欺诈。 

2.防范勒索软件和恶意软件的第一道防线

勒索软件和恶意软件通常通过假冒域名发送的虚假电子邮件传播，并可能渗透和完全接管您的操作系统。拒收 DMARC 策略可确保在客户有机会点击有害附件并在不知情的情况下将勒索软件或恶意软件下载到其系统之前，将伪造电子邮件拦截在客户收件箱之外，从而成为抵御这些攻击的一道基本防线。 

最佳 DMARC 策略类型

如果您想最大限度地提高电子邮件安全，DMARC 拒绝是最好的 DMARC 策略.这是因为在 p=reject 时，域名所有者会主动阻止未经授权的邮件进入客户收件箱。这为直接域名欺骗、网络钓鱼和其他形式的冒充威胁提供了高度保护，使其成为一种有效的反钓鱼策略。

• 监控您的电子邮件渠道:如果您只想监控您的邮件交易和发送源，p=none 的 DMARC 就足够了。但这并不能保护您免受网络攻击。
• 防范网络钓鱼和欺骗攻击:如果您想保护您的域名免受网络钓鱼攻击和直接域名欺骗，DMARC p=reject 是必不可少的。它提供最高级别的 DMARC 执行并有效减少冒充攻击。
• 在发送之前审查可疑邮件： 如果您不想直接阻止未经授权的电子邮件，您可以让收件人在隔离区中查看这些电子邮件 文件夹使用 DMARC 隔离区作为最佳选择。

破解常见的 DMARC 政策误区 

关于 DMARC 策略有一些常见的误解，其中一些可能会对邮件发送造成严重后果。让我们来了解一下它们是什么，以及它们背后的真相是什么： 

1.DMARC none 可以防止欺骗： DMARC none 是一种 "不采取行动 "的策略，不能保护您的域名免受网络攻击。

哪种 DMARC 策略可以防止欺骗？

DMARC p=reject 是唯一能有效防止欺骗攻击的 DMARC 策略。这是因为 DMARC 拒绝会阻止未经授权的电子邮件到达收件人的收件箱，从而阻止他们接受、打开和阅读不良电子邮件。

2.当 p=none 时，您不会收到 DMARC 报告： 即使在 p=none 时，只需为发件人指定一个有效的电子邮件地址，就能继续接收每日 DMARC 报告。

3.DMARC "隔离 "并不重要:DMARC 中的 "隔离 "策略经常被忽视，但它对于希望从 "不采取行动 "平稳过渡到 "最大限度执行 "的域名所有者来说却非常有用。

4.DMARC 拒绝会影响送达能力： 即使在 DMARC 拒绝的情况下，您也可以通过监控和分析发件人的活动以及查看验证结果来确保邮件的无缝发送。

设置DMARC策略的步骤

步骤 1： 为您的域名启用 SPF 或 DKIM，方法是 生成免费记录.

步骤 2： 使用我们的 DMARC 生成器工具创建 DMARC 记录。确保填写 DMARC p= 参数，以定义 DMARC 策略，如下例所示：

v=DMARC1; pct=100; p=reject; rua=mailto:[email protected]；

第 3 步 在 DNS 上发布此记录

排除 DMARC 策略错误

语法错误

在设置记录时，你应该警惕任何语法错误，以确保你的协议功能正确。

配置错误

配置 DMARC 策略时出错很常见，可以通过使用 DMARC 检查器工具来避免。

DMARC sp政策

如果您配置了 DMARC 拒绝策略，但设置了 子域策略为 "无"，则由于出站电子邮件上的策略覆盖，您将无法实现合规性。

"DMARC 策略未启用 "错误

如果您在报告中遇到此错误信息，这说明您的 DNS 中缺少 DMARC 域策略或该策略被设置为 "无"。编辑您的记录，将 p=reject/quarantine 加入其中，这样就能解决问题。 

更新、执行和优化 DMARC 政策的更安全方法

PowerDMARC 的 DMARC 分析器平台旨在帮助您毫不费力地设置 DMARC 协议，同时提供一个云原生界面，只需点击几下按钮即可监控和优化您的记录。让我们来了解一下它的主要优势：

从 p=none 到 p=reject 的平稳转变

PowerDMARC 的广泛报告机制为您的 DMARC 提供了 7 种视图和过滤机制 DMARC 分析仪仪表板上的汇总报告可在 DMARC 无时有效监控您的电子邮件流。

更新和改变你的DMARC政策模式

通过我们的托管 DMARC 功能，您无需进入 DNS 管理控制台，即可更新 DMARC 策略模式，转为 p=拒绝，并实时有效地监控协议。

白手套支持

我们的 24 小时积极支持团队可帮助您从宽松的 DMARC 政策顺利过渡到强制 DMARC 政策，从而最大限度地提高您的安全性，同时确保交付能力。

自定义警报 

设置自定义电子邮件警报，以检测任何恶意活动，并尽早对威胁采取行动

联系我们立即实施 DMARC 政策并轻松监控结果！