什么是 DMARC 策略?无、隔离和拒绝

博客,DMARC

了解 3 种 DMARC 策略选项:无、隔离和拒绝。了解如何实施这些策略来保护您的域免受电子邮件攻击。

作者:Maitham Al Lawati

阅读时间 9 分钟
什么是 DMARC 策略?无、隔离和拒绝
目录-

随着电子邮件继续成为重要的通信渠道,DMARC 政策对企业和个人的重要性也将与日俱增。DMARC 的全称是基于域的消息验证、报告和一致性。它代表着电子邮件安全领域的一次重大飞跃。

DMARC 为电子邮件域名所有者提供了一个框架,用于发布电子邮件验证策略,帮助创建一个更可信的电子邮件生态系统。实施 DMARC 意味着企业可以主动保护其品牌、员工和客户免受基于电子邮件的威胁。

虽然 DMARC并不是解决所有电子邮件相关安全问题的万能药,但它是打击网络钓鱼和电子邮件欺骗攻击的重要工具。在本文中,我们将探讨 DMARC 策略、如何实施、挑战和优势,以及为什么要选择我们的托管 DMARC 解决方案来实施策略

主要收获

  1. DMARC 是一项重要的电子邮件验证协议,有助于保护域免受网络钓鱼和欺骗
  2. DMARC 的三个策略选项包括 "无"、"隔离 "和 "拒绝",每个选项都有不同的执行级别。
  3. 实施 DMARC 可以大大降低网络钓鱼攻击的风险,而网络钓鱼攻击是造成数据泄露的主要原因。
  4. DMARC 的 DNS 配置可能比较复杂,可能需要专业技术知识才能有效实施。
  5. 利用 PowerDMARC 等自动化解决方案可以简化DMARC 设置流程,增强监控和报告功能。

什么是DMARC政策?

DMARC 策略是一种电子邮件验证系统,它使用域名系统 (DNS)来指示接收邮件服务器如何处理声称来自自己域名但未通过验证检查的电子邮件。它由 DMARC 记录中的 "p "标记表示,该标记指定了邮件服务器在邮件未通过 DMARC 验证时应采取的措施。

正确实施的政策可以帮助您确定如何严格处理可能试图冒充您的品牌的电子邮件。将其视为组织域的保安。根据您的身份,保安决定是否允许您进入大楼(这里指收件人的收件箱)。他可能会阻止你进入(拒绝),可能会将你发送到一个特殊的地方进行进一步审查(隔离),也可能直接让你进入(不允许)。

将 DMARC 策略设置为 p=reject 时,可以帮助您防止欺骗、网络钓鱼和域名滥用,就像一个 "禁止闯入 "标志,防止坏人冒充您的品牌。

什么是达尔富尔政策

3 个 DMARC 策略选项:无、隔离和拒绝

DMARC 的三种策略类型是

1.DMARC 无:

仅监控 "政策不能提供任何保护。它适用于部署初期。邮件会被送达,但会为未经验证的邮件生成报告。在 DMARC 记录 ,这将用 "p=none "表示。

2.DMARC 隔离区:

可疑邮件会被标记并放入收件人的垃圾邮件文件夹进行审查。DMARC 记录中,这将用 "p=quarantine "表示。

3.DMARC 拒绝:

最严格的选项是指示接收服务器完全拒绝未经验证的电子邮件。在 DMARC 记录中,这将用 "p=reject "来表示。

Which one you use depends on the level of enforcement email domain owners want to establish. The main difference between these policy options is determined by the action taken by the receiving mail transfer agent when adhering to the specified policy defined by the mail sender in their DNS records.
<

使用 PowerDMARC 简化 DMARC 策略!

开始15天试用 预定演示
h2>1.DMARC 政策:无

当策略设置为 "无 "时的收件箱

DMARC 策略无 (p=none) 是一种宽松模式,不会触发接收方的任何操作。该策略可用于监控电子邮件活动,通常在 DMARC 实施的初始阶段用于监控和数据收集。

它不提供任何级别的网络攻击保护,允许发送所有邮件,无论验证结果如何。该选项使用 "p=none "标记在 DMARC 记录中指定。

例如:v=DMARC1; p=none; rua= mailto:(电子邮件地址);

无 政策实施用例

  • 选择 "无 "策略的域名所有者的主要目的应该是收集发送源的信息,并对其通信和可发送性进行监控,而不会倾向于严格的身份验证。这可能是因为他们尚未准备好强制执行,正在慢慢分析当前形势。
  • 接收电子邮件系统将从配置了此策略的域发送的邮件视为 "无操作 "邮件,这意味着即使这些邮件未能通过 DMARC 策略,也不会采取任何措施丢弃或隔离它们。这些邮件将成功送达您的客户。
  • 如果设置了 "p=none",则仍会生成DMARC 报告。收件人的 MTA 会向组织域所有者发送汇总报告,为看似来自其域的邮件提供详细的 电子邮件验证状态信息。

2.DMARC 策略:隔离

当策略设置为 "隔离 "时的收件箱

该选项在 DMARC 记录中使用 "p=quarantine "标签指定。p=quarantine提供了一定程度的保护,因为域所有者可以提示接收者将 电子邮件退回 到垃圾邮件或隔离文件夹,以便在DMARC 失败时稍后再查看。

该策略指示接收邮件服务器以怀疑的态度对待 DMARC 验证失败的邮件。它通常作为 "无 "和 "拒绝 "之间的中间步骤来实施。

例如:v=DMARC1; p=quarantine; rua=mailto:(电子邮件地址);

隔离策略实施用例

  • 隔离 "政策不是直接丢弃未经验证的电子邮件,而是采取 "先验证后信任 "的方法,为域名所有者提供维护安全的能力,同时还提供在接受电子邮件之前对其进行审查的选项。
  • 将 DMARC 策略更改为 DMARC 隔离,可确保未通过 DMARC 验证的合法邮件不会在您仔细检查之前丢失。
  • 在执行方面,这种方法可被视为中间方法,有利于平稳过渡到 p=拒绝,域名所有者可以
    a) 评估 DMARC 对电子邮件的影响
    b) 就是否应该丢弃标记的电子邮件做出明智的决定。
  • 隔离策略还有助于减少收件箱中的杂乱信息,确保收件箱中的垃圾邮件文件夹不会过多。

3.DMARC 政策:拒绝

当策略设置为 "拒绝 "时的收件箱

该选项在 DMARC 记录中使用 "p=reject "指定。这是最严格的策略,告诉接收方拒绝未经验证的邮件。

DMARC 策略拒绝提供最大限度的执行,确保不通过 DMARC 检查的邮件根本不会被发送。当域名所有者对其电子邮件验证设置有信心时,就可以执行该策略。

例如:v=DMARC1; p=reject; rua= mailto:(电子邮件地址);

拒绝政策实施用例

  • DMARC 策略拒绝可增强电子邮件的安全性。它可以防止攻击者发起网络钓鱼攻击或直接域名欺骗。DMARC 的拒绝策略可以阻止欺诈性电子邮件,屏蔽掉可疑邮件。
  • 如果您有足够的信心不隔离可疑邮件,那么 "拒绝 "策略就很适合您。
  • 在选择拒绝 DMARC 之前,必须进行全面测试和计划。
  • 在 DMARC 拒绝时,确保为您的域启用 DMARC 报告。
  • 要 DIY 您的执行之旅,请从 p=none 开始,然后在监控每日报告的同时慢慢过渡到拒绝。

其他 DMARC 政策

DMARC 提供额外的策略参数,以便对实施进行微调。

  1. 百分比 (pct=) 参数允许通过指定受 DMARC 限制的邮件部分来逐步推广策略。
    例如:pct=50 将策略应用于 50% 的邮件。
  2. 子域策略 (sp=) 是一种为子域设置单独规则的策略记录。当需要对子域进行不同处理时,它就非常有用。
    例如:v=DMARC1; p=reject; sp=quarantine; rua=mailto:[email protected]`

 

使用 PowerDMARC 以正确的方式设置 DMARC 策略!

开始15天试用 预定演示

 

DMARC 为何重要

电子邮件很容易伪造,很难辨别真假。这就是 DMARC 的作用所在。DMARC 就像一个 电子邮件安全检查站,在允许邮件通过之前会验证发件人的身份。

福布斯》估计, 到 2025 年,每年与网络犯罪相关的成本将 达到 10.5 万亿美元。与此同时, Verizon 报告称,30% 以上的数据泄露事件是由网络钓鱼攻击造成的,这凸显了对 DMARC 等强大保护功能的需求。

根据 IETF 的 RFC 7489,DMARC 具有允许电子邮件发件人设置验证首选项的独特功能。启用该功能后,您还可以获得有关电子邮件处理和潜在域名滥用的报告。这使得 DMARC 在域名验证方面脱颖而出。

根据我们最新的DMARC 统计数据,由于没有实施 DMARC,大量域名仍然容易受到网络钓鱼攻击。

要启动 DMARC 的设置过程,需要进行适当的 DNS 更改,并包含协议的 DNS TXT 记录。然而,对于非技术用户来说,手动实施 DMARC 协议可能相当复杂。如果聘请外部兼职 CISO为企业进行管理,成本甚至会很高。因此,PowerDMARC 的 DMARC 分析器是一个简单的替代方案。利用我们的 DMARC分析器,我们可以自动设置 DMARC 策略,为您节省时间和金钱。

DMARC 报告选项

DMARC 的报告选项包括

  • 汇总报告 (rua=),提供有关验证结果和发送源的高级数据。
  • 取证报告 (ruf=) 可获取详细的身份验证失败信息。

通过这些参数,企业可以收集有关 DMARC 验证结果的宝贵信息,了解未通过或通过 DMARC 验证的电子邮件数量。DMARC 报告也有帮助:

  1. 确定潜在问题和虐待模式
  2. 检测其电子邮件设置中的错误配置
  3. 深入了解电子邮件行为和邮件流
  4. 查看SPF 和 DKIM协议的验证结果

实施 DMARC 的共同优势和挑战

虽然 DMARC 为电子邮件安全带来了巨大好处但在实施过程中,企业往往会面临一些挑战。这就是大多数人选择我们的 托管 DMARC-服务,帮助您配置、监控和更新您的DMARC 解决方案该服务可帮助您在云平台上轻松配置、监控和更新 DMARC 解决方案。

在现实世界中实施 DMARC 策略通常采用分阶段的方法。这种方法允许企业逐步加强电子邮件安全,同时最大限度地降低干扰合法电子邮件流的风险。

您可以按照我们的指南了解 如何实施 DMARC的指南。不过,理想情况下,我们建议您选择我们的托管 DMARC 解决方案,以获得专家协助。我们的专业人员会指导您实施 DMARC 并贯穿整个实施过程。

排除 DMARC 策略错误

使用 DMARC 时,您可能会遇到错误信息。以下是一些常见的 DMARC 策略错误:

  • 语法错误:在设置记录时应注意任何语法错误,以确保协议正常运行。
  • 配置错误:配置 DMARC 策略时出错很常见,使用DMARC 检查工具可以避免。
  • DMARC sp 策略:如果您配置了 DMARC 拒绝策略,但将 子域策略设置为 "无",则无法实现合规性。这是由于出站电子邮件的策略覆盖造成的。
  • "DMARC 策略未启用"错误:如果您的域名报告高亮显示此错误,则表明您的 DNS 中缺少 DMARC 域名策略,或者该策略被设置为 "无"。编辑您的记录,将 p=reject/quarantine 加入其中,这样就可以解决问题。

使用 PowerDMARC 执行 DMARC 策略

PowerDMARC 的 DMARC 分析仪平台可帮助您毫不费力地设置 DMARC 协议。使用我们的云原生界面,只需点击几下按钮即可监控和优化您的记录。立即联系我们,轻松实施 DMARC 策略并监控结果!

DMARC 政策常见问题解答

PowerDMARC 客户可以通过查看仪表板摘要轻松评估其合规性。他们还可以借助 PowerAnalyzer 分析当前的安全状况。

您可以进入 DNS 管理页面手动修复策略。进入后,您需要编辑 DMARC TXT 记录。更简单的解决方案是使用我们的托管解决方案,只需单击一下即可更改策略。

如果使用我们的 DMARC 生成器工具添加策略,我们会将 "无 "指定为默认模式。在手动执行过程中,您必须在 "p="字段中定义您的策略。否则,您的记录将被视为无效。

我们的内容和事实核查审查流程

本内容由网络安全专家撰写。我们的内部安全团队对其进行了仔细审核,以确保技术准确性和相关性。所有事实均已根据 IETF 官方文档进行核实。文中还提到了支持这些信息的报告和统计数据。

Maitham Al Lawati发表的最新文章(查看全部)
如何修复 550 SPF 检查失败 [解决]如何解决550 SPF检查失败的问题DKIM失败如何修复 DKIM 故障