什么是DMARC?
基于域的消息验证、报告和一致性(DMARC)是一种电子邮件验证协议,旨在打击电子邮件欺诈和网络钓鱼攻击。通过验证电子邮件发件人和提供电子邮件活动的详细报告,DMARC 可帮助企业提高电子邮件安全性并保护其域名声誉。DMARC 使域名所有者能够针对如何验证电子邮件以及如何处理未经授权的邮件制定具体策略。从根本上说,DMARC 允许公司说
"来自我们网域的电子邮件必须符合这些特定标准。如果不符合,则应将其视为可疑邮件"。
DMARC 建立在SPF(发件人策略框架)和DKIM(域密钥识别邮件)这两个现有协议的基础上,以确保只有经过授权的发件人才能使用域。企业可以使用 DMARC 来指定对未通过验证的电子邮件采取的措施,如拒收、隔离或递送。
DMARC 代表什么?
DMARC 代表 基于域的消息验证、报告和一致性。
首字母缩略词的每个部分都反映了 DMARC 运作的一个重要方面:
基于域:DMARC 在域级别运行。
信息验证:DMARC 允许域所有者指定验证协议。这些协议用于验证收到的电子邮件。SPF(发件人策略框架)和 DKIM(域名密钥识别邮件)就是这样的两个协议。
报告:您可以在 DMARC 配置中启用反馈报告。之后,接收 MTA 将向您定义的电子邮件地址发送 XML 报告。这些报告可能包含 DMARC 聚合数据或取证数据。
一致性:电子邮件域所有者可以使用 DMARC 以策略的形式描述接收邮件服务器的操作。一旦电子邮件未能通过 DMARC 检查,就会执行这些操作。
DMARC 在电子邮件安全中为何重要?
DMARC 通过以下方式在提高电子邮件安全性方面发挥着重要作用:
- 防止电子邮件欺骗和网络钓鱼:通过验证声称来自特定域的电子邮件的真实性,DMARC 可以有效阻止攻击者冒充合法发件人的欺骗企图。这有助于防止旨在窃取登录凭证和财务数据等敏感信息的网络钓鱼攻击。
- 提高电子邮件的可送达性:DMARC 可确保只有来自您域名的合法电子邮件才能到达收件箱,从而降低合法电子邮件被标记为垃圾邮件的几率。这就提高了电子邮件的送达率,确保您的邮件能送达预定的收件人。
- 保护您的品牌声誉:通过防止未经授权使用您的域名进行恶意活动,DMARC 可保护您的品牌声誉,并与您的客户建立信任关系。
- 提供有价值的见解:DMARC 生成全面的报告,为您的电子邮件发送活动提供有价值的见解。这些报告可帮助您识别和解决潜在问题,如未经授权的发件人、欺骗尝试和受损账户。
- 满足行业合规要求:DMARC 对于符合PCI-DSS 等行业标准越来越重要。谷歌和雅虎等主要电子邮件提供商甚至会拒绝来自未实施 DMARC 域名的电子邮件。
通过实施和维护稳健的DMARC 政策,企业可以显著增强电子邮件安全态势,保护品牌声誉,并确保合法电子邮件通信的有效传递。
使用 PowerDMARC 简化 DMARC!
DMARC 如何工作
DMARC 在现有验证方法的基础上增加了一层策略执行,从而增强了电子邮件的安全性:SPF(发件人策略框架)和 DKIM(域键识别邮件)。
1.评估您的电子邮件基础设施:
- 配置SPF 和 DKIM:首先在 DNS 设置中设置 SPF 和 DKIM 记录。 这些记录定义了哪些 IP 地址和域有权代表您的域发送电子邮件。 您可以使用我们的 SPF 和 DKIM 记录生成器来协助完成此过程。
2.创建DMARC 记录:
- 使用我们的免费工具或 DNS 提供商的界面创建 DMARC 记录。
- DMARC 记录中的必填字段包括
- v=DMARC1:指定 DMARC 协议版本。
- p=无/隔离/拒收:定义处理未通过身份验证检查的电子邮件的策略。
- 您还可以加入一些可选字段,例如
- rua:指定接收汇总报告的电子邮件地址。
- ruf:指定接收取证报告的电子邮件地址。
3.选择 DMARC 策略:
DMARC 策略告诉电子邮件接收方如何处理 未通过 DMARC检查的邮件。您可以选择 "无"、"隔离 "或 "拒绝 "三种策略模式。
- p=无:监控身份验证结果,但不采取任何措施。这样就可以分析电子邮件流量并找出潜在问题。
- p=隔离:将未通过身份验证检查的电子邮件移至垃圾邮件文件夹。
- p=拒绝:阻止和丢弃未通过身份验证检查的电子邮件。
4.发布 DMARC 记录:
- 在 DNS 设置中发布生成的 DMARC 记录。在 Host 字段中输入"_dmarc",资源类型为 TXT。您可以将 TTL 设置为 1 小时。
5.验证DMARC 设置:
- 使用我们的DMARC 检查工具验证您的 DMARC 记录是否已正确发布并按预期运行。
5.报告:
- DMARC 设置完成后,就可以激活报告功能。
- DMARC 生成有关电子邮件验证结果的报告,提供有关以下方面的洞察力:
- 成功和失败的验证尝试
- 未经验证电子邮件的来源
- 接收服务器采取的行动
发布后的 DMARC 工作流程
一旦发布了 DMARC 记录:
- 电子邮件发送:从您的域名发送电子邮件时,会进行 SPF 和 DKIM 检查。
- 电子邮件接待: 接收服务器会执行以下检查:
- DMARC 策略执行: 接收服务器会检查 DMARC 记录并应用指定的策略:
- 通过:如果电子邮件同时通过 SPF 和 DKIM 检查,则会正常发送。
- 失败:如果电子邮件未通过 SPF 或 DKIM 检查,接收服务器将采取 DMARC 策略中定义的措施(如隔离、拒绝)。
- 报告:接收服务器会生成电子邮件验证结果报告,并将其发送到 DMARC 记录中指定的地址。
DMARC 记录是什么样的?
DMARC 记录的结构在 DNS(域名系统)中被定义为与域名相关联的 TXT 记录。它包含几个标记,其中包括指定策略模式和报告选项的标记。下面是 DMARC 记录的示例:
_dmarc.example.com.IN TXT v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; sp=reject;
在这个例子中
- "_dmarc.example.com. "指的是正在设置 DMARC 记录的特定域。在本例中,就是 "example.com"。
- "IN TXT "表示记录类型为文本记录。
- "v=DMARC1 "表示使用的协议版本是版本 1。
- "p=拒绝 "将 DMARC 策略设置为 "拒绝"。这将指示接收电子邮件的服务器拒绝或丢弃 DMARC 失败的电子邮件。
- "rua=mailto: "指定电子邮件地址作为接收汇总报告的目的地。
- "ruf=mailto:"将电子邮件地址指定为接收取证报告的目的地。这些报告可提供更多有关电子邮件发送失败的信息。
- "sp=reject"将子域策略设置为 "拒绝",确保该 DMARC 策略适用于子域。
DMARC、SPF 和 DKIM - 电子邮件安全的支柱
同时实施 DMARC、SPF 和 DKIM 可以更有效地防御电子邮件欺骗和网络钓鱼攻击。让我们来探讨一下结合使用这些验证方法的好处:
- 全面保护:DMARC、SPF 和 DKIM 的组合提供了一种分层的电子邮件验证方法。它提供了针对电子邮件欺骗、网络钓鱼和未经授权发件人的全面保护。
- 增强电子邮件的可送达性:通过确保电子邮件经过正确验证并符合域政策,可大大降低合法电子邮件被标记为垃圾邮件或被拒收的几率。
- 品牌声誉保护:实施这些验证方法有助于维护品牌的完整性。它们可以防止电子邮件滥用和欺骗,保护您在收件人中的声誉。
- 提高安全性:DMARC、SPF 和 DKIM 的共同使用最大程度地降低了未经授权的实体代表您的域名发送恶意电子邮件的风险,从而加强了整体安全性并减轻了潜在的网络威胁。
- 报告和可见性:DMARC 对电子邮件验证失败提供有价值的报告,使域名所有者能够及时发现和解决问题,并提高 电子邮件安全措施的有效性。
如果已经有了 DMARC,是否还需要使用 SPF 和 DKIM?
是的,强烈建议同时使用 SPF 和 DKIM,即使您已经实施了 DMARC 电子邮件验证协议。DMARC 设计为与 SPF 和 DKIM 一起使用,它们共同构成了一个强大的电子邮件验证框架。不过,DMARC 要发挥作用,还需要 SPF 或 DKIM。
最佳做法
对于希望实施 DMARC 的组织,请采用以下做法,以确保获得最大收益:
- 从审计开始:了解您当前的电子邮件基础设施,包括代表您发送电子邮件的所有服务。
- 实施 SPF 和 DKIM:在转用 DMARC 之前,确保这些设置正确无误。
- 从监控开始:从 "p=none "策略开始,在不影响电子邮件发送的情况下收集数据。
- 用于报告的 DMARC 分析器:定期查看 DMARC 报告,以了解您的电子邮件生态系统并识别潜在问题。
- 逐步提高策略的严格程度:当你对自己的设置越来越有信心时,再改用 "p=隔离",最后改用 "p=拒绝"。
- 沟通:确保包括 IT、营销和第三方供应商在内的所有利益相关者都了解 DMARC 实施计划。
- 随时了解信息:紧跟电子邮件验证标准和最佳实践的发展。
挑战和考虑因素
DMARC 功能强大,但也并非没有挑战:
- 复杂性:正确实施 DMARC 需要充分了解电子邮件基础设施和 DNS。
- 第三方发送者:许多组织使用第三方服务发送电子邮件(如营销平台)。确保这些服务与 DMARC 保持一致可能比较棘手。
- 电子邮件转发:转发电子邮件可能会破坏 DMARC 身份验证。这是因为转发服务器经常会修改电子邮件,使原来的 DKIM 签名和 SPF 头信息失效。
- 逐步实施:过快实施严格的政策可能会导致合法邮件被拦截。关键是要从监控政策开始,逐步提高严格程度。
电子邮件验证的未来
随着网络威胁的不断发展,我们的防御措施也必须与时俱进。DMARC 是向前迈出的重要一步,但它只是更广泛的电子邮件安全措施生态系统的一部分。未来的发展可能包括
- 与人工智能集成:利用机器学习更好地解读 DMARC 报告并识别滥用模式。
- 增强用户界面:让终端用户更直观地看到 DMARC 的结果,或许可以用可视化指标来显示电子邮件的真实性。
- 更广泛的采用:随着越来越多的组织实施 DMARC,它在打击电子邮件欺诈方面的效力也将提高。
- 标准的演变:电子邮件身份验证领域仍在不断发展。我们可能会看到以 DMARC 为基础或作为其补充的新标准出现。DANE 和 MTA-STS等其他技术也在开发中,以进一步确保电子邮件安全。
PowerDMARC 基于云的 DMARC 解决方案
作为维护在线域的企业所有者,实施 DMARC 将为您的安全提供保障。虽然您可以手动实施,但选择像 PowerDMARC 这样的第三方供应商还有一些额外的好处。在我们这里,您可以以非常实惠的价格获得大量的报告、管理和监控设施。这些都不属于手动 DMARC 设置的范围,可以真正使您的业务与众不同!
通过配置我们的 DMARC 分析器,您可以
- 轻松配置托管 DMARC 和其他电子邮件验证协议
- 通过简化的人工可读报告监控认证结果
- 通过电子邮件、slack、discord 和 webhooks 获取实时警报
- 逐步提高电子邮件的送达率
我们的客户可享受内部 DMARC 专家提供的专门支持,以配置符合其需求的解决方案。立即联系我们,免费 试用 DMARC!
"广泛搜寻高价值 DMARC 平台,终于找到了!"
迪伦
DMARC 常见问题
- 什么是 MTA-STS?设置正确的 MTA STS 政策- 2025 年 1 月 15 日
- 如何修复 DKIM 故障- 2025 年 1 月 9 日
- 什么是 DMARC 策略?无、隔离和拒绝- 2025 年 1 月 9 日