DMARC 解释：什么是 DMARC？

听说过 DMARC 吗？初听起来可能很复杂，但它是一个强大的工具，可以保护您的组织免受网络钓鱼欺诈。 

网络犯罪分子利用复杂的技术，通过冒充真实域名来制作欺骗性电子邮件。欺诈性电子邮件和网络钓鱼给企业电子邮件通信带来了巨大挑战。2022 年，反网络钓鱼工作组 (APWG)仅在第一季度就报告了 1,025,968 次网络钓鱼攻击。这可能导致经济损失、数据泄露、品牌声誉或电子邮件受损。如果未使用 DMARC 进行验证，您的合法电子邮件也可能落入垃圾邮件文件夹。

在本指南中，我们将分解 DMARC，解释其功能、优点以及如何实施 DMARC 来保护您的组织和电子邮件通信。

什么是DMARC？

DMARC（基于域的消息验证、报告和一致性）是一种电子邮件验证协议，可验证电子邮件发件人，并为增强电子邮件安全性提供见解。它允许域名所有者设置域名级邮件处理策略。这包括设置信息验证、故障响应和报告的首选项。DMARC 在 RFC 7489对 DMARC 进行了描述。

DMARC 旨在帮助打击电子邮件欺诈和网络钓鱼攻击。它允许电子邮件收件人使用 SPF 和 DKIM 协议确定邮件的真实性。根据验证结果，域名所有者可以拒绝、隔离或发送电子邮件。所有这些功能都由域名所有者自己上传的 DNS 级指令控制。

DMARC完整表格

DMARC 是 "基于域的消息验证、报告和一致性 "的缩写。

以下是 "DMARC "首字母缩写词的组成要素：

基于域：DMARC 在域级别运行。

信息验证:DMARC 允许域名所有者指定验证协议。这些协议用于验证收到的电子邮件。SPF（发件人策略框架）和 DKIM（域名密钥识别邮件）就是这样的两个协议。

报告:您可以在 DMARC 配置中启用反馈报告。这样，接收 MTA 就会向您定义的电子邮件地址发送 XML 报告。这些报告可能包含 DMARC 聚合数据或取证数据。

一致性:域名所有者可以使用 DMARC 来描述接收邮件服务器的操作。一旦电子邮件未能通过 DMARC 检查，就会执行这些操作。

DMARC是如何工作的？

信息从授权服务器发送到符合 DMARC 标准的域的 SPF 记录和/或 DKIM 签名，这些记录和/或签名存储在 DNS 层面。

如果其中一项检查通过，则该信息被称为 "DMARC PASS"；如果两项检查均未通过，则该信息未通过 DMARC（因为它不符合 SPF 或 DKIM 要求）。

根据配置的 DMARC 策略，邮件现在可以被拒绝或丢弃、标记为垃圾邮件或隔离，或者按原样发送。

为您的域正确设置 DMARC 后，您就可以启用 DMARC 报告。这可以帮助您识别可疑邮件，以便迅速采取应对措施，确保您用户的安全！

为什么DMARC很重要？

DMARC 在增强电子邮件安全方面发挥着关键作用。虽然电子邮件系统有垃圾邮件过滤器，但这些过滤器对直接域名欺骗攻击无效。通过冒充公司，攻击者可以获取敏感信息的登录凭证。事实上 IBM 的《数据泄露成本报告发现，在所有数据泄露事件中，有 19% 是由于凭证泄露造成的。

此外，通过基于报告的反馈实现可视性也是 DMARC 的一大特色。 

以下是更多强调 DMARC 重要性的功能： 

• 确保电子邮件验证
• 防止域名欺骗
• 它能防范网络钓鱼攻击
• 谷歌和雅虎群发器必须使用该功能
• 必须符合 PCI-DSS 要求
• BIMI 要求执行 DMARC

DMARC的好处

DMARC 可帮助公司/企业防止冒充攻击，从而使公司/企业受益。它还具有减少垃圾邮件和可送达性问题的长期功能。此外，DMARC 已被各大 ESP 强制使用。雅虎和谷歌收件箱现在甚至可以拒绝未实施 DMARC 的电子邮件。因此，为了保持合规性，强烈建议配置该协议。

以下是实施DMARC的一些好处。 

• 预防电子邮件欺诈： 使用 DMARC 报告可以防止网络钓鱼攻击。它们有助于识别欺骗性电子邮件和可能冒充您的邮件来源。
• 提高品牌声誉： 确保只有合法信息才能发送给收件人，从而提高品牌声誉。
• 减少垃圾邮件： 您可以从一开始就防止客户收到欺诈性邮件，从而减少客户收件箱中的垃圾邮件数量。
• 提供可见性： 使用报告快速识别谁在您不知情的情况下代表您发送电子邮件。
• 提高送达率： 通过为电子邮件正确部署协议，您可以在一段时间内将电子邮件的送达率提高 10%。

如何为您的域名启用 DMARC？

设置 DMARC 可能有点技术性，我们在我们的 DMARC 设置指南中作了详细介绍。以下是相关的一般步骤：

1.评估电子邮件发送基础设施

记下营销自动化平台、客户服务工具和电子邮件发送服务。

2.配置 SPF 或 DKIM 记录

如果您的电子邮件通过了 SPF 或 DKIM 检查，它们将被视为符合 DMARC 标准。您可以使用我们的 SPF 记录生成器和 DKIM 记录生成器工具来创建这些记录。

在 DNS 注册商的帮助下，在 DNS 上发布生成的记录。

3.创建 DMARC TXT 记录

您可以 注册免费注册 PowerDMARC，使用我们的 DMARC 记录生成器工具创建您的记录。必填字段包括协议版本 "v"（始终为 DMARC1）和策略模式 "p"（可根据您的偏好进行配置）。

4.选择 DMARC 策略

A DMARC 策略告诉电子邮件接收方如何处理未通过 DMARC 检查的邮件。您可以选择 "无"、"隔离 "或 "拒绝 "三种策略模式。

可选（但推荐）字段： 

• 对齐要求：您可以指定域名 SPF 和 DKIM 记录的对齐要求。这意味着电子邮件 "发件人 "标题中的域名可能与 SPF 和/或 DKIM 记录中的域名不完全一致。
• 报告：如前所述，您可以配置 DMARC 以接收关于您的电子邮件地址或第三方服务的报告。这些报告将提供有关电子邮件活动的信息。包括发送的电子邮件数量、通过/未通过身份验证检查的电子邮件数量。 

5.发布 DMARC 记录

您需要访问 DNS 管理控制台来发布记录。在 Host 字段中输入"_dmarc"，资源类型为 TXT。您可以将 TTL 设置为 1 小时。

6.验证 DMARC 设置

使用我们的 DMARC 检查器工具来检查您的 DMARC 实施情况。只需输入您的域名并点击 "查询"，即可检查您的记录是否有效。

DMARC 记录是什么样的？

DMARC 记录的结构在 DNS（域名系统）中被定义为与域名相关联的 TXT 记录。它包含几个标记，其中包括指定策略模式和报告选项的标记。下面是 DMARC 记录的示例：

_dmarc.example.com.IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@example.com; ruf=mailto:forensics@example.com; sp=reject"

在这个例子中 

• _dmarc.example.com。"指的是设置 DMARC 记录的特定域。在本例中，就是 "example.com"。
• IN TXT"表示记录类型为文本记录。
• v=DMARC1"表示使用的协议版本是版本 1。
• p=reject"将 DMARC 策略设置为 "拒绝"。这将指示接收电子邮件的服务器拒绝或丢弃 DMARC 失败的电子邮件。
• rua=mailto："指定电子邮件地址"[email protected][email protected]"为接收汇总报告的目的地。
• ruf=mailto："指定电子邮件地址"[email protected][email protected]"为接收取证报告的目的地。这些报告可提供更多有关电子邮件发送失败的信息。
• sp=reject"将子域策略设置为 "拒绝"，确保该 DMARC 策略适用于子域。

DMARC、SPF 和 DKIM - 电子邮件身份验证的支柱

SPF（发件人策略框架）是一种验证协议，用于授权合法发件人。通过在域名的 DNS 中创建 SPF 记录，所有者可以指定允许的 IP 地址或域。这些域/IP 允许使用该域发送电子邮件。

DKIM是一种电子邮件验证协议，它允许电子邮件发件人用加密签名对邮件进行数字签名，该签名与发件人的域名相关联。然后，接收电子邮件的服务器可根据发件人 DNS 记录中的相应公开密钥检查 DKIM 签名，从而验证邮件的真实性。

结合 DMARC、SPF 和 DKIM 防范电子邮件欺诈

同时实施 DMARC、SPF 和 DKIM 可以更有效地防御电子邮件欺骗和网络钓鱼攻击。让我们来探讨一下结合使用这些验证方法的好处：

1. 全面保护:DMARC、SPF 和 DKIM 的组合提供了一种分层的电子邮件验证方法。它可提供全面的保护，防止电子邮件欺骗、网络钓鱼和未经授权的发件人。
2. 增强电子邮件的可送达性:通过确保电子邮件经过正确验证并符合域政策，可大大降低合法电子邮件被标记为垃圾邮件或被拒收的几率。
3. 保护品牌声誉:实施这些验证方法有助于维护您的品牌完整性。它们可以防止电子邮件滥用和欺骗，维护您在收件人中的声誉。
4. 提高安全性:DMARC、SPF 和 DKIM 的共同使用最大程度地降低了未经授权的实体代表您的域名发送恶意电子邮件的风险，从而加强了整体安全性并减轻了潜在的网络威胁。
5. 报告和可见性:DMARC 对电子邮件验证失败提供有价值的报告，使域名所有者能够及时发现和解决问题，并提高他们的 电子邮件安全措施措施的有效性。

如果已经有了 DMARC，是否还需要使用 SPF 和 DKIM？

是的，强烈建议同时使用 SPF 和 DKIM，即使您已经实施了 DMARC。DMARC 的设计目的是与 SPF 和 DKIM 配合使用，它们共同构成了一个强大的电子邮件验证框架。

PowerDMARC 基于云的 DMARC 解决方案 

作为维护在线域的企业所有者，实施 DMARC 将为您的安全提供保障。虽然您可以手动实施，但选择像 PowerDMARC 这样的第三方供应商还有一些额外的好处。在我们这里，您可以以非常实惠的价格获得大量的报告、管理和监控设施。 这些都不属于手动 DMARC 设置的范围，可以真正使您的业务与众不同！

通过配置我们的 DMARC 分析器您可以

1. 轻松配置托管 DMARC 和其他电子邮件验证协议 
2. 通过简化的人工可读报告监控认证结果
3. 通过电子邮件、slack、discord 和 webhooks 获取实时警报
4. 逐步提高电子邮件的送达率 

我们的客户可享受内部 DMARC 专家提供的专门支持，以配置符合其需求的解决方案。现在就联系我们，免费获得 DMARC 试用版!

迪伦

DMARC 常见问题

为什么使用 DMARC？

DMARC 对防止电子邮件欺骗和网络钓鱼攻击、提高电子邮件的可送达性以及通过提供电子邮件验证的可见性和控制来维护品牌声誉至关重要。

什么是 DMARC 记录？

A DMARC 记录是域名所有者发布的 DNS（域名系统）条目，用于指定其电子邮件验证策略，通过指示电子邮件接收者如何处理来自域名的未经验证的电子邮件，帮助防止电子邮件欺骗和网络钓鱼攻击。

什么是 DMARC 报告？

A 报告提供有关域的电子邮件验证结果的信息。这些报告由电子邮件接收者生成，并发送到 DMARC 记录中指定的电子邮件地址。

DMARC 和 SPF 是很好的组合吗？

DMARC 和 SPF 是加强电子邮件安全、防范电子邮件欺骗和网络钓鱼攻击的强大组合。DMARC 以 SPF 的发件人验证功能为基础，允许域名所有者设置如何处理 SPF 检查失败邮件的策略。

什么是 DMARC 合规性？

DMARC 合规性指电子邮件域遵守 DMARC 验证协议。当一个域通过正确配置的策略、SPF 和 DKIM 实施 DMARC 时，它就被认为符合 DMARC 标准。

如何修复 DMARC 问题？

要解决 DMARC 问题，域名所有者应仔细查看 DMARC 报告并分析验证失败情况。阅读我们的 DMARC 失败指南，了解更多信息。

如何测试 DMARC？

您可以使用我们的 DMARC 检查器工具进行测试。

• 关于
• 最新文章

Maitham Al Lawati

Maitham 是一位技术企业家、网络安全专家、PowerDMARC 首席执行官兼创始人，拥有 15 年以上的行业经验。Maitham 拥有曼彻斯特大学全球工商管理硕士学位以及 CISSP、CISM、CRISC 和 ISC2 CCSP 等多项专业认证。

Maitham Al Lawati发表的最新文章(查看全部)

• 修复 SPF 错误克服 SPF DNS 查询次数过多限制- 2024 年 4 月 26 日
• 如何用三个步骤发布 DMARC 记录？- 2024 年 4 月 2 日
• DMARC 为什么会失败？在 2024 年修复 DMARC 故障- 2024 年 4 月 2 日