Product

解决方案

资源

Company

Product

解决方案

资源

Company

DMARC:如何保护您的电子邮件声誉

2016年4月13日

电子邮件

1 min read

DMARC:如何保护您的电子邮件声誉

2016年4月13日

电子邮件

1 min read

DMARC:如何保护您的电子邮件声誉

在这篇文章中,我们将告诉您关于利用 DMARC 保护您的电子邮件声誉所需了解的一切,并为您提供有关如何为您的域名设置它的建议。

一个有效的工具来打击Fraudulent Mail

通常与电子邮件身份验证协议SPF和DKIM一起提到的DMARC,或基于域的消息身份验证、报告和一致性,本身并不是一种身份验证协议。相反,DMARC 的目的是让我们这些域名所有者保护我们的电子邮件声誉,通过以下方式:

  • 宣布电子邮件身份验证实践,

  • 请求对认证检查失败的邮件进行处理,

  • 收集关于声称来自其域的邮件的报告。


DMARC可以成为我们用来打击针对我们域名的欺诈邮件(如网络钓鱼和欺骗)的有效工具,并且可以提升我们的收件人对我们邮件的信任度。对于要求超出身份验证终端到终端加密的组织,实施S/MIME,并使用有效的收件人公钥收集方法提供额外的安全层。这种更高的信任应该反过来导致对我们邮件的更高参与度,打开邮件和生成点击次数的邮件驱动销售并为我们的电子邮件活动带来更高的投资回报率。

除了保护我们的域之外,我们预计现在实施DMARC将是“未来证明”我们的域的绝佳方式。在Bird,我们相信,随着行业向IPv6迁移,几乎肯定会从基于IP的声誉模型转向基于域的声誉模型。基于域的声誉将需要基于域的身份验证,而DMARC与DKIM和SPF结合使用,将在长期需求出现之前帮助域建立基于域的声誉。

在这篇文章中,我们将告诉您如何利用DMARC来保护您的电子邮件声誉,并为您提供有关如何为您的域设置它的指导。

Terms to Know

在为您的域设置DMARC之前,我们希望确保我们讲的是相同的语言。让我们首先定义一些将在本文档中反复使用的术语。

RFC5322.From 域

RFC5322.From域是电子邮件地址的域部分,通常是收件人在阅读我们的电子邮件时看到的。在以下示例中,RFC5322.From域是“joesbaitshop.com”

From: Joe’s Bait and Tackle <sales@joesbaitshop.com>

DKIM d= 域

DKIM是一种身份验证协议,允许一个域以一种可以被消息接收者验证的方式对消息负责;这是通过在消息离开其源点时将加密签名插入消息头中实现的。这些签名有效地是当时消息样子的快照,接收者可以使用这些快照查看消息是否在到达目的地时保持不变。生成和插入这些快照的过程称为DKIM签名,负责消息并对其进行签名的域在标头中以键值标签形式插入其名称为“d=signingDomain”,因此称为DKIM d= 域。

退回路径域

退回路径域,有时也称为RFC5321. From 域或邮件来自域,是将退信路由的域;这也是在电子邮件交易中进行SPF检查的域。除非收件人足够精通查看给定消息中的所有标头,否则通常不会看到此域。

默认情况下,通过bird.com发送的所有邮件将以birdmail.com作为其退回路径域,如以下示例所示:

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

然而,为了让DMARC在您的域上工作,您需要利用自定义退信域,其后缀将与您的发送域相同,例如,在使用yourdomain.com作为发送域时,使用bounces.yourdomain.com。

组织域

术语“组织域”指的是提交给注册商以在互联网上创建域存在的域。对于Bird,我们的组织域是bird.com和birdmail.com。

域对齐

关于DMARC需要理解的最后一个术语是“域对齐”,它有两种变体:“松散”和“严格”。

松散域对齐

当两个域的组织域相同时,称它们具有松散的域对齐。例如,a.mail.bird.com和b.foo.bird.com具有松散的域对齐,因为它们共有的组织域是bird.com。

严格域对齐

只有当两个域完全相同时才称它们为严格域对齐。因此,foo.bird.com和foo.bird.com是严格对齐的,因为两个域是相同的。另一方面,foo.bird.com和bar.foo.bird.com仅为松散对齐。

DMARC域对齐要求

为了使DMARC验证检查通过,DMARC要求域对齐如下:

  • 对于SPF,RFC5322.From域和退回路径域必须对齐

  • 对于DKIM,RFC5322.From域和DKIM d=域必须对齐

根据发送域的已发布策略,域对齐可以是松散的或严格的。

在为您的域设置DMARC之前,我们希望确保我们讲的是相同的语言。让我们首先定义一些将在本文档中反复使用的术语。

RFC5322.From 域

RFC5322.From域是电子邮件地址的域部分,通常是收件人在阅读我们的电子邮件时看到的。在以下示例中,RFC5322.From域是“joesbaitshop.com”

From: Joe’s Bait and Tackle <sales@joesbaitshop.com>

DKIM d= 域

DKIM是一种身份验证协议,允许一个域以一种可以被消息接收者验证的方式对消息负责;这是通过在消息离开其源点时将加密签名插入消息头中实现的。这些签名有效地是当时消息样子的快照,接收者可以使用这些快照查看消息是否在到达目的地时保持不变。生成和插入这些快照的过程称为DKIM签名,负责消息并对其进行签名的域在标头中以键值标签形式插入其名称为“d=signingDomain”,因此称为DKIM d= 域。

退回路径域

退回路径域,有时也称为RFC5321. From 域或邮件来自域,是将退信路由的域;这也是在电子邮件交易中进行SPF检查的域。除非收件人足够精通查看给定消息中的所有标头,否则通常不会看到此域。

默认情况下,通过bird.com发送的所有邮件将以birdmail.com作为其退回路径域,如以下示例所示:

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

然而,为了让DMARC在您的域上工作,您需要利用自定义退信域,其后缀将与您的发送域相同,例如,在使用yourdomain.com作为发送域时,使用bounces.yourdomain.com。

组织域

术语“组织域”指的是提交给注册商以在互联网上创建域存在的域。对于Bird,我们的组织域是bird.com和birdmail.com。

域对齐

关于DMARC需要理解的最后一个术语是“域对齐”,它有两种变体:“松散”和“严格”。

松散域对齐

当两个域的组织域相同时,称它们具有松散的域对齐。例如,a.mail.bird.com和b.foo.bird.com具有松散的域对齐,因为它们共有的组织域是bird.com。

严格域对齐

只有当两个域完全相同时才称它们为严格域对齐。因此,foo.bird.com和foo.bird.com是严格对齐的,因为两个域是相同的。另一方面,foo.bird.com和bar.foo.bird.com仅为松散对齐。

DMARC域对齐要求

为了使DMARC验证检查通过,DMARC要求域对齐如下:

  • 对于SPF,RFC5322.From域和退回路径域必须对齐

  • 对于DKIM,RFC5322.From域和DKIM d=域必须对齐

根据发送域的已发布策略,域对齐可以是松散的或严格的。

在为您的域设置DMARC之前,我们希望确保我们讲的是相同的语言。让我们首先定义一些将在本文档中反复使用的术语。

RFC5322.From 域

RFC5322.From域是电子邮件地址的域部分,通常是收件人在阅读我们的电子邮件时看到的。在以下示例中,RFC5322.From域是“joesbaitshop.com”

From: Joe’s Bait and Tackle <sales@joesbaitshop.com>

DKIM d= 域

DKIM是一种身份验证协议,允许一个域以一种可以被消息接收者验证的方式对消息负责;这是通过在消息离开其源点时将加密签名插入消息头中实现的。这些签名有效地是当时消息样子的快照,接收者可以使用这些快照查看消息是否在到达目的地时保持不变。生成和插入这些快照的过程称为DKIM签名,负责消息并对其进行签名的域在标头中以键值标签形式插入其名称为“d=signingDomain”,因此称为DKIM d= 域。

退回路径域

退回路径域,有时也称为RFC5321. From 域或邮件来自域,是将退信路由的域;这也是在电子邮件交易中进行SPF检查的域。除非收件人足够精通查看给定消息中的所有标头,否则通常不会看到此域。

默认情况下,通过bird.com发送的所有邮件将以birdmail.com作为其退回路径域,如以下示例所示:

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

然而,为了让DMARC在您的域上工作,您需要利用自定义退信域,其后缀将与您的发送域相同,例如,在使用yourdomain.com作为发送域时,使用bounces.yourdomain.com。

组织域

术语“组织域”指的是提交给注册商以在互联网上创建域存在的域。对于Bird,我们的组织域是bird.com和birdmail.com。

域对齐

关于DMARC需要理解的最后一个术语是“域对齐”,它有两种变体:“松散”和“严格”。

松散域对齐

当两个域的组织域相同时,称它们具有松散的域对齐。例如,a.mail.bird.com和b.foo.bird.com具有松散的域对齐,因为它们共有的组织域是bird.com。

严格域对齐

只有当两个域完全相同时才称它们为严格域对齐。因此,foo.bird.com和foo.bird.com是严格对齐的,因为两个域是相同的。另一方面,foo.bird.com和bar.foo.bird.com仅为松散对齐。

DMARC域对齐要求

为了使DMARC验证检查通过,DMARC要求域对齐如下:

  • 对于SPF,RFC5322.From域和退回路径域必须对齐

  • 对于DKIM,RFC5322.From域和DKIM d=域必须对齐

根据发送域的已发布策略,域对齐可以是松散的或严格的。

DMARC 如何保护您的电子邮件信誉

当我们谈论邮箱提供商或其他域名“检查DMARC”、“验证DMARC”或“应用DMARC策略”时,我们的意思是接收消息的域正在执行以下步骤:

  1. 找出消息的RFC5322.From域

  2. 在DNS中查找该域的DMARC策略

  3. 执行DKIM签名验证

  4. 执行SPF验证

  5. 检查域对齐

  6. 应用DMARC策略


为了使消息通过DMARC验证,消息只需通过两种身份验证和对齐检查之一。因此,如果以下任一条件为真,消息将通过DMARC验证:

  • 消息通过SPF检查,并且RFC5322.From域和Return-Path域对齐,或者

  • 消息通过DKIM验证,并且RFC5322.From域和DKIM d=域对齐,或者

  • 上述两者皆为真

使DMARC为您的域名工作

现在我们已经解释了DMARC的机制,让我们来讨论如何使DMARC为我们工作,这涉及以下三个步骤:

  1. 准备接收DMARC报告

  2. 决定为您的域使用什么DMARC策略

  3. 发布您的DMARC记录

我们将在下面详细介绍每一个步骤,但我们需要直接告诉您,上述步骤1将消耗您约95%的准备时间。

准备接收DMARC报告

任何发布 DMARC 策略的域名应首先准备接收有关其域名的报告。这些报告将由进行 DMARC 验证并看到声称来自我们域名的邮件的任何域生成,并至少每天发送给我们。报告将以两种格式提供:

  • 汇总报告,即 XML 文档,显示报告者从每个来源看到的邮件数量的统计数据、身份验证结果以及报告者如何处理消息。汇总报告旨在由机器解析,其数据存储在某个地方以允许整体流量分析、我们的域名消息流审计,或许还能识别未认证、潜在欺诈来源的趋势。

  • 法庭报告,即未通过身份验证的单个消息副本,每个消息都封装在一个名为 AFRF 的格式中的完整电子邮件消息中。法庭报告应包含完整标题和消息正文,但由于隐私问题,许多报告者会剥离或删减某些信息。尽管如此,法庭报告仍然有助于解决我们域名自身的身份验证问题,并从消息正文中的 URI 识别出用于欺诈我们域名所有者客户的恶意域名和网站。


接收这些报告的准备工作首先涉及在我们域中创建两个邮箱来处理这些报告,例如 agg_reports@ourdomain.com 和 afrf_reports@ourdomain.com。请注意,这些邮箱名称是完全任意的,对邮箱本地部分的命名没有要求;我们完全可以选择任何名称,但为了方便处理,保持两个邮箱的独立性。

一旦在我们的域中选择并创建了邮箱名称,接下来要做的就是实施工具来读取这些邮箱并利用数据,尤其是汇总数据报告,它们同样旨在由机器解析而非人类阅读。另一方面,法庭报告可能只需我们自己阅读即可管理,但我们实现这一点的能力将取决于我们的邮件客户端如何显示 AFRF 格式消息的理解能力以及我们收到的报告数量。

虽然我们可以编写自己的工具来处理 DMARC 报告,但在Bird为 bird.com 客户提供此类服务之前(我们正在考虑,但尚无承诺),我们建议使用已经可用的工具来完成此任务。

使用哪个 DMARC 策略

DMARC 规范为域名所有者提供了三种选择,用于指定对未通过 DMARC 验证检查的邮件的首选处理方式。它们是:

  • none,意味着对待邮件的方式与独立于 DMARC 验证检查时相同

  • quarantine,意味着接受邮件但将其放在收件人的 Inbox 之外的其他位置(通常是垃圾邮件文件夹)

  • reject,意味着直接拒绝该邮件


重要的是要记住,域名所有者只能在其 DMARC 记录中请求这种处理;是否遵循请求的策略取决于邮件的接收者。有些会这样做,而另一些可能在应用策略时稍微宽松一些,例如仅在域名的策略是 reject 时才将邮件放入垃圾邮件文件夹。

我们建议所有客户启动时采用 none 策略,仅此以确保安全。虽然我们对通过 DKIM 签名正确认证您的邮件的能力充满信心,但最好仍然花一些时间检查有关域的报告,然后再对 DMARC 策略采取更激进的做法。

发布 Your DMARC Policy

一个域名的DMARC策略通过在DNS命名空间中的特定位置发布DNS TXT记录来宣布,即“_dmarc.domainname.tld”(注意前面的下划线)。我们之前示例域名joesbaitshop.com的一个基本DMARC策略记录可能如下所示:

_dmarc.joesbaitship.com. IN TXT "v=DMARC1; p=none; rua=mailto:agg_reports@joesbait.com; ruf=mailto:afrf_reports@joesbait.com; pct=100"

分解这条记录,我们有:

  • v=DMARC1 指定DMARC版本(目前唯一选择是1)

  • p=none 指定首选处理或DMARC策略

  • rua=mailto:agg_reports@joesbait.com 是应发送聚合报告的邮箱

  • ruf=mailto:afrf_reports@joesbait.com 是应发送取证报告的邮箱

  • pct=100 是域名所有者希望其策略应用的邮件百分比。刚开始使用DMARC的域名,特别是那些可能产生大量报告的域名,可能希望从一个更低的数字开始,以查看他们的报告处理流程如何应对负载。


域名所有者也可以在其DMARC策略记录中使用其他配置选项,但我们提供的提示应该是一个很好的起点。

总结

在以上信息中有很多内容需要理解!我们希望您发现关于如何创建DMARC策略记录的指南有帮助。我们也希望我们对于为什么DMARC很重要的解释能帮助您清楚地了解为什么您应该开始使用这个重要工具来保护您的电子邮件声誉。

当然,这不是该主题的完整或权威文件。如果您想深入了解或需要更多帮助,一个很好的起点是官方的DMARC常见问题解答。并且,Bird支持团队随时准备帮助您配置Bird账户以支持DMARC。

感谢您的阅读—今天就开始使用DMARC来保护您的域名吧!

一个人在办公桌前站着,一边在笔记本电脑上打字。

这个完整的AI原生平台可以随着您的业务进行扩展。

Product

解决方案

资源

Company

隐私设置

社交

Newsletter

通过每周更新到您的收件箱,随时了解 Bird 的最新动态。

Signup

© 2025 Bird

一个人在办公桌前站着,一边在笔记本电脑上打字。

这个完整的AI原生平台可以随着您的业务进行扩展。

Product

解决方案

资源

Company

隐私设置

社交

Newsletter

通过每周更新到您的收件箱,随时了解 Bird 的最新动态。

Signup

© 2025 Bird