在这篇文章中,我们将告诉您关于利用 DMARC 保护您的电子邮件声誉所需了解的一切,并为您提供有关如何为您的域名设置它的建议。
一个有效的工具来打击Fraudulent Mail
通常与电子邮件身份验证协议SPF和DKIM一起提到的DMARC,或基于域的消息身份验证、报告和一致性,本身并不是一种身份验证协议。相反,DMARC 的目的是让我们这些域名所有者保护我们的电子邮件声誉,通过以下方式:
宣布电子邮件身份验证实践,
请求对认证检查失败的邮件进行处理,
收集关于声称来自其域的邮件的报告。
DMARC可以成为我们用来打击针对我们域名的欺诈邮件(如网络钓鱼和欺骗)的有效工具,并且可以提升我们的收件人对我们邮件的信任度。对于要求超出身份验证终端到终端加密的组织,实施S/MIME,并使用有效的收件人公钥收集方法提供额外的安全层。这种更高的信任应该反过来导致对我们邮件的更高参与度,打开邮件和生成点击次数的邮件驱动销售并为我们的电子邮件活动带来更高的投资回报率。
除了保护我们的域之外,我们预计现在实施DMARC将是“未来证明”我们的域的绝佳方式。在Bird,我们相信,随着行业向IPv6迁移,几乎肯定会从基于IP的声誉模型转向基于域的声誉模型。基于域的声誉将需要基于域的身份验证,而DMARC与DKIM和SPF结合使用,将在长期需求出现之前帮助域建立基于域的声誉。
在这篇文章中,我们将告诉您如何利用DMARC来保护您的电子邮件声誉,并为您提供有关如何为您的域设置它的指导。
Terms to Know
DMARC 如何保护您的电子邮件信誉
当我们谈论邮箱提供商或其他域名“检查DMARC”、“验证DMARC”或“应用DMARC策略”时,我们的意思是接收消息的域正在执行以下步骤:
找出消息的RFC5322.From域
在DNS中查找该域的DMARC策略
执行DKIM签名验证
执行SPF验证
检查域对齐
应用DMARC策略
为了使消息通过DMARC验证,消息只需通过两种身份验证和对齐检查之一。因此,如果以下任一条件为真,消息将通过DMARC验证:
消息通过SPF检查,并且RFC5322.From域和Return-Path域对齐,或者
消息通过DKIM验证,并且RFC5322.From域和DKIM d=域对齐,或者
上述两者皆为真
使DMARC为您的域名工作
现在我们已经解释了DMARC的机制,让我们来讨论如何使DMARC为我们工作,这涉及以下三个步骤:
准备接收DMARC报告
决定为您的域使用什么DMARC策略
发布您的DMARC记录
我们将在下面详细介绍每一个步骤,但我们需要直接告诉您,上述步骤1将消耗您约95%的准备时间。
准备接收DMARC报告
任何发布 DMARC 策略的域名应首先准备接收有关其域名的报告。这些报告将由进行 DMARC 验证并看到声称来自我们域名的邮件的任何域生成,并至少每天发送给我们。报告将以两种格式提供:
汇总报告,即 XML 文档,显示报告者从每个来源看到的邮件数量的统计数据、身份验证结果以及报告者如何处理消息。汇总报告旨在由机器解析,其数据存储在某个地方以允许整体流量分析、我们的域名消息流审计,或许还能识别未认证、潜在欺诈来源的趋势。
法庭报告,即未通过身份验证的单个消息副本,每个消息都封装在一个名为 AFRF 的格式中的完整电子邮件消息中。法庭报告应包含完整标题和消息正文,但由于隐私问题,许多报告者会剥离或删减某些信息。尽管如此,法庭报告仍然有助于解决我们域名自身的身份验证问题,并从消息正文中的 URI 识别出用于欺诈我们域名所有者客户的恶意域名和网站。
接收这些报告的准备工作首先涉及在我们域中创建两个邮箱来处理这些报告,例如 agg_reports@ourdomain.com 和 afrf_reports@ourdomain.com。请注意,这些邮箱名称是完全任意的,对邮箱本地部分的命名没有要求;我们完全可以选择任何名称,但为了方便处理,保持两个邮箱的独立性。
一旦在我们的域中选择并创建了邮箱名称,接下来要做的就是实施工具来读取这些邮箱并利用数据,尤其是汇总数据报告,它们同样旨在由机器解析而非人类阅读。另一方面,法庭报告可能只需我们自己阅读即可管理,但我们实现这一点的能力将取决于我们的邮件客户端如何显示 AFRF 格式消息的理解能力以及我们收到的报告数量。
虽然我们可以编写自己的工具来处理 DMARC 报告,但在Bird为 bird.com 客户提供此类服务之前(我们正在考虑,但尚无承诺),我们建议使用已经可用的工具来完成此任务。
使用哪个 DMARC 策略
DMARC 规范为域名所有者提供了三种选择,用于指定对未通过 DMARC 验证检查的邮件的首选处理方式。它们是:
none,意味着对待邮件的方式与独立于 DMARC 验证检查时相同
quarantine,意味着接受邮件但将其放在收件人的 Inbox 之外的其他位置(通常是垃圾邮件文件夹)
reject,意味着直接拒绝该邮件
重要的是要记住,域名所有者只能在其 DMARC 记录中请求这种处理;是否遵循请求的策略取决于邮件的接收者。有些会这样做,而另一些可能在应用策略时稍微宽松一些,例如仅在域名的策略是 reject 时才将邮件放入垃圾邮件文件夹。
我们建议所有客户启动时采用 none 策略,仅此以确保安全。虽然我们对通过 DKIM 签名正确认证您的邮件的能力充满信心,但最好仍然花一些时间检查有关域的报告,然后再对 DMARC 策略采取更激进的做法。
发布 Your DMARC Policy
一个域名的DMARC策略通过在DNS命名空间中的特定位置发布DNS TXT记录来宣布,即“_dmarc.domainname.tld”(注意前面的下划线)。我们之前示例域名joesbaitshop.com的一个基本DMARC策略记录可能如下所示:
分解这条记录,我们有:
v=DMARC1 指定DMARC版本(目前唯一选择是1)
p=none 指定首选处理或DMARC策略
rua=mailto:agg_reports@joesbait.com 是应发送聚合报告的邮箱
ruf=mailto:afrf_reports@joesbait.com 是应发送取证报告的邮箱
pct=100 是域名所有者希望其策略应用的邮件百分比。刚开始使用DMARC的域名,特别是那些可能产生大量报告的域名,可能希望从一个更低的数字开始,以查看他们的报告处理流程如何应对负载。
域名所有者也可以在其DMARC策略记录中使用其他配置选项,但我们提供的提示应该是一个很好的起点。
总结
在以上信息中有很多内容需要理解!我们希望您发现关于如何创建DMARC策略记录的指南有帮助。我们也希望我们对于为什么DMARC很重要的解释能帮助您清楚地了解为什么您应该开始使用这个重要工具来保护您的电子邮件声誉。
当然,这不是该主题的完整或权威文件。如果您想深入了解或需要更多帮助,一个很好的起点是官方的DMARC常见问题解答。并且,Bird支持团队随时准备帮助您配置Bird账户以支持DMARC。
感谢您的阅读—今天就开始使用DMARC来保护您的域名吧!
