在这篇文章中,我们将告诉您关于利用 DMARC 保护您的电子邮件声誉所需了解的一切,并为您提供有关如何为您的域名设置它的建议。
Business in a box.
探索我们的解决方案。
与我们的销售团队交谈
一个有效的工具来打击Fraudulent Mail
通常与电子邮件验证协议 SPF 和 DKIM 一同提到的 DMARC(基于域的消息身份验证、报告和一致性)本身并不是一个验证协议。相反,DMARC 的目的是让我们这些域所有者通过以下方式保护我们的电子邮件声誉:
宣布电子邮件验证实践,
请求对未通过验证检查的邮件进行处理,
请求有关声称来自其域的邮件的报告。
DMARC 可以成为我们在对抗目标为我们的域名的欺诈邮件(例如网络钓鱼和欺骗)中的有效工具,并且可以提高收件人对我们邮件的信任。这种更高的信任应该会转而导致对我们邮件的更高参与度,打开的邮件和生成点击量的邮件推动销售并提高我们电子邮件活动的投资回报率 (ROI)。
除了保护我们的域,我们预测现在实施 DMARC 将是“未来验证”我们的域的绝佳方式。在 Bird,我们相信,随着行业转向 IPv6,几乎可以肯定会从基于 IP 的声誉模型转向基于域的声誉模型。基于域的声誉将需要基于域的身份验证,并且 DMARC,结合 DKIM 和 SPF,将帮助域在绝对必要之前建立基于域的声誉。
在这篇文章中,我们将告诉您有关利用 DMARC 保护您的电子邮件声誉所需了解的一切,并为您提供关于如何为您的域设置 DMARC 的指导。
Terms to Know
DMARC 如何保护您的电子邮件信誉
当我们谈论邮箱提供者或其他域名“检查 DMARC”、“验证 DMARC”或“应用 DMARC 策略”时,我们的意思是接收消息的域名正在执行以下步骤:
找出消息的 RFC5322.From 域名
查找该域名在 DNS 中的 DMARC 策略
执行 DKIM Signature 验证
执行 SPF 验证
检查域名对齐
应用 DMARC 策略
为了使消息通过 DMARC 验证,消息只需通过两个身份验证和对齐检查中的一个即可。因此,如果以下任何一项为真,消息就会通过 DMARC 验证:
消息通过 SPF 检查,且 RFC5322.From 域名和 Return-Path 域名对齐,或者
消息通过 DKIM 验证,且 RFC5322.From 域名和 DKIM d= 域名对齐,或者
以上两者都为真
使DMARC为您的域名工作
现在我们已经解释了DMARC的机制,让我们来讨论如何使DMARC为我们工作,这涉及以下三个步骤:
准备接收DMARC报告
决定为您的域使用什么DMARC策略
发布您的DMARC记录
我们将在下面详细介绍每一个步骤,但我们需要直接告诉您,上述步骤1将消耗您约95%的准备时间。
准备接收DMARC报告
任何发布时间DMARC政策的域名都应首先准备好接收有关其域的报告。这些报告将由任何进行DMARC验证并看到声称来自我们域的邮件的域名生成,并且将至少每天发送给我们。报告将以两种格式提供:
汇总报告,这是XML文档,显示报告者从每个来源看到的邮件数量、认证结果以及报告者如何处理这些邮件的统计数据。汇总报告设计为机器解析,其数据存储在某处,以便进行整体流量分析、审计我们域的消息流,以及可能识别未认证、可能是欺诈性邮件来源的趋势。
取证报告,这是未通过认证的消息的单个副本,每个都封装在一个使用AFRF格式的完整电子邮件中。取证报告应该包含完整的标题和消息主体,但由于隐私问题,许多报告者会删除或删除部分信息。尽管如此,取证报告仍然可以用于排查我们域的认证问题,以及从消息主体中的URI识别用于欺骗我们域所有者客户的恶意域名和网站。
准备接收这些报告首先涉及在我们的域中创建两个邮箱以处理这些报告,例如agg_reports@ourdomain.com和afrf_reports@ourdomain.com。请注意,这些邮箱名称是完全任意的,并且对邮箱本地部分的命名没有要求;我们可以随意选择任何名称,但为了便于处理,请保持这两个邮箱分开。
一旦在我们的域中选择并创建了邮箱名称,接下来要做的事情是放置工具以读取这些邮箱并利用数据,特别是汇总数据报告,这些报告再次设计为机器解析,而不是人类阅读。另一方面,取证报告可能仅通过我们自己阅读就可以管理,但我们能否做到这一点将取决于我们邮件客户端了解如何显示AFRF格式消息的能力以及我们收到的报告数量。
虽然我们可以编写自己的工具来处理DMARC报告,但直到Bird为bird.com客户提供此类服务(这是我们正在考虑的,但尚未承诺)为止,我们建议使用现有的工具来完成这项任务。
使用哪个 DMARC 策略
DMARC 规范为域名所有者提供了三种选择,用于指定对未通过 DMARC 验证检查的邮件的首选处理方式。它们是:
none,意味着对邮件的处理与独立于 DMARC 验证检查的处理方法相同
quarantine,意味着接受邮件但将其放置在收件人的 Inbox 之外的地方(通常是垃圾邮件文件夹)
reject,意味着直接拒绝该消息
重要的是要记住,域名所有者只能在其 DMARC 记录中请求此类处理;最终由消息的接收者决定是否遵循所请求的策略。有些会这样做,而有些可能会在应用策略时更宽松一些,例如当域名的策略是 reject 时只将邮件放入垃圾邮件文件夹。
我们建议所有客户启动时采用 none 策略,仅仅为了安全。虽然我们对通过 DKIM 签名正确认证您的邮件能力充满信心,但在更积极地调整您的 DMARC 策略之前,最好花些时间检查有关您域名的报告。
发布 Your DMARC Policy
域的DMARC策略通过在DNS命名空间中的特定位置发布DNS TXT记录进行宣布,即“_dmarc.domainname.tld”(注意前导下划线)。我们之前提到的示例域joesbaitshop.com的基本DMARC策略记录可能如下所示:
_dmarc.joesbaitship.com. IN TXT "v=DMARC1\; p=none\; rua=mailto:agg_reports@joesbait.com\; ruf=mailto:afrf_reports@joesbait.com\; pct=100"
解析此记录,我们得到:
v=DMARC1 指定DMARC版本(目前唯一的选择是1)
p=none 指定首选处理方式,或DMARC策略
rua=mailto:agg_reports@joesbait.com 是接收汇总报告的邮箱
ruf=mailto:afrf_reports@joesbait.com 是接收法医报告的邮箱
pct=100 是域所有者希望其策略应用于邮件的百分比。刚开始使用DMARC的域,尤其是那些预计会生成大量报告的域,可能希望从这里的一个较低数字开始,以观察其报告处理流程如何应对负载。
还有其他配置选项可供域所有者在其DMARC策略记录中使用,但我们提供的提示应是一个良好的开始。
总结
上面的信息中有很多内容需要理解!我们希望您找到创建DMARC策略记录的操作指南有用。我们也希望我们对为什么DMARC很重要的解释能帮助您明白为什么应该开始使用这一重要工具来保护您的电子邮件声誉。
当然,这不是关于该主题的完整或权威文件。如果您想更深入地了解或需要更多帮助,开始的一个很好的地方是官方DMARC常见问题。而且,不用说,Bird支持团队也准备好帮助您配置您的Bird帐户以支持DMARC。
感谢您的阅读——今天就开始使用DMARC保护您的域名吧!
