DMARC:如何保护您的电子邮件声誉
鸟
2016年4月13日
电子邮件
1 min read
关键要点
DMARC 通过发布您的身份验证实践并请求处理失败的消息来保护您的域名免受钓鱼、欺骗和未经授权的电子邮件使用。
它与 SPF 和 DKIM 配合使用,以确保域名一致性并防止欺诈邮件损害您的发件人声誉。
强大的 DMARC 策略支持更高的信任、更高的互动,并为您的域名在生态系统转向基于域名的信誉模型时做好未来的准备。
DMARC 验证检查依赖于发件人域名、退回路径域名 (SPF) 和 DKIM 签名域名之间的一致性。
设置 DMARC 需要接收报告、理解汇总与取证数据的差异,以及配置工具来解析这些数据。
您以安全的 p=none 策略开始监控流量,然后再移至 隔离 或 拒绝。
发布 DMARC 记录涉及在 _dmarc.yourdomain.com 创建 DNS TXT 条目,包含策略、报告地址和诸如百分比发布之类的可选参数。
适当的报告邮箱(汇总 + 取证)和解析工具对于监控合规性、检测欺骗行为并确保一致性是正确的至关重要。
DMARC 只需要以下之一通过:对齐的 SPF 或对齐的 DKIM。
实施 DMARC 加强电子邮件安全,并在品牌完整性、信任和长期可送达性方面发挥重要作用。
Q&A 精华
什么是DMARC,它为何重要?
DMARC(基于域的消息验证、报告和一致性)是一种通过DNS发布的策略,通过执行域一致性并通过报告启用可见性来保护您的域免受欺骗和网络钓鱼攻击。
DMARC 是一种身份验证协议吗?
不,DMARC本身不是认证——它依赖SPF和DKIM进行邮件认证,并使用策略和报告来控制接收服务器如何处理失败。
DMARC检查什么?
它验证:
SPF 验证 + 对齐
DKIM 验证 + 对齐
发件人只需要其中之一就可以通过 DMARC 验证。
什么是“domain alignment”?
要求是可见的发件人域必须与SPF Return-Path域或DKIM签名域严格匹配或共享相同的组织域(宽松)。
为什么 DMARC 会提高送达率?
因为邮箱服务商更信任通过认证的、对齐的域名。DMARC 防止虚假邮件侵蚀您的声誉,并改善合法邮件的收件箱投递。
aggregate 和 forensic DMARC 报告之间有什么区别?
Aggregate reports (RUA): 所有流量的认证结果的 XML 汇总。
Forensic reports (RUF): 失败消息的个别样本以便进行深入分析。
我在发布 DMARC 之前需要哪些 mailboxes?
您应该创建两个地址,例如:
agg_reports@yourdomain.com (RUA)
afrf_reports@yourdomain.com (RUF)
这样可以使报告流保持分离,便于解析。
我应该从什么DMARC策略开始?
始终以p=none开始。它监控身份验证活动而不影响交付,使您能够安全地识别对齐问题和欺骗尝试。
可用的 DMARC policies 是什么?
无: 仅监控
隔离: 将失败的消息发送到垃圾邮件
拒绝: 完全阻止失败的消息
在哪里发布 DMARC 记录?
在您的DNS中:
_dmarc.yourdomain.com
它必须是一个TXT记录,指定您的策略、版本和报告端点。
基本的 DMARC 记录是什么样的?
示例:
v=DMARC1; p=none; rua=mailto:agg_reports@yourdomain.com; ruf=mailto:afrf_reports@yourdomain.com; pct=100
DMARC失败会发生什么?
接收服务器会应用您请求的策略(无、隔离、拒绝),但最终处理决定取决于供应商。严格的策略可以显著减少使用您的域名进行钓鱼攻击的尝试。
在这篇文章中,我们将告诉您关于利用 DMARC 保护您的电子邮件声誉所需了解的一切,并为您提供有关如何为您的域名设置它的建议。
一个有效的工具来打击Fraudulent Mail
通常与电子邮件身份验证协议 SPF 和 DKIM 并论,DMARC,或称基于域的消息身份验证、报告和一致性,本身并不是一种身份验证协议。相反,DMARC 的目的是让我们这些域名所有者,通过以下方式保护我们的电子邮件声誉:
宣布电子邮件身份验证实践,
请求对未通过身份验证检查的邮件进行处理,以及
收集关于声称来自其域的邮件的报告。
DMARC 可以是我们用来打击针对我们域名的欺诈邮件(例如,网络钓鱼和欺骗)的一种有效工具,并且可以在收件人中加强对我们邮件的信任。对于需要超出身份验证的端到端加密的组织,使用有效的 S/MIME 结合合适的收件人公钥收集方法提供额外的安全层。这种更高的信任应当反过来带来更高的邮件参与度,而被打开并产生点击的邮件推动销售和提高我们电子邮件活动的投资回报率。
除了保护我们的域,我们预测现在实施 DMARC 将是一个 “面向未来” 保护域的绝佳方式。在 Bird,我们相信随着行业向 IPv6 发展,几乎可以肯定会从基于 IP 的声誉模型转向基于域的声誉模型。基于域的声誉将需要基于域的身份验证,而 DMARC,与 DKIM 和 SPF 一起,将帮助域在需要之前建立基于域的声誉。
在这篇文章中,我们将告诉您如何利用 DMARC 来保护您的电子邮件声誉,并为您提供如何为您的域设置它的指引。
通常与电子邮件身份验证协议 SPF 和 DKIM 并论,DMARC,或称基于域的消息身份验证、报告和一致性,本身并不是一种身份验证协议。相反,DMARC 的目的是让我们这些域名所有者,通过以下方式保护我们的电子邮件声誉:
宣布电子邮件身份验证实践,
请求对未通过身份验证检查的邮件进行处理,以及
收集关于声称来自其域的邮件的报告。
DMARC 可以是我们用来打击针对我们域名的欺诈邮件(例如,网络钓鱼和欺骗)的一种有效工具,并且可以在收件人中加强对我们邮件的信任。对于需要超出身份验证的端到端加密的组织,使用有效的 S/MIME 结合合适的收件人公钥收集方法提供额外的安全层。这种更高的信任应当反过来带来更高的邮件参与度,而被打开并产生点击的邮件推动销售和提高我们电子邮件活动的投资回报率。
除了保护我们的域,我们预测现在实施 DMARC 将是一个 “面向未来” 保护域的绝佳方式。在 Bird,我们相信随着行业向 IPv6 发展,几乎可以肯定会从基于 IP 的声誉模型转向基于域的声誉模型。基于域的声誉将需要基于域的身份验证,而 DMARC,与 DKIM 和 SPF 一起,将帮助域在需要之前建立基于域的声誉。
在这篇文章中,我们将告诉您如何利用 DMARC 来保护您的电子邮件声誉,并为您提供如何为您的域设置它的指引。
通常与电子邮件身份验证协议 SPF 和 DKIM 并论,DMARC,或称基于域的消息身份验证、报告和一致性,本身并不是一种身份验证协议。相反,DMARC 的目的是让我们这些域名所有者,通过以下方式保护我们的电子邮件声誉:
宣布电子邮件身份验证实践,
请求对未通过身份验证检查的邮件进行处理,以及
收集关于声称来自其域的邮件的报告。
DMARC 可以是我们用来打击针对我们域名的欺诈邮件(例如,网络钓鱼和欺骗)的一种有效工具,并且可以在收件人中加强对我们邮件的信任。对于需要超出身份验证的端到端加密的组织,使用有效的 S/MIME 结合合适的收件人公钥收集方法提供额外的安全层。这种更高的信任应当反过来带来更高的邮件参与度,而被打开并产生点击的邮件推动销售和提高我们电子邮件活动的投资回报率。
除了保护我们的域,我们预测现在实施 DMARC 将是一个 “面向未来” 保护域的绝佳方式。在 Bird,我们相信随着行业向 IPv6 发展,几乎可以肯定会从基于 IP 的声誉模型转向基于域的声誉模型。基于域的声誉将需要基于域的身份验证,而 DMARC,与 DKIM 和 SPF 一起,将帮助域在需要之前建立基于域的声誉。
在这篇文章中,我们将告诉您如何利用 DMARC 来保护您的电子邮件声誉,并为您提供如何为您的域设置它的指引。
Terms to Know
在为您的域设置DMARC之前,我们希望确保我们讲的是相同的语言。让我们首先定义一些将在本文档中反复使用的术语。
RFC5322.From 域
RFC5322.From域是电子邮件地址的域部分,通常是收件人在阅读我们的电子邮件时看到的。在以下示例中,RFC5322.From域是“joesbaitshop.com”
From: Joe’s Bait and Tackle <sales@joesbaitshop.com>
DKIM d= 域
DKIM是一种身份验证协议,允许一个域以一种可以被消息接收者验证的方式对消息负责;这是通过在消息离开其源点时将加密签名插入消息头中实现的。这些签名有效地是当时消息样子的快照,接收者可以使用这些快照查看消息是否在到达目的地时保持不变。生成和插入这些快照的过程称为DKIM签名,负责消息并对其进行签名的域在标头中以键值标签形式插入其名称为“d=signingDomain”,因此称为DKIM d= 域。
退回路径域
退回路径域,有时也称为RFC5321. From 域或邮件来自域,是将退信路由的域;这也是在电子邮件交易中进行SPF检查的域。除非收件人足够精通查看给定消息中的所有标头,否则通常不会看到此域。
默认情况下,通过bird.com发送的所有邮件将以birdmail.com作为其退回路径域,如以下示例所示:
Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>
然而,为了让DMARC在您的域上工作,您需要利用自定义退信域,其后缀将与您的发送域相同,例如,在使用yourdomain.com作为发送域时,使用bounces.yourdomain.com。
组织域
术语“组织域”指的是提交给注册商以在互联网上创建域存在的域。对于Bird,我们的组织域是bird.com和birdmail.com。
域对齐
关于DMARC需要理解的最后一个术语是“域对齐”,它有两种变体:“松散”和“严格”。
松散域对齐
当两个域的组织域相同时,称它们具有松散的域对齐。例如,a.mail.bird.com和b.foo.bird.com具有松散的域对齐,因为它们共有的组织域是bird.com。
严格域对齐
只有当两个域完全相同时才称它们为严格域对齐。因此,foo.bird.com和foo.bird.com是严格对齐的,因为两个域是相同的。另一方面,foo.bird.com和bar.foo.bird.com仅为松散对齐。
DMARC域对齐要求
为了使DMARC验证检查通过,DMARC要求域对齐如下:
对于SPF,RFC5322.From域和退回路径域必须对齐
对于DKIM,RFC5322.From域和DKIM d=域必须对齐
根据发送域的已发布策略,域对齐可以是松散的或严格的。
在为您的域设置DMARC之前,我们希望确保我们讲的是相同的语言。让我们首先定义一些将在本文档中反复使用的术语。
RFC5322.From 域
RFC5322.From域是电子邮件地址的域部分,通常是收件人在阅读我们的电子邮件时看到的。在以下示例中,RFC5322.From域是“joesbaitshop.com”
From: Joe’s Bait and Tackle <sales@joesbaitshop.com>
DKIM d= 域
DKIM是一种身份验证协议,允许一个域以一种可以被消息接收者验证的方式对消息负责;这是通过在消息离开其源点时将加密签名插入消息头中实现的。这些签名有效地是当时消息样子的快照,接收者可以使用这些快照查看消息是否在到达目的地时保持不变。生成和插入这些快照的过程称为DKIM签名,负责消息并对其进行签名的域在标头中以键值标签形式插入其名称为“d=signingDomain”,因此称为DKIM d= 域。
退回路径域
退回路径域,有时也称为RFC5321. From 域或邮件来自域,是将退信路由的域;这也是在电子邮件交易中进行SPF检查的域。除非收件人足够精通查看给定消息中的所有标头,否则通常不会看到此域。
默认情况下,通过bird.com发送的所有邮件将以birdmail.com作为其退回路径域,如以下示例所示:
Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>
然而,为了让DMARC在您的域上工作,您需要利用自定义退信域,其后缀将与您的发送域相同,例如,在使用yourdomain.com作为发送域时,使用bounces.yourdomain.com。
组织域
术语“组织域”指的是提交给注册商以在互联网上创建域存在的域。对于Bird,我们的组织域是bird.com和birdmail.com。
域对齐
关于DMARC需要理解的最后一个术语是“域对齐”,它有两种变体:“松散”和“严格”。
松散域对齐
当两个域的组织域相同时,称它们具有松散的域对齐。例如,a.mail.bird.com和b.foo.bird.com具有松散的域对齐,因为它们共有的组织域是bird.com。
严格域对齐
只有当两个域完全相同时才称它们为严格域对齐。因此,foo.bird.com和foo.bird.com是严格对齐的,因为两个域是相同的。另一方面,foo.bird.com和bar.foo.bird.com仅为松散对齐。
DMARC域对齐要求
为了使DMARC验证检查通过,DMARC要求域对齐如下:
对于SPF,RFC5322.From域和退回路径域必须对齐
对于DKIM,RFC5322.From域和DKIM d=域必须对齐
根据发送域的已发布策略,域对齐可以是松散的或严格的。
在为您的域设置DMARC之前,我们希望确保我们讲的是相同的语言。让我们首先定义一些将在本文档中反复使用的术语。
RFC5322.From 域
RFC5322.From域是电子邮件地址的域部分,通常是收件人在阅读我们的电子邮件时看到的。在以下示例中,RFC5322.From域是“joesbaitshop.com”
From: Joe’s Bait and Tackle <sales@joesbaitshop.com>
DKIM d= 域
DKIM是一种身份验证协议,允许一个域以一种可以被消息接收者验证的方式对消息负责;这是通过在消息离开其源点时将加密签名插入消息头中实现的。这些签名有效地是当时消息样子的快照,接收者可以使用这些快照查看消息是否在到达目的地时保持不变。生成和插入这些快照的过程称为DKIM签名,负责消息并对其进行签名的域在标头中以键值标签形式插入其名称为“d=signingDomain”,因此称为DKIM d= 域。
退回路径域
退回路径域,有时也称为RFC5321. From 域或邮件来自域,是将退信路由的域;这也是在电子邮件交易中进行SPF检查的域。除非收件人足够精通查看给定消息中的所有标头,否则通常不会看到此域。
默认情况下,通过bird.com发送的所有邮件将以birdmail.com作为其退回路径域,如以下示例所示:
Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>
然而,为了让DMARC在您的域上工作,您需要利用自定义退信域,其后缀将与您的发送域相同,例如,在使用yourdomain.com作为发送域时,使用bounces.yourdomain.com。
组织域
术语“组织域”指的是提交给注册商以在互联网上创建域存在的域。对于Bird,我们的组织域是bird.com和birdmail.com。
域对齐
关于DMARC需要理解的最后一个术语是“域对齐”,它有两种变体:“松散”和“严格”。
松散域对齐
当两个域的组织域相同时,称它们具有松散的域对齐。例如,a.mail.bird.com和b.foo.bird.com具有松散的域对齐,因为它们共有的组织域是bird.com。
严格域对齐
只有当两个域完全相同时才称它们为严格域对齐。因此,foo.bird.com和foo.bird.com是严格对齐的,因为两个域是相同的。另一方面,foo.bird.com和bar.foo.bird.com仅为松散对齐。
DMARC域对齐要求
为了使DMARC验证检查通过,DMARC要求域对齐如下:
对于SPF,RFC5322.From域和退回路径域必须对齐
对于DKIM,RFC5322.From域和DKIM d=域必须对齐
根据发送域的已发布策略,域对齐可以是松散的或严格的。
DMARC 如何保护您的电子邮件信誉
当我们谈到邮局提供商或其他域名“检查DMARC”、“验证DMARC”或“应用DMARC策略”时,我们指的是接收信息的域名正在执行以下步骤:
确定消息的RFC5322.From域
在DNS中查询该域的DMARC策略
执行DKIM签名验证
执行SPF验证
检查域对齐
应用DMARC策略
为了使一条消息通过DMARC验证,该消息只需通过两个身份验证和对齐检查中的一个。因此,如果以下任一情况为真,消息将通过DMARC验证:
消息通过SPF检查,并且RFC5322.From域和Return-Path域对齐,或
消息通过DKIM验证,并且RFC5322.From域和DKIM d=域对齐,或
以上两种情况都成立
当我们谈到邮局提供商或其他域名“检查DMARC”、“验证DMARC”或“应用DMARC策略”时,我们指的是接收信息的域名正在执行以下步骤:
确定消息的RFC5322.From域
在DNS中查询该域的DMARC策略
执行DKIM签名验证
执行SPF验证
检查域对齐
应用DMARC策略
为了使一条消息通过DMARC验证,该消息只需通过两个身份验证和对齐检查中的一个。因此,如果以下任一情况为真,消息将通过DMARC验证:
消息通过SPF检查,并且RFC5322.From域和Return-Path域对齐,或
消息通过DKIM验证,并且RFC5322.From域和DKIM d=域对齐,或
以上两种情况都成立
当我们谈到邮局提供商或其他域名“检查DMARC”、“验证DMARC”或“应用DMARC策略”时,我们指的是接收信息的域名正在执行以下步骤:
确定消息的RFC5322.From域
在DNS中查询该域的DMARC策略
执行DKIM签名验证
执行SPF验证
检查域对齐
应用DMARC策略
为了使一条消息通过DMARC验证,该消息只需通过两个身份验证和对齐检查中的一个。因此,如果以下任一情况为真,消息将通过DMARC验证:
消息通过SPF检查,并且RFC5322.From域和Return-Path域对齐,或
消息通过DKIM验证,并且RFC5322.From域和DKIM d=域对齐,或
以上两种情况都成立
使DMARC为您的域名工作
现在我们已经解释了DMARC的机制,让我们来讨论如何使DMARC为我们工作,这涉及以下三个步骤:
准备接收DMARC报告
决定为您的域使用什么DMARC策略
发布您的DMARC记录
我们将在下面详细介绍每一个步骤,但我们需要直接告诉您,上述步骤1将消耗您约95%的准备时间。
现在我们已经解释了DMARC的机制,让我们来讨论如何使DMARC为我们工作,这涉及以下三个步骤:
准备接收DMARC报告
决定为您的域使用什么DMARC策略
发布您的DMARC记录
我们将在下面详细介绍每一个步骤,但我们需要直接告诉您,上述步骤1将消耗您约95%的准备时间。
现在我们已经解释了DMARC的机制,让我们来讨论如何使DMARC为我们工作,这涉及以下三个步骤:
准备接收DMARC报告
决定为您的域使用什么DMARC策略
发布您的DMARC记录
我们将在下面详细介绍每一个步骤,但我们需要直接告诉您,上述步骤1将消耗您约95%的准备时间。
准备接收DMARC报告
任何发布DMARC策略的域应首先准备接收关于其域的报告。这些报告将由任何进行DMARC验证并看到邮件声称来自我们域的域生成,至少每日发送给我们。报告将以两种格式发送:
汇总报告,这些是XML文件,显示报告者从每个来源看到多少邮件的统计数据,身份验证结果是什么,以及消息如何被报告者处理。汇总报告被设计为机器解析,其数据存储在某个地方,以允许对整体流量进行分析,审计我们域的消息流,并可能识别未经身份验证的潜在欺诈电子邮件来源趋势。
法医报告,这些是失败身份验证的单个消息副本,每个都包含在一个使用AFRF格式的完整电子邮件中。法医报告应包含完整的标头和消息主体,但由于隐私问题,许多报告者会删减或编辑一些信息。尽管如此,法医报告仍然可以用于解决我们域的身份验证问题,以及从消息体中的URI识别用于欺骗我们域所有者客户的恶意域和网站。
接收这些报告的准备工作首先涉及在我们的域中创建两个邮箱来处理这些报告,例如agg_reports@ourdomain.com和afrf_reports@ourdomain.com。请注意,这些邮箱名称是完全随意的,邮箱本地部分的命名没有要求;我们可以自由选择任何名称,但保持两个邮箱分开以便于处理。
一旦在我们的域中选择并创建邮箱名称,下一步就是放置工具以读取这些邮箱并利用数据,特别是汇总数据报告,这些报告再次设计为机器解析,而不是由人读取。另一方面,法医报告可能可以通过我们自己阅读来管理,但我们能否做到这一点将取决于我们的邮件客户端对如何展示AFRF格式消息的理解以及我们收到报告的数量。
虽然我们可以编写自己的工具来处理DMARC报告,但在Bird为bird.com客户提供此类服务之前(我们正在考虑,但尚未承诺),我们建议使用现有的工具来完成任务。
任何发布DMARC策略的域应首先准备接收关于其域的报告。这些报告将由任何进行DMARC验证并看到邮件声称来自我们域的域生成,至少每日发送给我们。报告将以两种格式发送:
汇总报告,这些是XML文件,显示报告者从每个来源看到多少邮件的统计数据,身份验证结果是什么,以及消息如何被报告者处理。汇总报告被设计为机器解析,其数据存储在某个地方,以允许对整体流量进行分析,审计我们域的消息流,并可能识别未经身份验证的潜在欺诈电子邮件来源趋势。
法医报告,这些是失败身份验证的单个消息副本,每个都包含在一个使用AFRF格式的完整电子邮件中。法医报告应包含完整的标头和消息主体,但由于隐私问题,许多报告者会删减或编辑一些信息。尽管如此,法医报告仍然可以用于解决我们域的身份验证问题,以及从消息体中的URI识别用于欺骗我们域所有者客户的恶意域和网站。
接收这些报告的准备工作首先涉及在我们的域中创建两个邮箱来处理这些报告,例如agg_reports@ourdomain.com和afrf_reports@ourdomain.com。请注意,这些邮箱名称是完全随意的,邮箱本地部分的命名没有要求;我们可以自由选择任何名称,但保持两个邮箱分开以便于处理。
一旦在我们的域中选择并创建邮箱名称,下一步就是放置工具以读取这些邮箱并利用数据,特别是汇总数据报告,这些报告再次设计为机器解析,而不是由人读取。另一方面,法医报告可能可以通过我们自己阅读来管理,但我们能否做到这一点将取决于我们的邮件客户端对如何展示AFRF格式消息的理解以及我们收到报告的数量。
虽然我们可以编写自己的工具来处理DMARC报告,但在Bird为bird.com客户提供此类服务之前(我们正在考虑,但尚未承诺),我们建议使用现有的工具来完成任务。
任何发布DMARC策略的域应首先准备接收关于其域的报告。这些报告将由任何进行DMARC验证并看到邮件声称来自我们域的域生成,至少每日发送给我们。报告将以两种格式发送:
汇总报告,这些是XML文件,显示报告者从每个来源看到多少邮件的统计数据,身份验证结果是什么,以及消息如何被报告者处理。汇总报告被设计为机器解析,其数据存储在某个地方,以允许对整体流量进行分析,审计我们域的消息流,并可能识别未经身份验证的潜在欺诈电子邮件来源趋势。
法医报告,这些是失败身份验证的单个消息副本,每个都包含在一个使用AFRF格式的完整电子邮件中。法医报告应包含完整的标头和消息主体,但由于隐私问题,许多报告者会删减或编辑一些信息。尽管如此,法医报告仍然可以用于解决我们域的身份验证问题,以及从消息体中的URI识别用于欺骗我们域所有者客户的恶意域和网站。
接收这些报告的准备工作首先涉及在我们的域中创建两个邮箱来处理这些报告,例如agg_reports@ourdomain.com和afrf_reports@ourdomain.com。请注意,这些邮箱名称是完全随意的,邮箱本地部分的命名没有要求;我们可以自由选择任何名称,但保持两个邮箱分开以便于处理。
一旦在我们的域中选择并创建邮箱名称,下一步就是放置工具以读取这些邮箱并利用数据,特别是汇总数据报告,这些报告再次设计为机器解析,而不是由人读取。另一方面,法医报告可能可以通过我们自己阅读来管理,但我们能否做到这一点将取决于我们的邮件客户端对如何展示AFRF格式消息的理解以及我们收到报告的数量。
虽然我们可以编写自己的工具来处理DMARC报告,但在Bird为bird.com客户提供此类服务之前(我们正在考虑,但尚未承诺),我们建议使用现有的工具来完成任务。
使用哪个 DMARC 策略
DMARC 规范为域名所有者提供了三种选择,以指定对未通过 DMARC 验证检查的邮件的首选处理方式。它们是:
none,意味着对待邮件的方式与不考虑 DMARC 验证检查时相同
quarantine,意味着接受邮件但将其放置在收件箱以外的地方(通常是垃圾邮件文件夹)
reject,意味着直接拒绝邮件
重要的是要记住,域名所有者只能在其 DMARC 记录中请求此类处理;消息接收者决定是否遵守请求的政策。在有些情况下,他们会遵守,而其他时候,他们可能在应用政策时更宽松一些,例如当域的政策是 reject 时,仅将邮件放入垃圾邮件文件夹。
我们建议所有客户以 policy 为 none 开始,以保持安全。尽管我们对通过 DKIM 签名来正确认证您的邮件有信心,但最好在对您的域进行更积极的 DMARC 政策之前,花一些时间检查关于您域的报告。
DMARC 规范为域名所有者提供了三种选择,以指定对未通过 DMARC 验证检查的邮件的首选处理方式。它们是:
none,意味着对待邮件的方式与不考虑 DMARC 验证检查时相同
quarantine,意味着接受邮件但将其放置在收件箱以外的地方(通常是垃圾邮件文件夹)
reject,意味着直接拒绝邮件
重要的是要记住,域名所有者只能在其 DMARC 记录中请求此类处理;消息接收者决定是否遵守请求的政策。在有些情况下,他们会遵守,而其他时候,他们可能在应用政策时更宽松一些,例如当域的政策是 reject 时,仅将邮件放入垃圾邮件文件夹。
我们建议所有客户以 policy 为 none 开始,以保持安全。尽管我们对通过 DKIM 签名来正确认证您的邮件有信心,但最好在对您的域进行更积极的 DMARC 政策之前,花一些时间检查关于您域的报告。
DMARC 规范为域名所有者提供了三种选择,以指定对未通过 DMARC 验证检查的邮件的首选处理方式。它们是:
none,意味着对待邮件的方式与不考虑 DMARC 验证检查时相同
quarantine,意味着接受邮件但将其放置在收件箱以外的地方(通常是垃圾邮件文件夹)
reject,意味着直接拒绝邮件
重要的是要记住,域名所有者只能在其 DMARC 记录中请求此类处理;消息接收者决定是否遵守请求的政策。在有些情况下,他们会遵守,而其他时候,他们可能在应用政策时更宽松一些,例如当域的政策是 reject 时,仅将邮件放入垃圾邮件文件夹。
我们建议所有客户以 policy 为 none 开始,以保持安全。尽管我们对通过 DKIM 签名来正确认证您的邮件有信心,但最好在对您的域进行更积极的 DMARC 政策之前,花一些时间检查关于您域的报告。
发布 Your DMARC Policy
一个域的DMARC策略是通过在DNS命名空间的特定位置发布DNS TXT记录来公布的,即“_dmarc.domainname.tld”(注意前导下划线)。我们之前示例域名joesbaitshop.com的基本DMARC策略记录可能如下所示:
_dmarc.joesbaitship.com. IN TXT "v=DMARC1; p=none; rua=mailto:agg_reports@joesbait.com; ruf=mailto:afrf_reports@joesbait.com; pct=100"
分解此记录,我们有:
v=DMARC1 指定DMARC版本(目前唯一的选择是1)
p=none 指定首选处理方式,或DMARC策略
rua=mailto:agg_reports@joesbait.com 是用于接收聚合报告的邮箱
ruf=mailto:afrf_reports@joesbait.com 是用于接收取证报告的邮箱
pct=100 是域所有者希望其策略适用的邮件百分比。刚开始使用DMARC的域名,特别是那些可能产生大量报告的域名,可能希望从一个低得多的数字开始,以便观察其报告处理流程如何应对负载。
域所有者还可以在其DMARC策略记录中使用其他配置选项,但我们提供的提示应该是一个好的开始。
一个域的DMARC策略是通过在DNS命名空间的特定位置发布DNS TXT记录来公布的,即“_dmarc.domainname.tld”(注意前导下划线)。我们之前示例域名joesbaitshop.com的基本DMARC策略记录可能如下所示:
_dmarc.joesbaitship.com. IN TXT "v=DMARC1; p=none; rua=mailto:agg_reports@joesbait.com; ruf=mailto:afrf_reports@joesbait.com; pct=100"
分解此记录,我们有:
v=DMARC1 指定DMARC版本(目前唯一的选择是1)
p=none 指定首选处理方式,或DMARC策略
rua=mailto:agg_reports@joesbait.com 是用于接收聚合报告的邮箱
ruf=mailto:afrf_reports@joesbait.com 是用于接收取证报告的邮箱
pct=100 是域所有者希望其策略适用的邮件百分比。刚开始使用DMARC的域名,特别是那些可能产生大量报告的域名,可能希望从一个低得多的数字开始,以便观察其报告处理流程如何应对负载。
域所有者还可以在其DMARC策略记录中使用其他配置选项,但我们提供的提示应该是一个好的开始。
一个域的DMARC策略是通过在DNS命名空间的特定位置发布DNS TXT记录来公布的,即“_dmarc.domainname.tld”(注意前导下划线)。我们之前示例域名joesbaitshop.com的基本DMARC策略记录可能如下所示:
_dmarc.joesbaitship.com. IN TXT "v=DMARC1; p=none; rua=mailto:agg_reports@joesbait.com; ruf=mailto:afrf_reports@joesbait.com; pct=100"
分解此记录,我们有:
v=DMARC1 指定DMARC版本(目前唯一的选择是1)
p=none 指定首选处理方式,或DMARC策略
rua=mailto:agg_reports@joesbait.com 是用于接收聚合报告的邮箱
ruf=mailto:afrf_reports@joesbait.com 是用于接收取证报告的邮箱
pct=100 是域所有者希望其策略适用的邮件百分比。刚开始使用DMARC的域名,特别是那些可能产生大量报告的域名,可能希望从一个低得多的数字开始,以便观察其报告处理流程如何应对负载。
域所有者还可以在其DMARC策略记录中使用其他配置选项,但我们提供的提示应该是一个好的开始。
总结
在以上信息中有很多内容需要理解!我们希望您发现关于如何创建DMARC策略记录的指南有帮助。我们也希望我们对于为什么DMARC很重要的解释能帮助您清楚地了解为什么您应该开始使用这个重要工具来保护您的电子邮件声誉。
当然,这不是该主题的完整或权威文件。如果您想深入了解或需要更多帮助,一个很好的起点是官方的DMARC常见问题解答。并且,Bird支持团队随时准备帮助您配置Bird账户以支持DMARC。
感谢您的阅读—今天就开始使用DMARC来保护您的域名吧!
在以上信息中有很多内容需要理解!我们希望您发现关于如何创建DMARC策略记录的指南有帮助。我们也希望我们对于为什么DMARC很重要的解释能帮助您清楚地了解为什么您应该开始使用这个重要工具来保护您的电子邮件声誉。
当然,这不是该主题的完整或权威文件。如果您想深入了解或需要更多帮助,一个很好的起点是官方的DMARC常见问题解答。并且,Bird支持团队随时准备帮助您配置Bird账户以支持DMARC。
感谢您的阅读—今天就开始使用DMARC来保护您的域名吧!
在以上信息中有很多内容需要理解!我们希望您发现关于如何创建DMARC策略记录的指南有帮助。我们也希望我们对于为什么DMARC很重要的解释能帮助您清楚地了解为什么您应该开始使用这个重要工具来保护您的电子邮件声誉。
当然,这不是该主题的完整或权威文件。如果您想深入了解或需要更多帮助,一个很好的起点是官方的DMARC常见问题解答。并且,Bird支持团队随时准备帮助您配置Bird账户以支持DMARC。
感谢您的阅读—今天就开始使用DMARC来保护您的域名吧!
