在这篇文章中,我们将告诉您关于利用 DMARC 保护您的电子邮件声誉所需了解的一切,并为您提供有关如何为您的域名设置它的建议。
一个有效的工具来打击Fraudulent Mail
通常与电子邮件认证协议SPF和DKIM一起提到,DMARC,即基于域的消息认证、报告和一致性,本身并不是一个认证协议。相反,DMARC的目的是让我们这些域名所有者通过以下方式来保护我们的电子邮件声誉:
宣布电子邮件认证做法,
请求对未通过认证检查的邮件进行处理,
征求关于声称来自其域的邮件的报告。
DMARC可以成为我们在与针对我们域名的欺诈邮件(例如,网络钓鱼和欺骗)斗争中使用的有效工具,并且可以提升我们邮件接收者对我们的信任度。对于需要超越认证的端到端加密的组织,实施S/MIME配合有效的收件人公钥收集方法提供了额外的安全层。较高的信任应当反过来提升我们邮件的参与度,而被打开并产生点击的邮件推动销售并为我们的电子邮件活动带来更高的投资回报率。
除了保护我们的域之外,我们预测现在实施DMARC将是“未来保障”我们域名的优良方式。在Bird,我们相信,随着行业转向IPv6,几乎肯定会从基于IP的声誉模型转向基于域的声誉模型。基于域的声誉将需要基于域的认证,而DMARC与DKIM和SPF协同运作,将帮助域在绝对必要之前建立基于域的声誉。
在这篇文章中,我们将告诉您如何利用DMARC保护您的电子邮件声誉,并为您提供关于如何为您的域设置DMARC的建议。
Terms to Know
DMARC 如何保护您的电子邮件信誉
当我们谈论邮箱提供商或其他域名“检查DMARC”、“验证DMARC”或“应用DMARC策略”时,我们的意思是接收消息的域正在执行以下步骤:
找出消息的RFC5322.From域
在DNS中查找该域的DMARC策略
执行DKIM签名验证
执行SPF验证
检查域对齐
应用DMARC策略
为了使消息通过DMARC验证,消息只需通过两种身份验证和对齐检查之一。因此,如果以下任一条件为真,消息将通过DMARC验证:
消息通过SPF检查,并且RFC5322.From域和Return-Path域对齐,或者
消息通过DKIM验证,并且RFC5322.From域和DKIM d=域对齐,或者
上述两者皆为真
使DMARC为您的域名工作
现在我们已经解释了DMARC的机制,让我们来讨论如何使DMARC为我们工作,这涉及以下三个步骤:
准备接收DMARC报告
决定为您的域使用什么DMARC策略
发布您的DMARC记录
我们将在下面详细介绍每一个步骤,但我们需要直接告诉您,上述步骤1将消耗您约95%的准备时间。
准备接收DMARC报告
任何发布DMARC策略的域应该首先准备好接收有关其域的报告。这些报告将由任何进行DMARC验证的域生成,并看到邮件声称来自我们的域,并至少每天发送给我们。报告将有两种格式:
汇总报告,即显示来自每个来源的邮件数量、身份验证结果以及报告者如何处理这些邮件的统计数据的XML文档。汇总报告旨在被机器解析,其数据存储在某处,以便进行总体流量分析、审计我们的域消息流,以及可能识别未验证且潜在欺诈性电子邮件来源的趋势。
法证报告,即未通过身份验证的邮件的单个副本,每个副本都被封装在一种称为AFRF格式的完整电子邮件中。法证报告应该包含完整的头部和邮件正文,但由于隐私问题,许多报告者会去除或编辑某些信息。尽管如此,法证报告仍然可以用来排查我们域的验证问题,并通过邮件正文中的URI识别用于欺诈我们域所有者客户的恶意域和网站。
准备接收这些报告的第一步是为我们的域创建两个邮箱来处理这些报告,例如agg_reports@ourdomain.com和afrf_reports@ourdomain.com。请注意,这些邮箱名称是完全任意的,对邮箱本地部分的命名没有要求;我们可以自由选择任何名称,但应保持两者分开以便于处理。
一旦选择并在我们的域中创建了邮箱名称,接下来要做的是实施工具来阅读这些邮箱并利用数据,特别是汇总数据报告,这些数据报告同样设计为由机器解析,而不是供人阅读。另一方面,法证报告可能仅通过我们自己阅读就可以管理,但我们的处理能力将取决于我们的邮件客户端对如何展示AFRF格式消息的理解以及我们收到的报告数量。
虽然我们可以自己编写工具来处理DMARC报告,但在Bird为bird.com客户提供此类服务之前(这是我们正在考虑的事务,但尚未承诺),我们建议使用已经可用的工具来执行此任务。
使用哪个 DMARC 策略
DMARC 规范为域名所有者提供了三种选择,用于指定对未通过 DMARC 验证检查的邮件的首选处理方式。它们是:
none,意味着对待邮件的方式与独立于 DMARC 验证检查时相同
quarantine,意味着接受邮件但将其放在收件人的 Inbox 之外的其他位置(通常是垃圾邮件文件夹)
reject,意味着直接拒绝该邮件
重要的是要记住,域名所有者只能在其 DMARC 记录中请求这种处理;是否遵循请求的策略取决于邮件的接收者。有些会这样做,而另一些可能在应用策略时稍微宽松一些,例如仅在域名的策略是 reject 时才将邮件放入垃圾邮件文件夹。
我们建议所有客户启动时采用 none 策略,仅此以确保安全。虽然我们对通过 DKIM 签名正确认证您的邮件的能力充满信心,但最好仍然花一些时间检查有关域的报告,然后再对 DMARC 策略采取更激进的做法。
发布 Your DMARC Policy
一个域的 DMARC 策略是通过在 DNS 命名空间中的特定位置发布 DNS TXT 记录来公布的,即 “_dmarc.domainname.tld” (注意前导下划线)。 我们之前提到的示例域 joesbaitshop.com 的基本 DMARC 策略记录可能看起来像这样:
_dmarc.joesbaitship.com. IN TXT "v=DMARC1\; p=none\; rua=mailto:agg_reports@joesbait.com\; ruf=mailto:afrf_reports@joesbait.com\; pct=100"
分解此记录,我们有:
v=DMARC1 指定 DMARC 版本(目前只有 1 这个选择)
p=none 指定首选处理方式,或 DMARC 策略
rua=mailto:agg_reports@joesbait.com 是应发送汇总报告的邮箱
ruf=mailto:afrf_reports@joesbait.com 是应该发送法证报告的邮箱
pct=100 是域所有者希望其策略适用的邮件比例。 刚开始使用 DMARC 的域,尤其是可能产生大量报告的域,可能希望从这里的一个较低的数字开始,以查看其报告处理过程如何应对负载。
还有其他配置选项可供域所有者在其 DMARC 策略记录中使用,但我们提供的提示应该是一个不错的开始。
总结
以上信息包含很多内容!我们希望您找到创建DMARC策略记录的操作指南有用。我们也希望关于DMARC重要性的解释能明确为何您应该开始使用这个重要工具来保护您的电子邮件声誉。
当然,这不是关于该主题的完整或权威文件。如果您想深入了解或需要更多帮助,开始的一个好地方是官方的DMARC FAQ。另外,不用说,Bird支持团队也准备好帮助您配置Bird账户以使用DMARC。
感谢阅读—并从今天开始用DMARC保护您的域名!
