Reach

Grow

Manage

Automate

Reach

Grow

Manage

Automate

DMARC:如何保护您的电子邮件声誉

电子邮件

1 min read

DMARC:如何保护您的电子邮件声誉

电子邮件

1 min read

DMARC:如何保护您的电子邮件声誉

在这篇文章中,我们将告诉您关于利用 DMARC 保护您的电子邮件声誉所需了解的一切,并为您提供有关如何为您的域名设置它的建议。

一个有效的工具来打击Fraudulent Mail

经常与电子邮件身份验证协议SPF和DKIM同时提及的DMARC,或基于域的消息认证、报告和一致性,本身并不是一种身份验证协议。相反,DMARC的目的是让我们,域名所有者,通过以下方式保护我们的电子邮件信誉:

  • 宣布电子邮件身份验证实践,

  • 请求对未通过身份验证检查的邮件进行处理,

  • 征求有关声称来自其域的邮件的报告。


DMARC对于我们来说,可以成为与目标我们域名的虚假邮件(例如,网络钓鱼和欺诈)作斗争的有效工具,并能在我们的收件人中促进更高的信任。更高的信任应进一步导致更高的邮件参与度,而打开邮件并产生点击将推动销售并提高我们的电子邮件活动的投资回报率。

除了保护我们的域,我们预测现在实施DMARC将是“面向未来”保护域名的绝佳方式。在Bird这里,我们相信随着行业向IPv6的迁移,几乎肯定会从基于IP的声誉模型转向基于域的声誉模型。基于域的声誉将需要基于域的身份验证,DMARC与DKIM和SPF共同,早在绝对必要之前,就帮助域建立基于域的声誉。

在这篇文章中,我们将告诉您利用DMARC保护您的电子邮件信誉所需知道的一切,并给出如何为您的域设置它的建议。

Terms to Know

在为您的域设置DMARC之前,我们想确保我们在说相同的语言。让我们先定义一些将在本文档其余部分中使用的术语。

RFC5322.From Domain

RFC5322.From Domain是电子邮件地址的域部分,这是收件人在阅读我们的电子邮件时通常会看到的。在以下示例中,RFC5322.From 域是“joesbaitshop.com”

发件人: Joe’s Bait and Tackle <sales@joesbaitshop.com>

DKIM d= 域

DKIM 是一种身份验证协议,它允许一个域以接收者可以验证的方式对消息负责;这是通过在消息离开其来源点时将加密签名插入消息的头部来实现的。这些签名实际上是当时消息外观的快照,接收者可以使用这些快照来查看消息是否未改变地到达其目的地。生成和插入这些快照的过程称为DKIM签名,那个通过签名对消息负责的域在头部以键值标签的形式插入其名称为“d=signingDomain”,因此它被称为DKIM d=域。

Return-Path Domain

Return-Path域,有时称为RFC5321.From Domain或Mail From域,是退信被路由到的域;它也是在电子邮件事务中进行SPF检查的域。通常接收者不会看到这个域,除非接收者足够精通查看给定消息的所有头部。

默认情况下,通过bird.com发送的所有邮件将以birdmail.com作为其Return-Path域,如以下示例所示:

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

然而,为了让DMARC在您的域上工作,您需要利用一个自定义退信域,该域将以您的发送域结尾,例如在将yourdomain.com作为发送域时使用bounces.yourdomain.com。

组织域

“组织域”一词指的是提交给注册机构以在互联网上创建域存在的域。对于Bird,我们的组织域是bird.com和birdmail.com。

域一致性

关于DMARC要理解的最后一个术语是“域一致性”,它有两个变体:“宽松”和“严格”。

宽松域一致性

当两个域的组织域相同时,称为宽松域一致性。例如,a.mail.bird.com和b.foo.bird.com具有宽松域一致性,因为它们的共同组织域是bird.com。

严格域一致性

如果且仅当两个域相同时,它们被认为是严格域一致性。因此,foo.bird.com和foo.bird.com是严格一致的,因为这两个域是相同的。另一方面,foo.bird.com和bar.foo.bird.com仅处于宽松一致性。

DMARC域一致性要求

为了通过DMARC验证检查,DMARC要求域一致性如下:

  • 对于SPF,RFC5322.From域和Return-Path域必须一致

  • 对于DKIM,RFC5322.From域和DKIM d=域必须一致

一致性可以是基于发送域发布的政策而宽松或严格。

在为您的域设置DMARC之前,我们想确保我们在说相同的语言。让我们先定义一些将在本文档其余部分中使用的术语。

RFC5322.From Domain

RFC5322.From Domain是电子邮件地址的域部分,这是收件人在阅读我们的电子邮件时通常会看到的。在以下示例中,RFC5322.From 域是“joesbaitshop.com”

发件人: Joe’s Bait and Tackle <sales@joesbaitshop.com>

DKIM d= 域

DKIM 是一种身份验证协议,它允许一个域以接收者可以验证的方式对消息负责;这是通过在消息离开其来源点时将加密签名插入消息的头部来实现的。这些签名实际上是当时消息外观的快照,接收者可以使用这些快照来查看消息是否未改变地到达其目的地。生成和插入这些快照的过程称为DKIM签名,那个通过签名对消息负责的域在头部以键值标签的形式插入其名称为“d=signingDomain”,因此它被称为DKIM d=域。

Return-Path Domain

Return-Path域,有时称为RFC5321.From Domain或Mail From域,是退信被路由到的域;它也是在电子邮件事务中进行SPF检查的域。通常接收者不会看到这个域,除非接收者足够精通查看给定消息的所有头部。

默认情况下,通过bird.com发送的所有邮件将以birdmail.com作为其Return-Path域,如以下示例所示:

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

然而,为了让DMARC在您的域上工作,您需要利用一个自定义退信域,该域将以您的发送域结尾,例如在将yourdomain.com作为发送域时使用bounces.yourdomain.com。

组织域

“组织域”一词指的是提交给注册机构以在互联网上创建域存在的域。对于Bird,我们的组织域是bird.com和birdmail.com。

域一致性

关于DMARC要理解的最后一个术语是“域一致性”,它有两个变体:“宽松”和“严格”。

宽松域一致性

当两个域的组织域相同时,称为宽松域一致性。例如,a.mail.bird.com和b.foo.bird.com具有宽松域一致性,因为它们的共同组织域是bird.com。

严格域一致性

如果且仅当两个域相同时,它们被认为是严格域一致性。因此,foo.bird.com和foo.bird.com是严格一致的,因为这两个域是相同的。另一方面,foo.bird.com和bar.foo.bird.com仅处于宽松一致性。

DMARC域一致性要求

为了通过DMARC验证检查,DMARC要求域一致性如下:

  • 对于SPF,RFC5322.From域和Return-Path域必须一致

  • 对于DKIM,RFC5322.From域和DKIM d=域必须一致

一致性可以是基于发送域发布的政策而宽松或严格。

在为您的域设置DMARC之前,我们想确保我们在说相同的语言。让我们先定义一些将在本文档其余部分中使用的术语。

RFC5322.From Domain

RFC5322.From Domain是电子邮件地址的域部分,这是收件人在阅读我们的电子邮件时通常会看到的。在以下示例中,RFC5322.From 域是“joesbaitshop.com”

发件人: Joe’s Bait and Tackle <sales@joesbaitshop.com>

DKIM d= 域

DKIM 是一种身份验证协议,它允许一个域以接收者可以验证的方式对消息负责;这是通过在消息离开其来源点时将加密签名插入消息的头部来实现的。这些签名实际上是当时消息外观的快照,接收者可以使用这些快照来查看消息是否未改变地到达其目的地。生成和插入这些快照的过程称为DKIM签名,那个通过签名对消息负责的域在头部以键值标签的形式插入其名称为“d=signingDomain”,因此它被称为DKIM d=域。

Return-Path Domain

Return-Path域,有时称为RFC5321.From Domain或Mail From域,是退信被路由到的域;它也是在电子邮件事务中进行SPF检查的域。通常接收者不会看到这个域,除非接收者足够精通查看给定消息的所有头部。

默认情况下,通过bird.com发送的所有邮件将以birdmail.com作为其Return-Path域,如以下示例所示:

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

然而,为了让DMARC在您的域上工作,您需要利用一个自定义退信域,该域将以您的发送域结尾,例如在将yourdomain.com作为发送域时使用bounces.yourdomain.com。

组织域

“组织域”一词指的是提交给注册机构以在互联网上创建域存在的域。对于Bird,我们的组织域是bird.com和birdmail.com。

域一致性

关于DMARC要理解的最后一个术语是“域一致性”,它有两个变体:“宽松”和“严格”。

宽松域一致性

当两个域的组织域相同时,称为宽松域一致性。例如,a.mail.bird.com和b.foo.bird.com具有宽松域一致性,因为它们的共同组织域是bird.com。

严格域一致性

如果且仅当两个域相同时,它们被认为是严格域一致性。因此,foo.bird.com和foo.bird.com是严格一致的,因为这两个域是相同的。另一方面,foo.bird.com和bar.foo.bird.com仅处于宽松一致性。

DMARC域一致性要求

为了通过DMARC验证检查,DMARC要求域一致性如下:

  • 对于SPF,RFC5322.From域和Return-Path域必须一致

  • 对于DKIM,RFC5322.From域和DKIM d=域必须一致

一致性可以是基于发送域发布的政策而宽松或严格。

DMARC 如何保护您的电子邮件信誉

当我们谈论邮箱提供商或其他域名“检查DMARC”、“验证DMARC”或“应用DMARC策略”时,我们的意思是接收消息的域正在执行以下步骤:

  1. 找出消息的RFC5322.From域

  2. 在DNS中查找该域的DMARC策略

  3. 执行DKIM签名验证

  4. 执行SPF验证

  5. 检查域对齐

  6. 应用DMARC策略


为了使消息通过DMARC验证,消息只需通过两种身份验证和对齐检查之一。因此,如果以下任一条件为真,消息将通过DMARC验证:

  • 消息通过SPF检查,并且RFC5322.From域和Return-Path域对齐,或者

  • 消息通过DKIM验证,并且RFC5322.From域和DKIM d=域对齐,或者

  • 上述两者皆为真

使DMARC为您的域名工作

现在我们已经解释了DMARC的机制,让我们来讨论如何使DMARC为我们工作,这涉及以下三个步骤:

  1. 准备接收DMARC报告

  2. 决定为您的域使用什么DMARC策略

  3. 发布您的DMARC记录

我们将在下面详细介绍每一个步骤,但我们需要直接告诉您,上述步骤1将消耗您约95%的准备时间。

准备接收DMARC报告

任何发布DMARC策略的域应该首先准备好接收有关其域的报告。这些报告将由任何进行DMARC验证的域生成,并看到邮件声称来自我们的域,并至少每天发送给我们。报告将有两种格式:

  • 汇总报告,即显示来自每个来源的邮件数量、身份验证结果以及报告者如何处理这些邮件的统计数据的XML文档。汇总报告旨在被机器解析,其数据存储在某处,以便进行总体流量分析、审计我们的域消息流,以及可能识别未验证且潜在欺诈性电子邮件来源的趋势。

  • 法证报告,即未通过身份验证的邮件的单个副本,每个副本都被封装在一种称为AFRF格式的完整电子邮件中。法证报告应该包含完整的头部和邮件正文,但由于隐私问题,许多报告者会去除或编辑某些信息。尽管如此,法证报告仍然可以用来排查我们域的验证问题,并通过邮件正文中的URI识别用于欺诈我们域所有者客户的恶意域和网站。


准备接收这些报告的第一步是为我们的域创建两个邮箱来处理这些报告,例如agg_reports@ourdomain.com和afrf_reports@ourdomain.com。请注意,这些邮箱名称是完全任意的,对邮箱本地部分的命名没有要求;我们可以自由选择任何名称,但应保持两者分开以便于处理。

一旦选择并在我们的域中创建了邮箱名称,接下来要做的是实施工具来阅读这些邮箱并利用数据,特别是汇总数据报告,这些数据报告同样设计为由机器解析,而不是供人阅读。另一方面,法证报告可能仅通过我们自己阅读就可以管理,但我们的处理能力将取决于我们的邮件客户端对如何展示AFRF格式消息的理解以及我们收到的报告数量。

虽然我们可以自己编写工具来处理DMARC报告,但在Bird为bird.com客户提供此类服务之前(这是我们正在考虑的事务,但尚未承诺),我们建议使用已经可用的工具来执行此任务。

使用哪个 DMARC 策略

DMARC 规范为域名所有者提供了三种选择,用于指定对未通过 DMARC 验证检查的邮件的首选处理方式。它们是:

  • none,意味着对待邮件的方式与独立于 DMARC 验证检查时相同

  • quarantine,意味着接受邮件但将其放在收件人的 Inbox 之外的其他位置(通常是垃圾邮件文件夹)

  • reject,意味着直接拒绝该邮件


重要的是要记住,域名所有者只能在其 DMARC 记录中请求这种处理;是否遵循请求的策略取决于邮件的接收者。有些会这样做,而另一些可能在应用策略时稍微宽松一些,例如仅在域名的策略是 reject 时才将邮件放入垃圾邮件文件夹。

我们建议所有客户启动时采用 none 策略,仅此以确保安全。虽然我们对通过 DKIM 签名正确认证您的邮件的能力充满信心,但最好仍然花一些时间检查有关域的报告,然后再对 DMARC 策略采取更激进的做法。

发布 Your DMARC Policy

一个域的 DMARC 策略是通过在 DNS 命名空间中的特定位置发布 DNS TXT 记录来公布的,即 “_dmarc.domainname.tld” (注意前导下划线)。 我们之前提到的示例域 joesbaitshop.com 的基本 DMARC 策略记录可能看起来像这样:

_dmarc.joesbaitship.com. IN TXT "v=DMARC1\; p=none\; rua=mailto:agg_reports@joesbait.com\; ruf=mailto:afrf_reports@joesbait.com\; pct=100"

分解此记录,我们有:

  • v=DMARC1 指定 DMARC 版本(目前只有 1 这个选择)

  • p=none 指定首选处理方式,或 DMARC 策略

  • rua=mailto:agg_reports@joesbait.com 是应发送汇总报告的邮箱

  • ruf=mailto:afrf_reports@joesbait.com 是应该发送法证报告的邮箱

  • pct=100 是域所有者希望其策略适用的邮件比例。 刚开始使用 DMARC 的域,尤其是可能产生大量报告的域,可能希望从这里的一个较低的数字开始,以查看其报告处理过程如何应对负载。


还有其他配置选项可供域所有者在其 DMARC 策略记录中使用,但我们提供的提示应该是一个不错的开始。

总结

以上信息包含很多内容!我们希望您找到创建DMARC策略记录的操作指南有用。我们也希望关于DMARC重要性的解释能明确为何您应该开始使用这个重要工具来保护您的电子邮件声誉。

当然,这不是关于该主题的完整或权威文件。如果您想深入了解或需要更多帮助,开始的一个好地方是官方的DMARC FAQ。另外,不用说,Bird支持团队也准备好帮助您配置Bird账户以使用DMARC。

感谢阅读—并从今天开始用DMARC保护您的域名!

让我们为您联系Bird专家。
在30分钟内见证Bird的全部威力。

通过提交,您同意 Bird 可能会就我们的产品和服务与您联系。

您可以随时取消订阅。查看Bird的隐私声明以获取有关数据处理的详细信息。

Newsletter

通过每周更新到您的收件箱,随时了解 Bird 的最新动态。

让我们为您联系Bird专家。
在30分钟内见证Bird的全部威力。

通过提交,您同意 Bird 可能会就我们的产品和服务与您联系。

您可以随时取消订阅。查看Bird的隐私声明以获取有关数据处理的详细信息。

Newsletter

通过每周更新到您的收件箱,随时了解 Bird 的最新动态。

让我们为您联系Bird专家。
在30分钟内见证Bird的全部威力。

通过提交,您同意 Bird 可能会就我们的产品和服务与您联系。

您可以随时取消订阅。查看Bird的隐私声明以获取有关数据处理的详细信息。

R

Reach

G

Grow

M

Manage

A

Automate

Newsletter

通过每周更新到您的收件箱,随时了解 Bird 的最新动态。