基于域的邮件认证、报告和一致性(DMARC)是一项技术标准,帮助保护电子邮件发送者和接收者免受垃圾邮件、伪造和网络钓鱼的侵害。
Business in a box.
探索我们的解决方案。
与我们的销售团队交谈
理解DMARC
基于域的消息认证、报告和一致性(Domain-based Message Authentication, Reporting, and Conformance,简称DMARC)是一项技术标准,有助于保护电子邮件发送者和接收者免受垃圾邮件、欺诈和网络钓鱼的侵害。DMARC允许组织发布一个政策,该政策定义其电子邮件认证实践,并向接收邮件服务器提供如何执行这些政策的指令。在这一版的“DMARC Explained”中,您将了解DMARC是什么以及它如何运作。
具体而言,DMARC为域所有者建立了一种方法:
发布其电子邮件认证实践
说明在邮件认证检查失败时应采取的行动
启用对声称来自其域的邮件采取这些行动的报告
DMARC本身并不是一种电子邮件认证协议,但它建立在关键的认证标准SPF和DKIM之上。与这些标准一起,它补充了SMTP,即用于发送电子邮件的基本协议,因为SMTP本身并不包含任何用于实施或定义电子邮件认证政策的机制。
DMARC 是如何工作的?
DMARC relies on the established SPF and DKIM standards for email authentication. It also piggybacks on the well-established Domain Name System (DNS). In general terms, the process of DMARC validation works like this:
A domain administrator publishes the policy defining its email authentication practices and how receiving mail servers should handle mail that violates this policy. This DMARC policy is listed as part of the domain’s overall DNS records.
When an inbound mail server receives an incoming email, it uses DNS to look up the DMARC policy for the domain contained in the message’s “From” (RFC 5322) header. The inbound server then checks evaluates the message for three key factors:
Does the message’s DKIM signature validate?
Did the message come from IP addresses allowed by the sending domain’s SPF records?
Do the headers in the message show proper “domain alignment”?
With this information, the server is ready to apply the sending domain’s DMARC policy to decide whether to accept, reject, or otherwise flag the email message.
After using DMARC policy to determine the proper disposition for the message, the receiving mail server will report the outcome to the sending domain owner.
什么是 DMARC 记录?
DMARC记录包含在组织的DNS数据库中。DMARC记录是一种特别格式化的标准DNS TXT记录,具有特定的名称,即“_dmarc.mydomain.com”(注意前导下划线)。DMARC记录看起来像这样:_dmarc.mydomain.com. IN TXT “v=DMARC1\; p=none\; rua=mailto:dmarc-aggregate@mydomain.com\; ruf=mailto:dmarc-afrf@mydomain.com\; pct=100”
从左到右以简单的英文阅读,记录表示:
v=DMARC1 指定DMARC版本
p=none 指定优选处理方式或DMARC政策
rua=mailto:dmarc-aggregate@mydomain.com 指定应发送汇总报告的邮箱
ruf=mailto:dmarc-afrf@mydomain.com 指定应发送取证报告的邮箱
pct=100 是域名所有者希望其政策应用的邮件百分比
额外配置选项 也适用于域名所有者在其DMARC政策记录中使用,但这些是基础。
DMARC 域名对齐是什么意思?
“Domain alignment” 是 DMARC 中的一个概念,它扩展了 SPF 和 DKIM 内在的域验证。DMARC 域对齐将信息与这些标准相关联,以匹配邮件的“from”域:
对于 SPF,邮件的 From 域和其 Return-Path 域必须匹配
对于 DKIM,邮件的 From 域和其 DKIM d= 域必须匹配
对齐可以是宽松的(匹配基本域,但允许不同的子域)或严格的(完全匹配整个域)。此选择在发送域的已发布 DMARC 策略中指定。
什么是 DMARC p= 策略?
DMARC 规范为域所有者提供了三个选项,以指定他们偏好的处理方式,对无法通过 DMARC 验证检查的邮件进行处理。这些 “p= policies” 是:
none:像没有任何 DMARC 验证一样对待邮件
quarantine: 接受邮件但将其放置在收件人的收件箱之外(通常是垃圾邮件文件夹)
reject: 直接拒绝消息
请记住,域所有者只能请求,而不能强制 DMARC 记录的执行;是否遵守请求的策略由入站邮件服务器决定。
什么是DMARC报告?
DMARC报告由入站邮件服务器生成,作为DMARC验证过程的一部分。DMARC报告有两种格式:
Aggregate reports,这是显示声称来自特定域的接收邮件的统计数据的XML文档。报告的数据包括认证结果和邮件处理状态。Aggregate reports旨在为机器可读。
Forensic reports,这些是未通过认证的邮件的个别副本,每个都在使用称为AFRF的特殊格式的完整电子邮件中。Forensic report可以对解决域自身的身份验证问题以及识别恶意域和网站有用。
我需要 DMARC 吗?
如果您是一家发送商业或 交易邮件的企业,您绝对需要实施一种或多种形式的 电子邮件认证 来验证电子邮件确实来自您或您的企业。正确配置 DMARC 帮助接收邮件服务器确定如何评估声称来自您域的邮件,而这是改善邮件投递率的最重要步骤之一。
然而,像 DMARC 这样的标准仅能做到这些;MessageBird 和其他电子邮件专家 建议在 完整的消息策略 背景下实施 DMARC 电子邮件认证政策。
