基于域的邮件认证、报告和一致性(DMARC)是一项技术标准,帮助保护电子邮件发送者和接收者免受垃圾邮件、伪造和网络钓鱼的侵害。
基于域的邮件身份验证、报告和符合性,或称为 DMARC,是一种技术标准,旨在保护电子邮件发送者和接收者免受垃圾邮件、欺骗和网络钓鱼的攻击。 DMARC 允许组织发布一项政策,定义其 电子邮件身份验证 实践,并为接收邮件服务器提供如何执行这些实践的指示。在本期的 “DMARC 解释”中,您将了解到 DMARC 的概念及其工作原理。
具体来说, DMARC 为域名所有者建立了一种方法:
发布其电子邮件身份验证实践
说明应对未通过身份验证检查的邮件采取哪些措施
启用对声称来自其域的邮件采取的这些措施进行报告
DMARC 本身并不是一种电子邮件身份验证协议,但它基于关键身份验证标准 SPF 和 DKIM 进行构建。通过它们,DMARC 补充了 SMTP,这是用于发送电子邮件的基本协议,因为 SMTP 本身并不包含任何实现或定义电子邮件身份验证政策的机制。
DMARC 是如何工作的?
DMARC 依赖于已建立的 SPF 和 DKIM 标准用于电子邮件认证。它还依赖于成熟的域名系统 (DNS)。一般来说,DMARC 验证的过程是这样的:
域名管理员发布定义其电子邮件认证实践的策略,以及接收邮件服务器应如何处理违反该策略的邮件。此 DMARC 政策 作为该域名整体 DNS 记录的一部分列出。
当入站邮件服务器接收到传入电子邮件时,它使用 DNS 查询该邮件“发件人” (RFC 5322) 头中所包含域名的 DMARC 政策。入站服务器然后检查 评估该消息的三个关键因素:
该 消息的 DKIM 签名是否有效?
该消息是否来自发送域名 SPF 记录允许的 IP 地址?
消息中的头部是否显示正确的“域名对齐”?
通过这些信息,服务器准备依据发送域名的 DMARC 政策 决定接受、拒绝或以其他方式标记该电子邮件消息。
在使用 DMARC 政策确定该消息的合适处置后,接收邮件服务器将结果报告给发送域名所有者。
什么是 DMARC 记录?
DMARC 记录包含在组织的 DNS 数据库中。DMARC 记录是标准 DNS TXT 记录的一种特殊格式版本,具有特定名称,即 “_dmarc.mydomain.com”(注意前导下划线)。DMARC 记录看起来像这样:_dmarc.mydomain.com. IN TXT “v=DMARC1\; p=none\; rua=mailto:dmarc-aggregate@mydomain.com\; ruf=mailto:dmarc-afrf@mydomain.com\; pct=100”
从左到右阅读,这条记录说明:
v=DMARC1 指定 DMARC 版本
p=none 指定偏好的处理方式或 DMARC 策略
rua=mailto:dmarc-aggregate@mydomain.com 是应发送汇总报告的邮箱
ruf=mailto:dmarc-afrf@mydomain.com 是应发送取证报告的邮箱
pct=100 是域名所有者希望其政策应用于的邮件百分比
其他 配置选项 可供域名所有者在其 DMARC 策略记录中使用,但这些是基础知识。
DMARC 域名对齐是什么意思?
“域名对齐”是DMARC中的一个概念,它扩展了SPF和DKIM固有的域名验证。DMARC域名对齐将消息的“发件人”域名与这些其他标准的相关信息进行匹配:
对于SPF,消息的发件人域名和其Return-Path域名必须匹配
对于DKIM,消息的发件人域名和其DKIM d=域名必须匹配
对齐可以放宽(匹配基本域名,但允许不同的子域名)或严格(精确匹配整个域名)。此选择在发送域的发布DMARC策略中指定。
什么是 DMARC p= 策略?
DMARC 规范为域名拥有者提供了三种选择,以指定他们对未通过 DMARC 验证检查的邮件的首选处理方式。这些 “p= 策略” 是:
无: 将邮件视为未进行任何 DMARC 验证的情况
隔离: 接受邮件,但将其放置在收件箱以外的地方(通常是垃圾邮件文件夹)
拒绝: 直接拒绝该消息
请记住,域名拥有者只能请求,而不能强制执行其 DMARC 记录;决定是否遵守请求政策的权利在于入站邮件服务器。
什么是DMARC报告?
DMARC 报告是由传入邮件服务器生成的,作为 DMARC 验证过程的一部分。DMARC 报告有两种格式:
汇总报告,这是 XML 文档,显示有关收到的声称来自特定域的消息的统计数据。报告的日期包括身份验证结果和消息处理情况。汇总报告旨在便于机器读取。
取证报告,是未通过身份验证的消息的单独副本,每个副本都使用称为 AFRF 的特殊格式封闭在完整的电子邮件消息中。取证报告对于解决域的身份验证问题和识别恶意域及网站都非常有用。
DMARC与SPF、DKIM或其他标准有什么关联?
我需要 DMARC 吗?
如果您是一家发送商业或 交易邮件的企业,您绝对需要实施一种或多种形式的 电子邮件认证 来验证电子邮件确实来自您或您的企业。正确配置 DMARC 帮助接收邮件服务器确定如何评估声称来自您域的邮件,而这是改善邮件投递率的最重要步骤之一。
然而,像 DMARC 这样的标准仅能做到这些;MessageBird 和其他电子邮件专家 建议在 完整的消息策略 背景下实施 DMARC 电子邮件认证政策。