DMARC:如何保护您的电子邮件声誉
电子邮件
·
关键要点
DMARC 通过发布您的身份验证实践并请求处理失败的消息来保护您的域名免受钓鱼、欺骗和未经授权的电子邮件使用。
它与 SPF 和 DKIM 配合使用,以确保域名一致性并防止欺诈邮件损害您的发件人声誉。
强大的 DMARC 策略支持更高的信任、更高的互动,并为您的域名在生态系统转向基于域名的信誉模型时做好未来的准备。
DMARC 验证检查依赖于发件人域名、退回路径域名 (SPF) 和 DKIM 签名域名之间的一致性。
设置 DMARC 需要接收报告、理解汇总与取证数据的差异,以及配置工具来解析这些数据。
您以安全的 p=none 策略开始监控流量,然后再移至 隔离 或 拒绝。
发布 DMARC 记录涉及在 _dmarc.yourdomain.com 创建 DNS TXT 条目,包含策略、报告地址和诸如百分比发布之类的可选参数。
适当的报告邮箱(汇总 + 取证)和解析工具对于监控合规性、检测欺骗行为并确保一致性是正确的至关重要。
DMARC 只需要以下之一通过:对齐的 SPF 或对齐的 DKIM。
实施 DMARC 加强电子邮件安全,并在品牌完整性、信任和长期可送达性方面发挥重要作用。
Q&A 精华
什么是DMARC,它为何重要?
DMARC(基于域的消息验证、报告和一致性)是一种通过DNS发布的策略,通过执行域一致性并通过报告启用可见性来保护您的域免受欺骗和网络钓鱼攻击。
DMARC 是一种身份验证协议吗?
不,DMARC本身不是认证——它依赖SPF和DKIM进行邮件认证,并使用策略和报告来控制接收服务器如何处理失败。
DMARC检查什么?
它验证:
SPF 验证 + 对齐
DKIM 验证 + 对齐
发件人只需要其中之一就可以通过 DMARC 验证。
什么是“domain alignment”?
要求是可见的发件人域必须与SPF Return-Path域或DKIM签名域严格匹配或共享相同的组织域(宽松)。
为什么 DMARC 会提高送达率?
因为邮箱服务商更信任通过认证的、对齐的域名。DMARC 防止虚假邮件侵蚀您的声誉,并改善合法邮件的收件箱投递。
aggregate 和 forensic DMARC 报告之间有什么区别?
Aggregate reports (RUA): 所有流量的认证结果的 XML 汇总。
Forensic reports (RUF): 失败消息的个别样本以便进行深入分析。
我在发布 DMARC 之前需要哪些 mailboxes?
您应该创建两个地址,例如:
agg_reports@yourdomain.com (RUA)
afrf_reports@yourdomain.com (RUF)
这样可以使报告流保持分离,便于解析。
我应该从什么DMARC策略开始?
始终以p=none开始。它监控身份验证活动而不影响交付,使您能够安全地识别对齐问题和欺骗尝试。
可用的 DMARC policies 是什么?
无: 仅监控
隔离: 将失败的消息发送到垃圾邮件
拒绝: 完全阻止失败的消息
在哪里发布 DMARC 记录?
在您的DNS中:
它必须是一个TXT记录,指定您的策略、版本和报告端点。
基本的 DMARC 记录是什么样的?
示例:
DMARC失败会发生什么?
接收服务器会应用您请求的策略(无、隔离、拒绝),但最终处理决定取决于供应商。严格的策略可以显著减少使用您的域名进行钓鱼攻击的尝试。
在这篇文章中,我们将告诉你有关利用DMARC保护你的电子邮件声誉的所有信息,并为你提供有关如何为你的域名设置它的指引。
An Effective Tool to Fight Fraudulent Mail
经常与邮件认证协议SPF和DKIM一起提及的DMARC,或称基于域的消息认证、报告和一致性,本身不是一种认证协议。相反,DMARC的目的是让我们,作为域名所有者,通过以下方式保护我们的邮件声誉:
公布邮件认证实践,
请求处理未通过认证检查的邮件,
请求有关声称来自其域的邮件的报告。
DMARC可以成为我们打击针对我们域名(如网络钓鱼和欺骗)的欺诈邮件的有效工具,并能在我们的邮件收件人中提升信任度。对于需要超出认证的端到端加密的组织,实施S/MIME并采用高效的收件人公钥收集方法,将提供额外的安全层。这种更高的信任度应当转而导致对我们邮件的更高参与度,邮件被打开并产生点击率从而推动销售,并为我们的电子邮件活动带来更高的投资回报率。
为了保护我们的域名,我们预测现在实施DMARC将是“面向未来”保护我们的域名的一个绝佳途径。在Bird,我们相信随着行业向IPv6的迁移,几乎可以肯定会从基于IP的声誉模型转向基于域的声誉模型。基于域的声誉将需要基于域的认证,而DMARC与DKIM和SPF结合使用,将有助于域在必要之前很久就建立起基于域的声誉。
在这篇文章中,我们将告诉您关于利用DMARC保护您的邮件声誉所需了解的一切,并给您关于如何为您的域设置它的提示。
Terms to Know
DMARC 如何发挥作用以保护您的电子邮件声誉
为您的域名启用DMARC
既然我们已经解释了DMARC的机制,让我们谈谈如何让DMARC为我们工作,涉及以下三个步骤:
做好接收DMARC报告的准备
决定使用何种DMARC策略用于您的域
发布您的DMARC记录
我们将在下面详细介绍这些步骤,但我们直接告诉您,上述步骤1将消耗大约95%的准备时间。
准备接收 DMARC 报告
任何发布DMARC政策的域应该首先准备接收关于其域的报告。这些报告将由执行DMARC验证的任何域生成,看到声称是从我们的域发出的邮件,并且至少每天发送一次。报告将有两种格式:
聚合报告,它是显示每个来源的邮件量、身份验证结果以及报告者如何处理邮件的统计数据的XML文档。聚合报告设计为机器解析,其数据存储在某处以便进行整体流量分析、审计我们域的邮件流,并可能识别未经身份验证的、潜在欺诈性邮件来源的趋势。
法证报告,即未通过身份验证的邮件的单独副本,每封邮件的完整格式为AFRF。法证报告应包含完整的邮件头和邮件正文,但由于隐私问题,许多报告者会删除或编辑部分信息。尽管如此,法证报告在排查我们域自身的身份验证问题以及通过消息正文中的URI识别用于欺诈我们域所有者客户的恶意域和网站时仍然有用。
接收这些报告的准备工作首先涉及在我们的域中创建两个邮箱来处理这些报告,例如agg_reports@ourdomain.com和afrf_reports@ourdomain.com。请注意,这些邮箱名称是完全任意的,对于邮箱本地部分的命名没有要求;我们可以自由选择任何我们想要的名称,但为了便于处理,保持这两个邮箱分开。
一旦邮箱名称在我们的域中被选择并创建,接下来的工作是安装工具来读取这些邮箱并利用数据,特别是聚合数据报告,因为这些报告再次设计为机器解析,而不是供人类阅读。另一方面,法证报告可能可以通过我们自己阅读来管理,但我们能否做到这一点将取决于我们的邮件客户端对如何显示AFRF格式消息的理解以及我们接收到的报告数量。
虽然我们可以自己编写工具来处理DMARC报告,但在Bird为bird.com客户提供此类服务之前(这是我们正在考虑的,但尚未承诺),我们建议使用已经可用的工具来完成任务。
使用哪个 DMARC Policy
DMARC规范为域名所有者提供了三种选择,以指定对未通过DMARC验证的邮件的首选处理方式。它们是:
none,意味着按照独立于DMARC验证检查的方式处理邮件
quarantine,意味着接受邮件但将其放置在收件人的Inbox以外的位置(通常是垃圾邮件文件夹)
reject,意味着直接拒绝邮件
重要的是要记住,域名所有者只能在其DMARC记录中请求这种处理;是否遵循请求的策略由邮件接收者决定。 有些会这样做,而其他可能在应用策略时更加宽松,例如只有在域策略为reject时才将邮件移至垃圾邮件文件夹。
我们建议所有客户使用none策略启动,以确保安全。虽然我们对通过DKIM签名正确认证您的邮件的能力有信心,但最好花些时间查看关于您域名的报告,然后再变得更激进地实施DMARC策略。
发布您的 DMARC Policy
总结
在上面的信息中有很多内容需要解读!我们希望您发现创建 DMARC 策略记录的操作指南会对您有所帮助。我们还希望我们对为什么 DMARC 重要性的解释能帮助您明确为什么您应该开始使用这个重要工具来保护您的电子邮件声誉。
当然,这不是该主题的完整或权威文档。如果您想深入研究或需要更多帮助,一个很好的起点是官方 DMARC 常见问题解答。而且,不用说,MessageBird 支持团队随时准备帮助您为 DMARC 配置您的 MessageBird 帐户。
感谢您的阅读—今天就开始使用 DMARC 来保护您的域名吧!
