Site icon 时鹏亮的Blog

DMARC 的策略 【转】

请知悉:本文最近一次更新为 2年 前,文中内容可能已经过时。

DMARC 概述

DMARC 表示“基于域的消息验证、报告和一致性”,是一种邮件身份验证协议。它建立在广泛部署的 SPF 和 DKIM 协议上,还会添加一个报告功能,让发送人和接收人可以改善和监测域,防止收到欺骗性邮件。 

垃圾邮件制作者通常会在邮件中‘假冒’或‘伪造’‘发件人地址’,并让它看起来好像来自您的域。为了防止您的域出现这种类型的滥用,以及为了让其他收件人域了解您的发出域策略,您可以发布 DMARC 记录,使用 DMARC 标准的邮件服务可以使用该记录来处理未经身份验证的邮件。这也有助于控制使用您的域进行的‘网络欺诈’活动,并帮助保护您的域的声誉。

在发布 DMARC 之前

DMARC 策略让发件人可以指明其邮件受到 SPF 和/或 DKIM 的保护,并指导收件人如何操作,如果 SPF 和 DKIM 检查均失败,则可以隔离或拒绝邮件。DMARC 帮助收件人更好地处理失败的邮件,因此可限制或消除收件人端受到此类使用域的假冒邮件的影响。DMARC 也为收件人提供一种方法,向发件人发回报告以说明有关通过和/或未通过 DMARC 评估的邮件的情况。

仅当您使用您自己的域发送所有邮件时,DMARC 策略才有效。代表您的域或经由第三方服务发送的邮件将显示为未经验证,可能会基于已发布的 DMARC 策略而被拒绝。若要通过第三方提供商来授权邮件,您需要共享包括在邮件头中的 DKIM 密钥,或邮件应通过已发布授权 DKIM 密钥和 SPF 记录的 SMTP 服务器来发送。 

在发布 DMARC 策略之前,您需要为您的域配置 SPF 记录DKIM 密钥。DMARC 策略基于 SPF 和 DKIM 密钥,以便确保邮件真实性。使用您的域Zoho Mail 企业邮箱地址的邮件如未通过 SPF 测试和/或 DKIM 测试,将会触发 DMARC 策略。 

发布 DMARC 策略

若要发布 DMARC 策略,您需要按以下格式在您的 DNS 中创建 TXT 记录。 

TXT 记录的名称:

_dmarc.yourdomain.com 其中 yourdomain.com 必须用您的域名来替换。

TXT 记录值: 

v=DMARC1; p=none; rua=mailto:admin@yourdomain.com

p=none 是建议的基本策略。您可以在以后将它更改为 p=quarantine,然后更改为 p=reject。 

以分阶段方式铺开 DMARC 策略

我们强烈建议以分阶段方式铺开 DMARC 策略若要以分阶段方式铺开,您需要将参数‘p’从 none 更改为 quarantine,并最终更改为 reject。类似地,在第 2 阶段(隔离阶段)和第 3 阶段(拒绝阶段),您可以使用可选参数‘pct’来控制被隔离或拒绝的邮件百分比。 

第 1 阶段:监测报表和流量 

v=DMARC1; p=none; rua=mailto:admin@yourdomain.com

在此阶段,您可以将策略设置为 p=none。这样就会通过在策略中指定的邮箱地址向您发送违规报告。报告为您提供有关邮件异常、未获签名的邮件来源或似乎为假冒的邮件的信息。您可以查看来源,并可在您的 SPF 记录中包括有效的 IP 地址或使用 DKIM 配置来源(如果它们为合法)。一旦您发现报表仅包含有效的假冒邮件,您可以将策略更改为“隔离”。 

第 2 阶段:隔离邮件和分析

v=DMARC1; p=quarantine; rua=mailto:admin@yourdomain.com

在此阶段,您可以将策略设置为 p=quarantine。这样就会通过在策略中指定的邮箱地址向您发送违规报告,还会将此类邮件发送值隔离区。您可以监测隔离区中的邮件并从隔离区批准或拒绝邮件。您可以重新访问报表并监测隔离区邮件。

您也可以在 DMARC TXT 记录模板中使用‘pct’参数,以便指定受第 2 阶段中的策略影响的邮件百分比,并将百分比慢慢增加到 100% 以使部署完成。重要的方面是确保您定期监测邮件报表,以确保有效邮件不会被拒绝或受影响。

v=DMARC1; p=quarantine; pct=20; rua=mailto:admin@yourdomain.com

在上面的示例中,只会隔离 20% 显示为假冒的邮件,报告中将仅包括其余邮件的详细信息。 

一旦您将 TXT 记录更改为上面示例中所示并删除 pct 参数,则未通过 DMARC 策略的所有邮件都将被拒绝。 

一旦您确信只有假冒的邮件将被拒绝,所有有效的邮件会获得签名,则您可以将策略更改为‘拒绝’以完全铺开 DMARC。 

第 3 阶段:拒绝假冒的邮件

v=DMARC1; p=reject; rua=mailto:admin@yourdomain.com

在此阶段,您可以将策略设置为 p=reject。在作出此更改之后,使用您的域名假冒的邮件将被拒绝。您可以通过收到的报表来追踪被拒绝的邮件,并通过邮件发送至 TXT 记录中提供的邮箱地址。 

以上内容转载自:DMARC 概述


如您从本文得到了有价值的信息或帮助,请考虑扫描文末二维码捐赠和鼓励。

尊重他人劳动成果。转载请务必附上原文链接,我将感激不尽。


与《DMARC 的策略 【转】》相关的博文:

Exit mobile version