什么是 DMARC 以及如何实现它?
Posted: Wed Dec 04, 2024 7:16 am
2023 年 10 月 3 日,谷歌和雅虎宣布了新的电子邮件投递先决条件,这些条件将在2024 年 2 月前强制执行。对于每天向 Gmail 地址发送超过 5,000 封电子邮件的发件人,谷歌将要求他们履行一系列身份验证措施, 阿塞拜疆电话号码 以确保电子邮件安全投递到 Gmail 收件箱。尽管雅虎尚未指定最低发送门槛,但它将与谷歌的标准保持一致。
规定的要求包括:
SPF 和 DKIM 的实施
发送“发件人”域与 SPF 或 DKIM 域一致的电子邮件
从 DMARC 策略至少为 p=none 的域发送
有效的正向和反向 DNS (FCrDNS)
纳入一键退订机制(RFC 8058)
保持较低的垃圾邮件报告率
有关详细要求列表,您可以参考Google 的帮助文章。虽然 CM.com 将监督大多数强制性要求,但我们需要您的帮助来添加 DMARC。
什么是 DMARC?
DMARC(基于域的消息认证、报告和一致性)是一种电子邮件认证协议,旨在使电子邮件域所有者能够保护其域免遭未经授权的使用(即电子邮件欺骗)。DMARC 允许域所有者在其 DNS 记录中发布一项策略,该策略指定使用哪些机制(例如 SPF、DKIM)来认证从其域发送的电子邮件消息,并且还提供了一种机制来接收通过或未通过 DMARC 评估的消息报告。
如何实施 DMARC?
实施 DMARC 涉及几个步骤:
对您所在域的电子邮件基础设施进行审核
在实施 DMARC 之前,您需要充分了解从您的域发送电子邮件的方式。这包括识别代表您的域发送电子邮件的所有服务器和应用程序,以及用于发送电子邮件的任何第三方服务。
设置 SPF 和 DKIM
DMARC 建立在现有的电子邮件身份验证机制之上,例如 SPF(发件人策略框架)和 DKIM(域名密钥识别邮件)。这些协议允许您指定哪些服务器有权代表您的域发送电子邮件,并以加密方式签署电子邮件以证明它们是从您的域发送的。
发布 DMARC 政策
设置 SPF 和 DKIM 后,您可以创建 DMARC 策略,指定电子邮件接收者应如何处理未通过 DMARC 评估的邮件。该策略发布在您域的 DNS 记录中。
监控 DMARC 报告
发布 DMARC 政策后,电子邮件接收者将开始向您发送有关您所在域的电子邮件处理情况的报告。这些报告将提供有关哪些邮件通过或未通过 DMARC 评估的信息,以及有关这些邮件的其他详细信息。
根据 DMARC 报告采取行动
分析 DMARC 报告中的数据以识别任何电子邮件欺骗问题并采取适当的措施。
监控并更新您的 DMARC 政策
随着时间的推移监控 DMARC 政策的有效性并根据需要进行调整。
保持 DNS 记录最新
保持您的 DNS 记录为最新,以防您对电子邮件基础设施进行任何更改或更新您的 DMARC 政策。
重要的是要记住,DMARC 是一个持续的过程,需要持续监控、维护和更新。如果您不熟悉电子邮件基础设施和 DNS 的技术细节,建议聘请提供 DMARC 实施服务的电子邮件安全提供商或域名注册商,他们可以帮助您为您的域实施和维护 DMARC 策略。
通过实施 DMARC,域名所有者可以保护其域名免遭未经授权的使用,并防止其域名被用于发送垃圾邮件或网络钓鱼电子邮件。这有助于保护域名所有者的声誉,并可降低其域名被电子邮件提供商列入黑名单的可能性。此外,DMARC 还可以帮助保护从域名发送的电子邮件的收件人,使他们能够更轻松地识别和拒绝可能是垃圾邮件或网络钓鱼的邮件。
如何创建 DMARC 记录
要将 DMARC 记录添加到您的 DNS,您需要创建包含 DMARC 策略的 TXT 记录。DMARC 记录的格式如下:
_dmarc.example.com.TXT“v=DMARC1;p=拒绝;sp=无;pct=100;rua=mailto:[email protected];ruf=mailto:[email protected];fo=1;adkim=r;aspf=r”
此记录包含几条不同的规则,每条规则用于指定 DMARC 政策的不同方面。以下是示例记录中每条规则的说明:
v=DMARC1:这是正在使用的 DMARC 版本。
p=reject:此规则指定当邮件未通过 DMARC 评估时电子邮件接收者应采取的操作。在此示例中,操作为“reject”,这意味着电子邮件接收者应拒绝未通过 DMARC 评估的邮件。
(应在确保所有电子邮件流都经过正确身份验证后实施此操作。)
sp=none:此规则指定当邮件未通过 DMARC 评估但域所有者的策略为“无”时电子邮件接收者应采取的操作。
pct=100:此规则指定应接受 DMARC 评估的邮件百分比。在此示例中,100% 的邮件将接受 DMARC 评估。
rua=mailto:[email protected]:此规则指定应发送汇总报告的电子邮件地址。
ruf=mailto:[email protected]:此规则指定应发送取证报告的电子邮件地址。
fo=1:此规则指定当邮件未通过 DMARC 评估但通过 SPF 或 DKIM 评估时,域所有者希望收到失败报告。
adkim=r:此规则指定应使用严格对齐进行 DKIM 评估。
aspf=r:此规则指定应使用严格对齐进行 SPF 评估。
创建 DMARC 记录后,您需要将其添加到域的 DNS 记录中。将 TXT 记录添加到 DNS 的过程会因 DNS 提供商而异,因此您需要查阅他们的文档以获取具体说明。
规定的要求包括:
SPF 和 DKIM 的实施
发送“发件人”域与 SPF 或 DKIM 域一致的电子邮件
从 DMARC 策略至少为 p=none 的域发送
有效的正向和反向 DNS (FCrDNS)
纳入一键退订机制(RFC 8058)
保持较低的垃圾邮件报告率
有关详细要求列表,您可以参考Google 的帮助文章。虽然 CM.com 将监督大多数强制性要求,但我们需要您的帮助来添加 DMARC。
什么是 DMARC?
DMARC(基于域的消息认证、报告和一致性)是一种电子邮件认证协议,旨在使电子邮件域所有者能够保护其域免遭未经授权的使用(即电子邮件欺骗)。DMARC 允许域所有者在其 DNS 记录中发布一项策略,该策略指定使用哪些机制(例如 SPF、DKIM)来认证从其域发送的电子邮件消息,并且还提供了一种机制来接收通过或未通过 DMARC 评估的消息报告。
如何实施 DMARC?
实施 DMARC 涉及几个步骤:
对您所在域的电子邮件基础设施进行审核
在实施 DMARC 之前,您需要充分了解从您的域发送电子邮件的方式。这包括识别代表您的域发送电子邮件的所有服务器和应用程序,以及用于发送电子邮件的任何第三方服务。
设置 SPF 和 DKIM
DMARC 建立在现有的电子邮件身份验证机制之上,例如 SPF(发件人策略框架)和 DKIM(域名密钥识别邮件)。这些协议允许您指定哪些服务器有权代表您的域发送电子邮件,并以加密方式签署电子邮件以证明它们是从您的域发送的。
发布 DMARC 政策
设置 SPF 和 DKIM 后,您可以创建 DMARC 策略,指定电子邮件接收者应如何处理未通过 DMARC 评估的邮件。该策略发布在您域的 DNS 记录中。
监控 DMARC 报告
发布 DMARC 政策后,电子邮件接收者将开始向您发送有关您所在域的电子邮件处理情况的报告。这些报告将提供有关哪些邮件通过或未通过 DMARC 评估的信息,以及有关这些邮件的其他详细信息。
根据 DMARC 报告采取行动
分析 DMARC 报告中的数据以识别任何电子邮件欺骗问题并采取适当的措施。
监控并更新您的 DMARC 政策
随着时间的推移监控 DMARC 政策的有效性并根据需要进行调整。
保持 DNS 记录最新
保持您的 DNS 记录为最新,以防您对电子邮件基础设施进行任何更改或更新您的 DMARC 政策。
重要的是要记住,DMARC 是一个持续的过程,需要持续监控、维护和更新。如果您不熟悉电子邮件基础设施和 DNS 的技术细节,建议聘请提供 DMARC 实施服务的电子邮件安全提供商或域名注册商,他们可以帮助您为您的域实施和维护 DMARC 策略。
通过实施 DMARC,域名所有者可以保护其域名免遭未经授权的使用,并防止其域名被用于发送垃圾邮件或网络钓鱼电子邮件。这有助于保护域名所有者的声誉,并可降低其域名被电子邮件提供商列入黑名单的可能性。此外,DMARC 还可以帮助保护从域名发送的电子邮件的收件人,使他们能够更轻松地识别和拒绝可能是垃圾邮件或网络钓鱼的邮件。
如何创建 DMARC 记录
要将 DMARC 记录添加到您的 DNS,您需要创建包含 DMARC 策略的 TXT 记录。DMARC 记录的格式如下:
_dmarc.example.com.TXT“v=DMARC1;p=拒绝;sp=无;pct=100;rua=mailto:[email protected];ruf=mailto:[email protected];fo=1;adkim=r;aspf=r”
此记录包含几条不同的规则,每条规则用于指定 DMARC 政策的不同方面。以下是示例记录中每条规则的说明:
v=DMARC1:这是正在使用的 DMARC 版本。
p=reject:此规则指定当邮件未通过 DMARC 评估时电子邮件接收者应采取的操作。在此示例中,操作为“reject”,这意味着电子邮件接收者应拒绝未通过 DMARC 评估的邮件。
(应在确保所有电子邮件流都经过正确身份验证后实施此操作。)
sp=none:此规则指定当邮件未通过 DMARC 评估但域所有者的策略为“无”时电子邮件接收者应采取的操作。
pct=100:此规则指定应接受 DMARC 评估的邮件百分比。在此示例中,100% 的邮件将接受 DMARC 评估。
rua=mailto:[email protected]:此规则指定应发送汇总报告的电子邮件地址。
ruf=mailto:[email protected]:此规则指定应发送取证报告的电子邮件地址。
fo=1:此规则指定当邮件未通过 DMARC 评估但通过 SPF 或 DKIM 评估时,域所有者希望收到失败报告。
adkim=r:此规则指定应使用严格对齐进行 DKIM 评估。
aspf=r:此规则指定应使用严格对齐进行 SPF 评估。
创建 DMARC 记录后,您需要将其添加到域的 DNS 记录中。将 TXT 记录添加到 DNS 的过程会因 DNS 提供商而异,因此您需要查阅他们的文档以获取具体说明。