29
2023
12
08:46:27

使用 DMARC 防范邮件仿冒和网上诱骗行为

基于域的邮件验证、报告和一致性(DMARC) 这个规范旨在减少邮件滥用(例如通过伪造邮件的“From:” 报头。) DMARC 帮助域拥有者使用“域名系统”(DNS)来向收件服务器告知其 DMARC 策略,例如他们希望这些服务器如何处理自称来自他们域但无法验证实际来源的邮件。收件服务器在处理入站邮件时通过 DNS 查询检索到的这个策略,可以向服务器表明应该隔离或拒收不符合这个策略的邮件,或根本不采取任何操作(例如继续照常处理邮件)。除了这个策略以外,该域的 DMARC DNS 记录也可以包含服务器请求来向某人发送 DMARC 报告、概述自称来自此域的入站邮件的总数、它们是否通过验证、以及任何失败的详细信息。DMARC 的报告功能在确定您的邮件验证流程是否有效,以及伪造邮件使用您域名的频率时极其有用。

例如,假设接收方开启了SPF和DKIM,以及其自己的垃圾邮件过滤器,则流程可能类似于以下内容:

DMARC和电子邮件身份认证过程

DMARC报告示例

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
  <report_metadata>
    <org_name>acme.com</org_name>
    <email>noreply-dmarc-support@acme.com</email>
    <extra_contact_info>http://acme.com/dmarc/support</extra_contact_info>
    <report_id>9391651994964116463</report_id>
    <date_range>
      <begin>1335571200</begin>
      <end>1335657599</end>
    </date_range>
  </report_metadata>
  <policy_published>
    <domain>example.com</domain>
    <adkim>r</adkim>
    <aspf>r</aspf>
    <p>none</p>
    <sp>none</sp>
    <pct>100</pct>
  </policy_published>
  <record>
    <row>
      <source_ip>72.150.241.94</source_ip>
      <count>2</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>example.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>example.com</domain>
        <result>fail</result>
        <human_result></human_result>
      </dkim>
      <spf>
        <domain>example.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
</feedback>

DMARC记录的标签和值

必需标签

  • v=

    • 示例:

    • _dmarc IN TXT “v=DMARC1;p=none”

    • 值:DMARC1

    • 这是“版本”标签,必须作为该记录的 DMARC 特定文本部分的第一个标签。即使其他 DMARC 标签值不区分字母大小写,v= 标签的值必须是大写字母: DMARC1

  • p=

    • p=none 表示收件服务器基于 DMARC 查询结果不采取任何操作。不得基于未通过 DMARC 检查这个失败隔离或拒收邮件。不过可以出于其他理由隔离或拒收这些邮件,例如未通过垃圾邮件过滤测试或与 DMARC 无关的其他安全检查。对于 p=none 的使用有时被称为“监控”或“监控模式”,因为您可以配合 rua= 这个标签一起使用来从收件域接收有关您邮件的综合报告,不过不会对未通过 DMARC 检查的这些邮件执行任何惩罚性操作。您可以一直使用这个策略,直到您彻底测试了您的 DMARC 实施,并确保您已准备好使用更具有限制性的 p=quarantine 策略。

    • p=quarantine 这个策略用于以下场景:在邮件的“From:” 报头声称由您所发送但未通过 DMARC 检查时,您希望其他邮件服务器将该邮件视为可疑邮件。取决于服务器的本地策略,这可以表示对邮件进行额外审核、将其放入收件人的垃圾邮件文件夹、将其路由到不同的服务器或采取其他操作。

    • p=reject 表示您希望收件服务器拒收未通过 DMARC 验证的任何邮件。不过一些服务器仍然接收这些邮件,不过将其隔离或进行额外审核。这是限制性最高的策略,通常不使用该策略,除非您对自己的邮件策略、以及您允许账户使用的邮件或服务类型把握十足。例如,如果您允许您的用户加入第三方邮件列表,使用邮件转发服务,并使用网站上的“共享”功能,使用 p=reject 将可能导致一些合法邮件被拒收。而且该设置也会使某些用户被一些邮件列表删除或阻止。

    • _dmarc IN TXT “v=DMARC1;p=quarantine;rua=mailto:dmarc-report@example.net”

    • 示例:

    • 值:none | quarantine | reject

    • 这是“策略”标签,必须作为 DMARC 记录中的第二个标签,紧接 v= 这个标签。

额外标签

以下列出的所有标签都是可选标签。如果未在记录中使用任何这些标签,则假定其默认值。

  • sp=

    • 示例:

    • _dmarc IN TXT “v=DMARC1;p=quarantine;sp=reject”

    • 值:none | quarantine | reject

    • 默认值:如果未使用sp=,则对域和子域应用p=这个标签

    • 此标签用来指定应用 DMAR 记录的域的子域将使用的策略。例如,如果应用于 example.com 的记录中使用了这个标签,那么会将 p= 这个标签中指定的策略应用于来自 example.com 的邮件,将 sp= 这个标签中指定的策略应用于来自 example.com 子域的邮件,例如 mail.example.com。如果在记录中忽略了这个标签,则将 p= 这个标签应用于该域及其子域。

  • rua=

    • example.com 的记录示例:

    • example.net 的记录:

    • _dmarc IN TXT “v=DMARC1;p=quarantine;rua=mailto:non-local-user@example.net”

    • example.com._report._dmarc TXT “v=DMARC1”

    • 示例:

    • _dmarc IN TXT “v=DMARC1;p=quarantine;rua=mailto:user01@example.com,mailto:user02@example.com”

    • 如果未使用这个标签,则不发送综合报告。

    • 值:由逗号分隔的将接收 DMARC 综合报告的邮件地址列表 必须使用以下格式输入作为 URI 的 地址:mailto:user@example.com

    • 默认值:none

    • 此标签表示您希望从接收了一封“From:” 声称来自您所在域邮件的收件服务器接收 DMARC 综合报告。使用以下格式指定作为 URI 的一个或多个邮件地址: mailto:user@example.com,使用逗号分隔多个 URI。

    • 通常这些地址将位于此记录覆盖的域。如果您希望将报告发送至其他域的地址,则该域的 DNS 区域文件必须也包含一个专用的 DMARC 记录,指示它将接收该域的 DMARC 报告。

  • ruf=

    • example.com 的记录示例:

    • example.net 的记录:

    • _dmarc IN TXT “v=DMARC1;p=quarantine;ruf=mailto:non-local-user@example.net”

    • example.com._report._dmarc TXT “v=DMARC1”

    • 示例:

    • _dmarc IN TXT “v=DMARC1;p=quarantine;ruf=mailto:dmarc-failures@example.com”

    • 如果未使用这个标签,则不发送故障报告。

    • 值:由逗号分隔的将接收 DMARC 故障报告的邮件地址列表 必须使用以下格式输入作为 URI 的 地址:mailto:user@example.com

    • 默认值:none

    • 此标签表示您希望从接收了一封“From:” 声称来自您所在域邮件的服务器接收 DMARC 故障报告,前提是满足了在 fo= 这个标签中指定的条件。在默认情况下,如果未指定 fo= 这个标签,在邮件未通过所有 DMARC 验证检查时将发送故障报告(例如未通过 SPF 和 DKIM 验证)。使用以下格式指定作为 URI 的一个或多个邮件地址: mailto:user@example.com,使用逗号分隔多个 URI。

    • 通常这些地址将位于此记录覆盖的域。如果您希望将报告发送至其他域的地址,则该域的 DNS 区域文件必须也包含一个专用的 DMARC 记录,指示它将接收该域的 DMARC 报告。

要了解有关 DMARC 规范的更多扩展信息,请参阅: www.dmarc.org

DMARC 始终与以下两种电子邮件身份验证方式或检查机制搭配使用:

  • 发件人政策框架 (SPF) 允许网域所有者授权哪些 IP 地址可以向其网域发送电子邮件。邮件接收服务器可以验证看上去像来自特定网域的邮件是否由该网域所有者授权的服务器发出。

  • 域名密钥标识邮件 (DKIM) 会为发出的每一封邮件添加数字签名。接收服务器会使用该签名来验证邮件是否真实,以及在传输过程中是否被伪造或更改。




DMARC 政策
什么是 DMARC?#
DMARC(基于域的消息身份验证、报告和一致性)是一项标准,可防止垃圾邮件发送者在未经您许可的情况下使用您的域发送电子邮件 - 也称为欺骗。垃圾邮件发送者可以伪造邮件的“发件人”地址,因此垃圾邮件看起来像是来自您域中的用户。一个很好的例子是 PayPal 欺骗,垃圾邮件发送者假装是 PayPal 向您发送欺诈性电子邮件,以获取您的帐户信息。DMARC 确保这些欺诈性电子邮件在您在收件箱中看到它们之前就被阻止。此外,DMARC 为您提供出色的可见性并报告谁代表您的域发送电子邮件,确保只收到合法的电子邮件。
 
好消息是 DMARC 是开放的,任何人都可以免费使用,让您可以保护域中的电子邮件并控制您的电子邮件发送。您所要做的就是按照本指南中的实施步骤并选择支持 DMARC 的 ESP。
 
实施 DMARC 有哪些好处?#
DMARC 是品牌电子邮件安全和可交付性战略的关键组成部分,因为它能够:
 
可见性- 监控使用您的域发送的电子邮件,以确保它们使用 SPF 和/或 DKIM 正确进行身份验证。
品牌保护- 阻止可能损害您的品牌在客户中的声誉的欺骗性消息。
安全性- 防止用户成为可能危及组织安全的网络钓鱼诈骗的受害者。
DMARC 是否提高了可交付性?#
DMARC 允许您查看使用您的域发送的电子邮件是否使用 SPF 和 DKIM 进行了正确的身份验证。这使您可以识别和修复可能影响电子邮件可传递性的任何身份验证问题。
 
防止欺骗电子邮件到达用户可以减少垃圾邮件投诉并保护您的域在 ISP 中的声誉。
 
DMARC 如何运作?#
在了解 DMARC 协议之前,首先需要了解两个电子邮件身份验证标准,称为 DKIM 和 SPF。DMARC 建立在这些标准之上,所以让我们先来看看它们。如果您已经了解 DKIM 和 SPF,请跳至 DMARC 部分。
 
DKIM(域密钥识别邮件)#
DKIM — 域名密钥识别邮件
DKIM 是一种验证电子邮件真实性的方法。发送每封电子邮件时,都会使用私钥对其进行签名,然后使用 DNS 中的公钥在接收邮件服务器(或 ISP)上进行验证。此过程验证消息在传输过程中未被更改。这让 ISP(例如 Gmail)检查邮件并决定邮件是否仍处于与发送时相同的状态。换句话说,它可以防止有人拦截您的电子邮件、更改它,然后将它与新的(可能是欺诈性的)信息一起发送。DKIM 的另一个鲜为人知的好处是 ISP 使用此信息在您的域中建立声誉。如果您有很好的发送实践(低垃圾邮件、退回邮件、高参与度),这有助于提高与 ISP 的信任度和声誉。
 
使用 DKIM,您发送的每封电子邮件都使用存储在邮件服务器上的私钥进行签名。后来的 ISP 可以通过从您的 DNS 中的特殊 DKIM 记录中获取相应的公钥来验证消息的完整性。这背后的密码学(与 SSL 中使用的相同)保证只有用您的私钥签名的消息才能通过公钥检查。这就是您的 DNS 中的公钥可能的样子:
 
pm._domainkey.domain.com IN TXT
k=rsa\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDOCTHqIIQhGNISLchxDvv2X8NfkW7MEHGmtawoUgVUb8V1vXhGikCwYNqFR5swP6UCxCutX81B3+5SCDJ3rMYcu3tC/E9hd1phV+cjftSFLeJ+xe+3xwK+V18kM46kBPYvcZ/38USzMBa0XqDYw7LuMGmYf3gA/yJhaexYXa/PYwIDAQAB
私钥必须保密。如果恶意用户获得了您的密钥,他们将能够伪造您的 DKIM 签名。
 
如果 DNS 有点超出您的范围,请不要担心。(和其他 ESP)提供了分步说明,可以将其发送给域管理员以简化此操作。现在重要的是您了解 DKIM 的重要性。
 
SPF(发件人政策框架)#
SPF — 发件人政策框架
SPF 是 ISP(如 Gmail、Yahoo 等)验证邮件服务器是否有权为域发送电子邮件的一种方式。它是允许代表您发送电子邮件的服务的白名单。与 DKIM 一样,SPF 也通过 DNS 工作。例如,如果您使用 Campaign Monitor 发送营销电子邮件并使用 Gmail 发送常规电子邮件,您可以插入一条 DNS 记录,其中包括他们的邮件服务器作为受信任的来源,以便为您的域发送电子邮件。
 
v=spf1 a mx include:spf.mtasv.net include:_spf.google.com include:cmail1.com ~all
请记住,单个发送域应该只有一个 SPF 记录。您使用的每项服务都通过“include”指令附加到 SPF 记录,如上例所示。
 
SPF 对于验证谁可以代表您的域发送电子邮件并直接影响电子邮件交付变得非常重要。不仅电子邮件营销或您的公司电子邮件帐户需要它,而且支持(Zendesk、Helpscout 等)或其他代表您发送电子邮件的提供商也需要它。
 
使用 Postmark 发送时,无需添加或修改 DNS 记录即可自动处理 SPF。但是,确实需要手动设置自定义返回路径以通过 DMARC SPF 对齐。
 
如果您好奇,您可以通过查看邮件标头来验证邮件是否使用 DKIM 正确签名或是否通过 SPF。在 Gmail 中,这可以使用“显示原件”选项来查看。以下是 postmarkapp.com 域的示例:
 
Authentication-Results: mx.google.com;
  spf=pass (google.com: domain of pm_bounces@pmbounces.postmarkapp.com designates 50.31.156.117 as permitted sender) smtp.mail=pm_bounces@pmbounces.postmarkapp.com;
  dkim=pass header.i=@postmarkapp.com;
  dmarc=pass (p=NONE dis=NONE) header.from=postmarkapp.com
DKIM 和 SPF 与 DMARC 有什么关系?#
嗯,一切。对于 SPF 和 DKIM,由 ISP 决定如何处理结果。DMARC 更进一步,让您完全控制设置策略以拒绝或隔离来自您不知道或不信任的来源的电子邮件,所有这些都基于 DKIM 和 SPF 的结果。例如,由于 PayPal 是电子邮件欺诈的巨大目标,他们发布了 DMARC 记录,说明如果 DKIM 或 SPF 失败,则拒绝该消息。参与的 ISP 将查看此政策并丢弃失败的电子邮件。根据 Agari 的一份报告,在 2013 年假期期间,DMARC 帮助 PayPal 阻止了大约 2500 万次攻击。
 
tl;博士; 如果 SPF 和 DKIM 失败或不存在,DMARC 可让您告诉 ISP 您希望他们如何表现。下图显示了 SPF 和 DKIM 如何与您的 DMARC 策略协同工作。
 
SPF 和 DKIM 如何与 DMARC 协同工作
与 SPF 和 DKIM 类似,此策略驻留在 DNS 中。DNS 中的典型 DMARC 记录如下所示:
 
_dmarc.domain.com TXT v=DMARC1\; p=reject\; pct=100\; rua=mailto:dmarc-reports@domain.com\;
如果电子邮件未通过 DKIM 或 SPF,上面的记录设置了拒绝 (p=reject) 100% (pct=100) 的策略。此外,您可以让 ISP 将有关这些决定的汇总报告发送到电子邮件地址 (rua=mailto:dmarc-reports@domain.com)。我们将很快讨论这个记录和政策的更多内容。
 
您应该如何处理 DMARC 报告?#
支持 DMARC 的 ISP 还将生成有关为您的域发送活动的报告。报告是通过电子邮件发送到 DMARC 记录中指定的电子邮件地址的 XML 文件。报告包含发送源(域/IP)以及消息是通过还是失败 SPF 和 DKIM。这是 DMARC 最好的方面之一。它不仅可以让您控制域的电子邮件安全性,还可以让您深入了解谁代表您发送邮件,以及他们是否使用 DKIM 签名或通过 SPF。
 
DMARC 报告
报告的问题在于您必须筛选 XML 文件。典型的 XML 报告如下所示:
 
<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <email>noreply-dmarc-support@google.com</email>
    <extra_contact_info>http://support.google.com/a/bin/answer.py?answer=2466580</extra_contact_info>
    <report_id>4744268101791687049</report_id>
    <date_range>
      <begin>1398643200</begin>
      <end>1398729599</end>
    </date_range>
  </report_metadata>
  <policy_published>
    <domain>example.com</domain>
    <adkim>r</adkim>
    <aspf>r</aspf>
    <p>none</p>
    <sp>none</sp>
    <pct>100</pct>
  </policy_published>
  <record>
    <row>
      <source_ip>50.31.170.29</source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>example.com</header_from>
    </identifiers>
    <auth_results>
      <spf>
        <domain>ord-staging2.mtasv.net</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
  <record>
    <row>
      <source_ip>50.31.156.116</source_ip>
      <count>2</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>example.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>example.com</domain>
        <result>pass</result>
      </dkim>
      <spf>
        <domain>pm.mtasv.net</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
  <record>
    <row>
      <source_ip>50.31.156.118</source_ip>
      <count>2</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>example.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>example.com</domain>
        <result>pass</result>
      </dkim>
      <spf>
        <domain>pm.mtasv.net</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
</feedback>
如何在我的域上设置和实施 DMARC?#
希望此时您确信 DMARC 很棒(确实如此)。那么为您的域调整 DMARC 的下一步是什么?这是棘手的部分,并且是一个较长的过程,因为实施它存在风险。如果您只是继续发布“拒绝”记录,您可能是在告诉 ISP 拒绝合法电子邮件。为了降低这项工作的风险,我们将其分为两类:观察和实施。
 
DMARC 监控#
创建 DMARC 记录以开始监控结果。
分析 DMARC 报告以识别通过、失败或缺失的来源。
转换所有已知的电子邮件源,使 DMARC 与 DKIM 和 SPF 保持一致。
准备就绪后,开始隔离不符合 DMARC 的电子邮件源。
最终目标:发布拒绝记录以拒绝任何不符合 DMARC 的电子邮件。
 
带有的 DMARC 摘要的免费每周 DMARC 检查器
我们将处理来自主要 ISP 的关于您的域的 DMARC 对齐的报告,并将它们转换为精美、可读的每周电子邮件摘要,完全免费。
 
开始
免费!
DMARC 监控#
1. 生成 DMARC 记录并开始监控。
实施 DMARC 的第一步是监控。在了解电子邮件的所有来源之前,您无法设置拒绝电子邮件的策略。您可能知道您使用了哪些电子邮件营销提供商、支持系统、收件箱服务和滴灌电子邮件服务,但是您拥有的服务器和管理工具的警报呢?几乎不可能立即了解所有这些来源。
 
幸运的是,DMARC 的创建者理解这一点并内置了报告。实施 DMARC 的第一步是监控您的电子邮件流量并检查消息是通过还是失败。只需一个步骤即可实现这一目标 - 只需在您的域中为 DMARC 插入一条 DNS 记录。起初,它看起来像这样:
 
_dmarc.domain.com TXT v=DMARC1\; p=none\; pct=100\; rua=mailto:dmarc-reports@domain.com\;
如果您还记得上面的第一条 DMARC 记录,主要区别在于我们说的是“p=none”而不是“p=reject”。“无”定义实质上将 DMARC 置于测试模式。ISP 将检查每条消息,但只向您发送报告而不是对其采取措施。这使您可以在做任何激烈的事情之前开始收集有关电子邮件来源的详细信息。
 
为了使这更容易,我们创建了一个免费的 DMARC 记录生成器。此工具将引导您为您的域设置 DMARC 记录并开始收集您的报告。只需转到dmarc.postmarkapp.com并按照简单的流程操作即可。您将在每周一开始收到报告。
 
2. 分析 DMARC 报告以识别通过、失败或缺失的来源。
所以现在您每周都会收到报告,甚至可能使用 API 来深入了解细节。当您看到域的所有电子邮件源时,这部分可能会让人不知所措。让我们从我们的工具中获取示例报告并深入研究。还记得上面那个可怕的 XML 报告吗?我们将这些报告变成清晰易懂的电子邮件摘要,如下所示:
 
DMARC 报告
DMARC 如何帮助保护您域的电子邮件声誉
 
您会注意到的第一件事是顶部的统计数据。我们有:
 
已处理:由 ISP 处理并在报告中发送的消息数。
完全对齐:同时通过 SPF 和 DKIM 的消息数。
失败:既没有 SPF 也没有 DKIM 的邮件数量。
你的消息来源
列表中的下一个是您的来源。这些是电子邮件来源(发送电子邮件的域和 IP,如 Postmark、Mailchimp、Google Apps 等)以及每个来源的邮件数。我们认为这些消息是“可信的”,因为它要么是用 DKIM 签名的,要么是通过了 SPF。换句话说,您更新了 DNS 以明确批准此电子邮件来源。在上面的示例中,mtasv.net 是来自 Postmarkapp.com 的域,其中大部分电子邮件完全对齐并通过。在某些情况下,两者之一可能不会通过,所以我们尝试区分它,但仍然认为它是可信的。
 
此处的目标是识别每个发件人并确保 DKIM 和 SPF 通过。这可能涉及联系您的 ESP、在 Google Apps 中设置 DKIM 等。
 
其他来源
向下移动,您会看到“其他来源”和类似的列表。这些电子邮件来源未通过 SPF 或 DKIM,因此我们假设您尚未明确“批准”这些发件人。本节的“未知”方面最为重要。在许多情况下,您可能从合法来源发送电子邮件,但未使用 DKIM 签名或未将来源添加到您的 SPF 记录。这是实施 DMARC 的真正工作开始的地方。
 
转发来源
在您的其他来源下方,您会注意到一个名为“转发的电子邮件来源”的部分。在本部分中,您将看到已通过 DKIM 但未通过 SPF DMARC 对齐的电子邮件。在大多数情况下,DKIM 通过 DMARC 而 SPF 失败是由于收件人转发了电子邮件。有关这方面的更多信息,请在此处查看我们的帮助文章。
 
3. 将所有已知的电子邮件源转换为 DMARC 对齐的 DKIM 和 SPF。
当您每周收到报告并深入研究数据时,真正的工作是确定合法来源。如果您注意到您发送的 IP 地址或域,您需要确保此来源使用 DKIM 签名并添加到您的 SPF 记录中。这是一个乏味的过程,但您可以花时间解决所看到的问题。
 
识别每个来源可能很棘手。使这更容易的一种方法是为您知道发送电子邮件的每个来源创建一个列表。当报告中出现新来源时,您可以尝试将它们与列表中的已知来源进行匹配。这些来源可能是电子邮件提供商、电子商务系统、营销服务,甚至服务器通知和警报。常见示例包括 Google Apps (gmail)、Salesforce、Intercom、Campaign Monitor、Mailchimp,当然还有 Postmark。
 
我们 DMARC 报告中的一个有用功能是解析源 IP 地址。如果您单击报告中的 IP 地址,它将链接到“http://whois.domaintools.com”,其中显示了 IP 的位置和所有者。例如,我不知道 emailsrvr.com 的域和 IP 为 108.166.43.128 的域,但是在点击链接后,我可以看到这是来自 Rackspace。这可能会帮助我缩小范围,它来自他们的托管或电子邮件服务。
 
确定来源后,您将需要查找发送电子邮件的服务,以便对 SPF 或 DKIM 记录进行适当的更改。像服务的Zendesk,运动监视器,谷歌企业应用套件,以及Rackspace公司有什么SPF或DKIM记录添加到您的DNS文章。较难的是您自己服务器上的源,其中 DKIM 和 SPF 可能不太容易实现。在某些情况下,将电子邮件从您自己的电子邮件服务器迁移到 Postmark 等可以为您处理 DKIM 和 SPF 的服务可能会更容易。
 
最后,您可能会看到一些对您没有意义的失败源域/IP。这可能发生在来自电子邮件转发的合法邮件中,其中不保留 SPF 和 DKIM 标头。如果这些来源是个位数,请不要担心。您将永远无法获得所有资源,因此您必须根据您想要研究资源的程度来决定在哪里划线。
 
在分析 DMARC 报告时,这总结了大部分过程。当您将 DKIM 和 SPF 添加到更多来源时,应该减少未知/威胁的数量。当然,您永远不会完全减少这些,因为垃圾邮件发送者会为您的域伪造电子邮件。DMARC 最难的部分是确定何时发布拒绝或隔离记录。只有当您对 SPF 和 DKIM 涵盖的已知来源数量感到满意时,才会发生这种情况。
 
执行#
如果您能够覆盖所有已知来源,下一步是逐步隔离(p=quarantine)一部分流量 (pct=10) 并随着时间的推移增加流量。隔离区会将失败的邮件放在垃圾邮件/垃圾文件夹中。一旦感到舒适,您就可以扣动拒绝策略的触发器(p=reject)。这将告诉 ISP 完全丢弃失败的消息,只要您控制批准的来源,基本上就可以阻止您域上的欺诈。
 
DMARC 摘要徽标
保护您的品牌免受电子邮件诈骗者的侵害
我们的高级 DMARC 监控使用单个仪表板来监控所有邮件源、60 天的历史记录和可操作的建议。
 
 
常问问题#
是否所有电子邮件服务提供商都支持 DMARC?
不完全是。为了在您的域上完全支持 DMARC,ESP 还必须设置自定义Return-Path地址域。这Return-Path是 ESP 用于收集退回邮件的内容,这与发件人地址不同。根据 DMARC 规范,Return-Path域必须与来自地址的顶级域相同。在 Postmark,我们将此作为优先事项并实施了自定义Return-Path域。
为什么我会看到某些合法来源的 SPF 报告失败?
在某些情况下,电子邮件提供商可能会将您的电子邮件转发到另一个地址。例如,您向客户发送简报,他们将其从主邮箱转发到他们的 Gmail 帐户。虽然大多数电子邮件提供商会正确保留发件人地址和Return-Path地址,但其他人可能会重写它,从而导致失败。虽然这可能会带来问题,但仅限于一小部分。此外,在这种情况下,ISP 仍然可以考虑消息是否存在 DKIM 并允许它通过。这就是让 SPF 和 DKIM 在域上传递很重要的原因。
 




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/4756.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: