DMARC-识别并拦截钓鱼邮件
DMARC全称是Domain-based Message Authentication, Reporting and Conformance,他基于现有的DKIM和SPF两大主流电子邮件安全协议,由Mail Sender方(域名拥有者Domain Owner)在DNS里声明自己采用该协议。当Mail Receiver方(其MTA需支持DMARC协议)收到该域发送过来的邮件时,则进行DMARC校验,若校验失败还需发送一封report到指定URI(常是一个邮箱地址)。本期我们将重点介绍一下邮件认证安全的主角DMARC。
01
DMARC的背景
电子邮件认证技术SPF和DKIM是十多年前开发的,目的是为了更好地保证邮件发送者的身份。这些技术的使用量稳步增加,欺诈性和欺骗性电子邮件的问题并没有减少。看起来,如果发件人使用这些技术,那么电子邮件接收者就可以轻易地将欺骗性消息与经过适当验证的消息区分开来。不幸的是,由于多种原因,这种方式并没有解决。
许多发件人都有复杂的电子邮件环境,许多系统发送电子邮件,通常包括第三方服务提供商。确保使用SPF或DKIM验证每个消息是一项复杂的任务,特别是考虑到这些环境处于永久状态。
如果域所有者发送混合消息,其中一些消息可以被认证,而另一些消息不能被认证,那么电子邮件接收者将被迫在未经过认证的合法消息和欺诈消息之间辨别。就本质而言,垃圾邮件算法很容易出错,需要不断改进,以应对垃圾邮件发送者不断变化的策略。其结果是,一些欺诈消息将不可避免地进入最终用户的收件箱。
发件人对邮件身份验证部署的反馈非常差。除非邮件退回发件人,否则无法确定有多少合法邮件无法通过身份验证,甚至无法确定欺骗邮件的范围。这使得解决邮件身份验证问题非常困难,特别是在复杂的邮件环境中。
即使发件人已经按下了他们的邮件验证基础设施,并且他们的所有合法邮件都可以被验证,但是电子邮件接收者对于拒绝未经验证的邮件是谨慎的,因为他们不能确定没有签名的合法邮件。
可以解决这些问题的唯一方式是发送者和接收者彼此分享信息。接收者向发件人提供关于他们的邮件验证基础设施的信息,而发件人告诉接收者当收到没有验证的邮件时该怎么做。PayPal在2007年开创了这种方法,并制定了一个与雅虎的系统。Mail和更高版本的Gmail以这种方式进行协作。结果是非常有效的,导致怀疑欺诈电子邮件从PayPal接受这些接收器显着减少。DMARC的目标是建立在这个发送者和接收者系统上,协作改善发送者的邮件验证实践,并使接收者能够拒绝未经验证的消息。
02
DMARC和电邮认证过程
DMARC旨在适应组织的现有入站电子邮件验证过程。它的工作方式是帮助电子邮件接收者确定声称的消息是否与接收者知道发件人的信息“一致”。如果不是的话,DMARC将包含有关如何处理“不对齐”消息的指导。例如,假设接收者部署了SPF和DKIM以及自己的垃圾邮件过滤器,流程可能如下所示:
在上面的例子中,根据DMARC的测试对比应用于ADSP在流程中应用的同一点。所有其他测试不受影响。
DMARC被设计为满足以下“高标准”要求:
最大限度地减少误报。
提供健壮的认证报告。
在接收者处断言发件人政策。
减少成功的网络钓鱼交付。
在互联网规模工作。
最小化复杂性。
需要注意的是,DMARC建立在IETF目前正在开发的DomainKeys Identified Mail(DKIM)和Sender Policy Framework(SPF)规范上。DMARC旨在通过增加对以下方面的支持来取代ADSP:
通配符或子域策略,
不存在的子域,
缓慢推出(例如百分比实验)
SPF
隔离邮件
03
DNS中的DMARC资源记录
DMARC策略作为文本(TXT)资源记录(RR)发布在DNS中,并通告电子邮件接收方应该如何处理收到的不对齐邮件。
考虑一个示例DMARC TXT RR为域名“sender.dmarcdomain.com”读取:
"v=DMARC1;p=reject;pct=100;rua=mailto:postmaster@dmarcdomain.com"
在这个例子中,发送者请求接收者完全拒绝所有未对齐的消息,并且以指定的聚合格式向指定的地址发送拒绝的报告。如果发送者正在测试它的配置,它可以用“quarantine”代替“reject”,告诉接收者他们不一定拒绝该消息,但考虑隔离它。
DMARC记录遵循DKIM中定义的基于DNS的密钥记录的可扩展“标签值”语法。下面的图表说明了一些可用的标签:
标记名 | 作用 | 实例 |
|---|---|---|
v | 协议版本 | v=DMARC1 |
pct | 消息过滤的百分比 | pct=20 |
ruf | URI取证报告 | ruf=mailto:authfail@example.com |
rua | URI报告汇总 | rua=mailto:aggrep@example.com |
p | 组织域策略 | p=quarantine |
sp | OD子域策略 | sp=reject |
adkim | DKIM队列模式 | adkim=s |
aspf | SPF队列模式 | aspf=r注:这个图表中的例子仅供说明 |
DMARC的设计基于全球最大的部署SPF和DKIM的邮件发送器和接收器的实际经验。考虑到了这样一个事实,即组织几乎不可能将业务环境切换到生产。有许多内置的方法可以“调节”DMARC处理,从而使各方都能够随着时间的推移而全面部署。
部署DKIM和SPF。首先,您必须介绍基本知识。
确保您的邮件正确对齐正确的标识符。
发布一个DMARC记录,其中为请求数据报告的策略设置“none”标记。
分析数据并根据需要修改您的邮件流。
修改您的DMARC策略标志从“none”到“quarantine”到“reject”,因为您获得了经验。
DMARC是(Domain-based Message Authentication, Reporting & Conformance)的缩写,设置DMARC记录,防止他人伪造贵司域名,还可以获取到他人尝试伪造贵司域名的情况。
当收信方(其MTA需支持DMARC协议)收到贵司发送过来的邮件时,会进行DMARC校验,若校验失败会发送一封report到DMARC记录值中设置的邮箱账号里。
添加DMARC前确保已添加SPF记录。
企业邮箱添加DMARC记录2条:
1、主机名:_dmarc
记录类型:TXT
记录值: v=DMARC1;p=quarantine;
2、主机名:default._domainkey
记录类型:TXT
记录值:v=DKIM1;k=rsa;p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCh+aUHo+2GeE73nigZNPCt2ANoEw9gZyUl8/EQs1EN/OBJY5OU1wBxZxnO4kR2dwCDs9ZzXbZnxcJTbpdeuThLlvx4/0eZiTPCBScaC4lX97B+oflIi+dLKKayzY6XAIK7z6HKvkuXUR78MPEAQ/UX3Y41QnwcDu8uIK1y8RmxfwIDAQAB
一、DMARC是什么:工作原理
允许域名所有者发布关于其邮件应该如何被处理的政策。这些政策可以包括拒绝所有未通过身份验证的邮件、将这些邮件标记为垃圾邮件,或仅进行报告。当一封电子邮件被发送时,接收服务器会首先检查该邮件的SPF和DKIM记录。
二、DMARC是什么:实施步骤
1. 配置SPF和DKIM:SPF允许域名所有者指定哪些服务器有权发送该域名的邮件,而DKIM则通过加密签名验证邮件的完整性和来源。
2. 创建DMARC记录:在DNS中创建DMARC记录,这是一条TXT记录,包含DMARC策略的详细信息。
3. 监控和调整策略:在实施初期,建议使用“none”策略进行监控。这意味着即使邮件未通过验证,接收服务器也不会采取任何行动,但会生成报告。
4. 强化DMARC策略:根据监控结果,可以逐步将DMARC策略调整为“quarantine”或“reject”,以增强邮件安全性。
三、DMARC是什么:优势特点
1. 减少钓鱼攻击:通过验证邮件来源,DMARC可以有效减少钓鱼攻击的成功率,保护用户免受假冒邮件的侵害。
2. 增强品牌信誉:当邮件域名受到DMARC保护时,用户会对邮件来源的真实性更有信心,从而增强品牌信誉。
3. 提供可见性和报告:DMARC生成的报告可以帮助组织了解邮件验证情况,识别潜在问题,并优化邮件发送策略。
本文描述了在 GoDaddy 中添加 DMARC 记录的详细步骤。
关于 DMARC 记录
首先,DMARC 记录是发布在 DNS 中,域名上面的 TXT 记录,位于 dmarc.yourdomain.com,其中 “yourdomain.com” 是实际的域名或者子域名。它告诉接收邮件的服务器在邮件 DMARC 验证失败的情况下,应该如何处理,此外应该把邮件验证数据报告发往何处。
了解更多关于 DMARC 记录的信息,请参阅:关于 DMARC 记录的一切。
生成 DMARC 记录
首先需要生成 DMARC 记录,可以使用我们的免费 DMARC 记录生成器、或者 https://www.cloudns.net/dmarc-generator/lang/chs/
在 GoDaddy 中发布 DMARC 记录
现在 DMARC 记录已经准备好,遵循以下的步骤来发布这个记录。
1. 登录到 GoDaddy
跳转到 godaddy.com,输入用户名和密码来登录到后台。
2. 找到域名
在 GoDaddy 的 "My Products",找到需要发布 DMARC 记录的域名,然后点击 DNS 按钮,像这样:
3. 创建记录
现在在 DNS Management 页面上,在 Records 小节中点击 Add 按钮。现在会看到一个可以输入 DMARC 记录设置的表单,如下所示:
txt value: v=DMARC1;p=none;pct=none;rua=mailto:ruf=mailto:admin@163.com;ruf=mailto:ruf=mailto:admin@163.com;ri=86400
确保记录的类型是 TXT,host 设置成 _dmarc,TXT 值设置成上面生成的记录。点击 Save 按钮。现在记录已经添加了。
4. 检查发布的 DMARC 记录
如果要检查发布的 DMARC 记录,可以使用我们的免费 DMARC 记录检查器。注意上一步的变动可能需要一些时间在 DNS 中扩散,因此,如果没有找到该记录,可以等待 1 小时以后再试。
以上就是在 GoDaddy 中发布 DMARC 记录的步骤。
本文链接:https://hqyman.cn/post/9484.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~
