DMARC工作原理及配置示例

原创 已于 2024-07-19 08:44:37 修改 · 2.2k 阅读 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
cknow-ai 小胡子大魔王

cknow-ai 关注

标签
#电子邮件 #邮件安全 #DMARC
分类 物联网
于 2024-07-18 08:54:11 首次发布

1. 什么是DMARC

DMARC(Domain-based Message Authentication, Reporting & Conformance)是一种电子邮件验证、报告和合规性标准,旨在解决域名冒充问题,特别是防范那些企图伪装成某个组织或个人进行电子邮件欺诈的行为。DMARC基于已经广泛部署的SPF和DKIM两种邮件身份验证协议,通过增加域名对齐检查和提供详细的报告机制,强化了电子邮件安全和防止钓鱼攻击的能力。

2. DMARC工作原理

  • 域名对齐:

DMARC要求SPF和DKIM验证结果与邮件信头中的发信域(即用户直观看到的发信人域名)一致。也就是说,如果邮件信头声称来自example.com,则SPF和DKIM验证也必须与example.com保持一致。

  • 策略执行:

DMARC允许域名管理员定义政策,决定邮件服务器在邮件无法通过DMARC验证时应该如何处理,比如“none”(不做任何动作,仅报告)、“quarantine”(隔离邮件,例如放入垃圾邮件文件夹)或“reject”(直接拒收邮件)。

  • 报告机制:

DMARC提供了一个标准化的反馈机制,让邮件接收方能够定期向域名管理员发送关于DMARC检查结果的报告。这些报告可以帮助管理员了解其域名下邮件的发送情况,及时发现并阻止未经授权的邮件发送行为。

3. DMARC记录

在DNS中为域名添加一个TXT类型的DMARC记录,以下面的记录举例说明:

_dmarc.mailabc.cn. IN TXT "v=DMARC1; p=reject; pct=100; rua=mailto:dmarcreports@mailabc.cn; ruf=mailto:abuse@mailabc.cn;"

这个记录中包含了DMARC策略及其参数:

  •  _dmarc 固定的域名前缀,表示这条TXT类型的记录是用于dmarc检查。
  •  v=DMARC1 表示DMARC版本为1。
  •  p=reject 表示对不符合策略的邮件采取拒绝策略。
  •  pct=100 表示对100%的邮件执行此策略(如果不设定,则默认为100%)。
  • rua=mailto:dmarcreports@mailabc.cn 设置了授权收件人邮箱地址,用于接收汇总政策执行报告。
  • ruf=mailto:abuse@mailabc.cn 设置了故障报告的接收邮箱地址,用于接收详尽的错误分析报告。

注意:组织在首次实施DMARC时,通常会先设置为“监控”模式(policy of “none”),收集一段时间的报告,了解正常邮件和潜在欺诈邮件的情况,之后逐步加强策略至“隔离”或“拒绝”。

_dmarc.163.com.         462     IN      TXT     "v=DMARC1; p=none;"

163.com设置的DMARC策略

4. DMARC配置示例

再次强调:DMARC功能依赖SPF和DKIM,在设置DMARC之前需要确保SPF和DKIM已正确设置。

DMARC记录需要在配置DNS TXT类型记录,以mailabc.cn域名为例,在阿里云的域名控制台添加TXT类型的记录,记录值配置如下:

阿里云域名管理中设置DMARC记录

5. 为什么要启用DMARC

为什么已经配置了SPF和DKIM,还需要DMARC?让我们试着分析一下。

  • SPF存在的问题

在电子邮件中有两个 from 地址:信封上的 from 地址,由 SMTP 会话中的 mail from 命令指定,以及头域中的 from 地址,由 SMTP data 命令指定(关于SMTP协议,可以参考往期文章SMTP协议及常见指令介绍 | MailABC邮件知识百科)。SPF 的设计使得它只验证信封上的 from 地址,而它并不检查信头中的 from 地址。这意味着攻击者仍然能够从白名单上面的服务器来使用假冒的信头from 地址发送邮件。换句话说,用户在邮件终端中看到的 from 域可能和 SPF 验证过的值不同。

  • DKIM存在的问题

DKIM 仅仅验证 DKIM 签名中的 d= 值,该值可能和头域 from 地址中的域名值不同。结果是显然的:用户在邮件终端中看到的 from 域可能和 DKIM 验证过的值不同。DMARC为了解决SPF和DKIM的漏洞,选择邮件信头中的域名作为发信域名作为检查依据,这样就可以防止邮件伪造。

参考资料:https://dmarcly.com/blog/zh-CN/what-is-dmarc-identifier-alignment-domain-alignment#

6. 启用DMARC可能带来哪些问题?

让我们来看一下163.com、qq.com的DMARC启用情况:

[root@localhost tmp]# dig +short 163.com _dmarc.163.com txt
"v=DMARC1; p=none;"
[root@localhost tmp]# dig +short qq.com _dmarc.163.com txt
"v=DMARC1; p=none;"

从上面检查结果可以看出,尽管两大邮件提供商都启用了DMARC,但是声明的p操作为none(不做任何操作),也没有声明报告接收邮箱。这就说明运营类的邮箱采用的是相对宽松的检查策略。

为什么不启用相对严格的策略呢,比如p=reject?总结原因大致如下:

  • 在邮件的实际使用场景中可能会存在mail from与信头中的from不一致的场景,如直接转发、自动转发的场景,一旦启用严格检查策略,可能会影响此类邮件发送。
  • 另一种场景是邮件群发业务,如账单投递、业务推广,这种邮件都是通过第三方业务系统组信之后交给专业的邮件投递系统进行投递,实际的发件人与信头中的发件人大概率是不同的。

综上所述,是否启用DMARC,以及采用什么样的策略,取决于企业和组织的实际情况。

参考来源:DMARC工作原理及配置示例|MailABC邮件知识百科

点赞 点赞 32
评论 0
书签 书签 9
深入理解电子邮件安全:SPF、DKIM 和 DMARC 完全指南
weixin_54104864的博客
11-18 4747
SPF(发件人策略框架)是一种邮件验证机制,用于防止发件人地址被伪造。它允许域名所有者指定哪些邮件服务器被授权发送来自该域名的邮件。DKIM是一种数字签名技术,用于验证邮件的完整性和来源真实性。它通过加密签名确保邮件在传输过程中未被篡改。
DMARC 入门指南
Jinmindong
03-31 829
DMARC 是 “Domain-based Message Authentication, Reporting & Conformance”的缩写,用来检查邮件是否来自声称的来源。它构建在广泛部署的 SPF 和 DKIM协议之上,并添加了域名对齐检查和报告发送功能,来改善和监测域名的反冒名攻击保护。这里是一个 DMARC 的示意图dmarc.orgDMARC 记录是发布在 DNS 中的 TXT 资源记录,它指定邮箱服务应该如何处理 DMARC 验证失败的邮件。v=DMARC1;p=reject。
邮件服务器安全SPF、DKIM、DMARC
王教主的博客
11-10 3769
SPF SPF是指Sender Policy Framework,是为了防范垃圾邮件而提出来的一种DNS记录类型,SPF是一种TXT类型的记录。 SPF记录的本质,是向收件人宣告:本域名的邮件从清单上所列IP发出的都是合法邮件。 下面例子中,tencent.com宣告:spf.mail.tencent.com 、spf.mail.qq.com 是合法的,其他不合法。 DKIM DKIM 技术通过在每封电子邮件上增加加密标志,收件服务通过非对称加密算法解密并比较加密的hash,判断邮件伪造。 DKIM 的基
DMARC 介绍
weixin_30342209的博客
05-30 856
DMARC 是什么? DMARC 是 “Domain-based Message Authentication, Reporting & Conformance” 的缩写。它用来检查一封电邮是否来自所声称的发送者。DMARC 建立在广泛使用的 SPF 和 DKIM 协议上, 并且添加了域名对齐检查和报告发送功能。这样可以改善域名免受钓鱼攻击的保护。 这是来自 dmarc.org 的示意...
零垃圾邮件:mailcow-dockerized DMARC策略配置与实战指南
gitblog_00615的博客
09-06 1235
你是否还在为伪造域名的垃圾邮件烦恼?作为邮件服务器管理员,每天面对层出不穷的钓鱼邮件和域名欺诈,不仅耗费大量精力处理投诉,还可能因未授权邮件损害品牌声誉。本文将带你通过mailcow-dockerized的DMARC(域名基于消息认证、报告和一致性)策略配置,从监控到强制执行,构建完整的邮件安全防护体系。读完本文,你将掌握:DMARC核心参数配置、实时监控报告分析、策略从宽松到严格的平滑过渡,以及...
终极指南:Stalwart Mail Server如何通过DKIM、SPF和DMARC全方位防护邮件安全
gitblog_00186的博客
02-10 755
Stalwart Mail Server作为一款安全现代的全能邮件服务器(支持IMAP、JMAP、SMTP),提供了强大的DKIM、SPF和DMARC安全机制,帮助用户全方位防护邮件欺诈和钓鱼攻击。本文将详细介绍这三种防护技术的工作原理及在Stalwart中的实现方式,让你轻松构建安全邮件系统。 ## 🛡️ 什么是DKIM、SPF和DMARC? ### DKIM(域名密钥识别邮件) DKI
关于DMARC协议
weixin_34211761的博客
08-14 706
据统计,全球范围内被投递的钓鱼邮件每天约达到1亿封,经常会遇到一些邮件发送方,被spammer利用于伪造各种钓鱼/诈骗邮件,如:伪造银行、保险等金融企业,支付宝、Paypal等支付商,知名网站、政府网站等发送钓鱼邮件、诈骗邮件,威胁着用户的信息和财产安全DMARC协议会更好的降低他们的域名被伪造的可能性。MDaemon企业邮箱从14.x版本开始支持先进反垃圾协议DM...
从零到一搭建高送达率邮件服务器:Poste.io配置SPF、DKIM、DMARC防进垃圾箱全攻略
weixin_30664051的博客
03-26 512
本文详细介绍了如何从零开始搭建高送达率的邮件服务器,重点讲解Poste.io配置SPF、DKIM和DMARC三大关键记录的全过程。通过专业的DNS设置和验证方法,有效防止邮件被标记为垃圾邮件,显著提升邮件送达率,适用于Linux和Docker环境下的邮件服务器部署。
如何设置发送者策略框架 (Sender Policy Framework, SPF): 完整教程
hifall的博客
05-25 1542
发送者策略框架 (Sender Policy Framework, SPF) 和 DMARC 还有 DKIM 一起,在邮件验证中扮演重要的角色。它能够防止来自未经授权的发送者的邮件抵达收件箱。 本文是一个全面的 SPF 指南。我们将讨论各个 SPF 概念,工作原理,在典型场景中的具体的设置方法,等等。在阅读本文后,您将能够为您的组织实现 SPF。 什么是发送者策略框架 (Sender Policy Framework, SPF) 发送者策略框架 (Sender Policy Framework, SPF)
什么是 DNS DMARC 记录?
Hello
10-11 1184
DMARC电子邮件安全的一个重要部分。DMARC 政策存储在 DNS TXT 记录中。
spf、dkim、dmarc介绍与邮件伪造研究
热门推荐
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
08-18 1万+
文章目录spf、dkim、dmarc介绍SPFDKIMDMARC测试工具Swaks spf、dkim、dmarc介绍 SPF SPF(Sender Policy Framework)发件人策略框架 SPF 是为了防范伪造发件人地址发送垃圾邮件而提出的一种开放式标准,是一种以 IP 地址认证电子邮件发件人身份的技术。域名所有者通过在 DNS 中发布 SPF 记录来授权合法使用该域名发送邮件的 IP 地址。 当在 DNS 中定义了域名的 SPF 记录后,为了确认邮件声称发件人不是伪造的,邮件接收方首先检查邮件
SPF/DKIM/DMARC简单总结
weixin_53801131的博客
08-03 1333
定义:Sender Policy Framework,即发件人策略框架,一种以IP地址认证电子邮件发件人身份的技术。接收邮件方会首先检查域名的SPF记录,来确定发件人的IP地址是否被包含在SPF记录里面,如果在,就认为是一封正确的邮件,否则会认为是一封伪造的邮件进行下一步处理。定义:Domain Keys Identified Mail,即域密钥识别邮件。发送方会在电子邮件的标头插入及电子签名信息,而接收方则透过DNS查询得到公开密钥后进行验证。
DMARC 记录
mengdongxiaobai2的博客
11-14 922
DMARC 记录是域所有者在 DNS 中设置的记录,用于指示接收电子邮件邮件服务器如何处理与该域相关的 SPF 和 DKIM 验证失败的情况。DMARC 通过在邮件头中包含一个特殊的 DMARC 报告地址,向域所有者提供有关与其域相关的电子邮件验证失败的信息。这有助于域所有者更好地了解其域的邮件流量,并采取适当的措施来减少电子邮件欺诈和钓鱼攻击。这个例子中,p=reject 表示拒绝未通过验证的电子邮件,rua 和 ruf 分别指定了聚合报告和详细报告的接收地址。
DMARC 简介
GitChat
11-04 914
DMARC 是实现电子邮件认证的标准。本文介绍如何实现 DMARC
DKIM签名完整指南:如何通过域名密钥识别邮件防止钓鱼攻击
gitblog_00860的博客
01-15 1112
在当今网络环境中,邮件安全已成为企业和个人必须重视的关键问题。DKIM(DomainKeys Identified Mail)作为一种强大的邮件认证技术,能够有效防止邮件伪造和钓鱼攻击。本指南将详细介绍DKIM签名的工作原理配置方法和实际应用场景。 ## 什么是DKIM签名?邮件认证的核心技术 **DKIM签名**是一种基于公钥加密的邮件认证机制,它通过在邮件头部添加数字签名来验证邮件的真实
emailwiz多域名支持:如何使用adddomain.sh扩展邮件服务
最新发布
gitblog_00624的博客
04-30 732
emailwiz是一款功能强大的邮件服务器自动化部署脚本,能够快速配置基于Dovecot、Postfix、Spam Assassin和OpenDKIM的Debian邮件服务器。对于需要管理多个域名的用户,adddomain.sh工具提供了简单高效的多域名扩展方案,让您轻松实现单服务器托管多个邮件域名。 ## 为什么需要多域名支持? 现代企业和个人用户常常需要管理多个域名的邮件服务。无论是运营不
如何快速掌握多域名邮件配置:Mail-in-a-Box一站式管理终极指南
gitblog_00860的博客
04-15 416
还在为管理多个邮件域名而烦恼吗?每次都要在不同的平台间切换配置DNS、添加用户和设置别名?Mail-in-a-Box作为一款开源邮件服务器解决方案,让你可以在同一台服务器上轻松管理多个邮件域名!这篇完整的指南将带你深入了解如何集中管理所有邮件域名,从此告别繁琐操作。 想象一下,你拥有个人博客域名、公司业务域名、项目专用域名……每个都需要独立的邮件服务。传统做法是为每个域名单独部署邮件服务器,成本
开启 DMARC 的作用对发件域名来说
m0_64036296的博客
06-26 858
DMARC()是一个基于 SPF 和 DKIM 的邮件身份验证机制,它让域名拥有者可以:指定邮件的验证规则;指示收件方如何处理未验证成功的邮件;获取未授权使用该域名发信的报告。对于作为发件邮箱使用的域名,开启 DMARC 是“必须要做的基础安全配置”。不开启虽然不会立刻阻止你发信,但长期来看会严重影响投递率、品牌信誉和域名安全,甚至被黑名单系统封锁,得不偿失。
邮件系统DNS解析记录配置示例汇总-MX记录、A记录、SPF记录、DKIM记录、DMARC记录
MailABC致力于科普电子邮件知识。如需交流,可以关注mailabc微信公众号或邮件feedback@mailabc.cn
07-13 4821
一套邮件系统,当其在公网上为广大用户提供邮件的发送与接收服务时,其核心功能之一即是确保邮件能够准确无误地抵达目标地址。为了实现这一目标,邮件系统不仅需要高效稳定的内部运行机制,更需依赖于外部网络服务的支持,其中DNS服务便是不可或缺的一环。DNS服务不仅负责将人们易于记忆的域名转换为计算机能够理解的IP地址,还在邮件传输过程中扮演着至关重要的角色。本文主要围绕邮件系统可能涉及的DNS记录及其设置方法展开详细阐述。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值