DMARC工作原理及配置示例

已于 2024-07-19 08:44:37 修改
阅读量1k 收藏 8
点赞数 31
文章标签: 电子邮件 邮件安全 DMARC
于 2024-07-18 08:54:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sdexcel/article/details/140512064
版权

1. 什么是DMARC

DMARC(Domain-based Message Authentication, Reporting & Conformance)是一种电子邮件验证、报告和合规性标准,旨在解决域名冒充问题,特别是防范那些企图伪装成某个组织或个人进行电子邮件欺诈的行为。DMARC基于已经广泛部署的SPF和DKIM两种邮件身份验证协议,通过增加域名对齐检查和提供详细的报告机制,强化了电子邮件安全和防止钓鱼攻击的能力。

2. DMARC工作原理

  • 域名对齐:

DMARC要求SPF和DKIM验证结果与邮件信头中的发信域(即用户直观看到的发信人域名)一致。也就是说,如果邮件信头声称来自example.com,则SPF和DKIM验证也必须与example.com保持一致。

  • 策略执行:

DMARC允许域名管理员定义政策,决定邮件服务器在邮件无法通过DMARC验证时应该如何处理,比如“none”(不做任何动作,仅报告)、“quarantine”(隔离邮件,例如放入垃圾邮件文件夹)或“reject”(直接拒收邮件)。

  • 报告机制:

DMARC提供了一个标准化的反馈机制,让邮件接收方能够定期向域名管理员发送关于DMARC检查结果的报告。这些报告可以帮助管理员了解其域名下邮件的发送情况,及时发现并阻止未经授权的邮件发送行为。

3. DMARC记录

在DNS中为域名添加一个TXT类型的DMARC记录,以下面的记录举例说明:

_dmarc.mailabc.cn. IN TXT "v=DMARC1; p=reject; pct=100; rua=mailto:dmarcreports@mailabc.cn; ruf=mailto:abuse@mailabc.cn;"

这个记录中包含了DMARC策略及其参数:

  •  _dmarc 固定的域名前缀,表示这条TXT类型的记录是用于dmarc检查。
  •  v=DMARC1 表示DMARC版本为1。
  •  p=reject 表示对不符合策略的邮件采取拒绝策略。
  •  pct=100 表示对100%的邮件执行此策略(如果不设定,则默认为100%)。
  • rua=mailto:dmarcreports@mailabc.cn 设置了授权收件人邮箱地址,用于接收汇总政策执行报告。
  • ruf=mailto:abuse@mailabc.cn 设置了故障报告的接收邮箱地址,用于接收详尽的错误分析报告。

注意:组织在首次实施DMARC时,通常会先设置为“监控”模式(policy of “none”),收集一段时间的报告,了解正常邮件和潜在欺诈邮件的情况,之后逐步加强策略至“隔离”或“拒绝”。

_dmarc.163.com.         462     IN      TXT     "v=DMARC1; p=none;"

163.com设置的DMARC策略

4. DMARC配置示例

再次强调:DMARC功能依赖SPF和DKIM,在设置DMARC之前需要确保SPF和DKIM已正确设置。

DMARC记录需要在配置DNS TXT类型记录,以mailabc.cn域名为例,在阿里云的域名控制台添加TXT类型的记录,记录值配置如下:

阿里云域名管理中设置DMARC记录

5. 为什么要启用DMARC

为什么已经配置了SPF和DKIM,还需要DMARC?让我们试着分析一下。

  • SPF存在的问题

在电子邮件中有两个 from 地址:信封上的 from 地址,由 SMTP 会话中的 mail from 命令指定,以及头域中的 from 地址,由 SMTP data 命令指定(关于SMTP协议,可以参考往期文章SMTP协议及常见指令介绍 | MailABC邮件知识百科)。SPF 的设计使得它只验证信封上的 from 地址,而它并不检查信头中的 from 地址。这意味着攻击者仍然能够从白名单上面的服务器来使用假冒的信头from 地址发送邮件。换句话说,用户在邮件终端中看到的 from 域可能和 SPF 验证过的值不同。

  • DKIM存在的问题

DKIM 仅仅验证 DKIM 签名中的 d= 值,该值可能和头域 from 地址中的域名值不同。结果是显然的:用户在邮件终端中看到的 from 域可能和 DKIM 验证过的值不同。DMARC为了解决SPF和DKIM的漏洞,选择邮件信头中的域名作为发信域名作为检查依据,这样就可以防止邮件伪造。

参考资料:https://dmarcly.com/blog/zh-CN/what-is-dmarc-identifier-alignment-domain-alignment#

6. 启用DMARC可能带来哪些问题?

让我们来看一下163.com、qq.com的DMARC启用情况:

[root@localhost tmp]# dig +short 163.com _dmarc.163.com txt
"v=DMARC1; p=none;"
[root@localhost tmp]# dig +short qq.com _dmarc.163.com txt
"v=DMARC1; p=none;"

从上面检查结果可以看出,尽管两大邮件提供商都启用了DMARC,但是声明的p操作为none(不做任何操作),也没有声明报告接收邮箱。这就说明运营类的邮箱采用的是相对宽松的检查策略。

为什么不启用相对严格的策略呢,比如p=reject?总结原因大致如下:

  • 在邮件的实际使用场景中可能会存在mail from与信头中的from不一致的场景,如直接转发、自动转发的场景,一旦启用严格检查策略,可能会影响此类邮件发送。
  • 另一种场景是邮件群发业务,如账单投递、业务推广,这种邮件都是通过第三方业务系统组信之后交给专业的邮件投递系统进行投递,实际的发件人与信头中的发件人大概率是不同的。

综上所述,是否启用DMARC,以及采用什么样的策略,取决于企业和组织的实际情况。

参考来源:DMARC工作原理及配置示例|MailABC邮件知识百科

小胡子大魔王
关注
  • 31
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mail-dmarc:Mail :: DMARC,Perl中的完整DMARC实现
02-05
mail-dmarc:Mail :: DMARC,Perl中的完整DMARC实现
DMARC 介绍
weixin_30342209的博客
05-30 650
DMARC 是什么? DMARC 是 “Domain-based Message Authentication, Reporting & Conformance” 的缩写。它用来检查一封电邮是否来自所声称的发送者。DMARC 建立在广泛使用的 SPF 和 DKIM 协议上, 并且添加了域名对齐检查和报告发送功能。这样可以改善域名免受钓鱼攻击的保护。 这是来自 dmarc.org 的示意...
DMARC 入门指南
ZL_1618的博客
08-14 843
DMARC 记录是发布在 DNS 中的 TXT 资源记录,它指定邮箱服务应该如何处理 DMARC 验证失败的邮件。v=DMARC1;p=reject;pct=100;在这个例子里,发送者要求邮箱服务拒绝所有验证失败的邮件,并且发送聚合格式的报告到指定的地址。如果发送者正在测试电子邮件配置的话,他们可以把 “reject”换成 “quarantine”,这样就要求邮箱服务隔离验证失败的邮件,而不是完全拒绝。DMARC 记录采用了灵活的 “标签-值” 的语法,和 DKIM记录类似。v=DMARC1;
什么是 DNS DMARC 记录?
Hello
10-11 710
DMARC电子邮件安全的一个重要部分。DMARC 政策存储在 DNS TXT 记录中。
邮件服务器安全SPF、DKIM、DMARC
王教主的博客
11-10 3177
SPF SPF是指Sender Policy Framework,是为了防范垃圾邮件而提出来的一种DNS记录类型,SPF是一种TXT类型的记录。 SPF记录的本质,是向收件人宣告:本域名的邮件从清单上所列IP发出的都是合法邮件。 下面例子中,tencent.com宣告:spf.mail.tencent.com 、spf.mail.qq.com 是合法的,其他不合法。 DKIM DKIM 技术通过在每封电子邮件上增加加密标志,收件服务通过非对称加密算法解密并比较加密的hash,判断邮件伪造。 DKIM 的基
SPF/DKIM/DMARC简单总结
weixin_53801131的博客
08-03 830
定义:Sender Policy Framework,即发件人策略框架,一种以IP地址认证电子邮件发件人身份的技术。接收邮件方会首先检查域名的SPF记录,来确定发件人的IP地址是否被包含在SPF记录里面,如果在,就认为是一封正确的邮件,否则会认为是一封伪造的邮件进行下一步处理。定义:Domain Keys Identified Mail,即域密钥识别邮件。发送方会在电子邮件的标头插入及电子签名信息,而接收方则透过DNS查询得到公开密钥后进行验证。
DMARC 简介
GitChat
11-04 710
DMARC 是实现电子邮件认证的标准。本文介绍如何实现 DMARC
spf、dkim、dmarc介绍与邮件伪造研究
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
08-18 1万+
文章目录spf、dkim、dmarc介绍SPFDKIMDMARC测试工具Swaks spf、dkim、dmarc介绍 SPF SPF(Sender Policy Framework)发件人策略框架 SPF 是为了防范伪造发件人地址发送垃圾邮件而提出的一种开放式标准,是一种以 IP 地址认证电子邮件发件人身份的技术。域名所有者通过在 DNS 中发布 SPF 记录来授权合法使用该域名发送邮件的 IP 地址。 当在 DNS 中定义了域名的 SPF 记录后,为了确认邮件声称发件人不是伪造的,邮件接收方首先检查邮件
DMARC 记录
最新发布
mengdongxiaobai2的博客
11-14 378
DMARC 记录是域所有者在 DNS 中设置的记录,用于指示接收电子邮件邮件服务器如何处理与该域相关的 SPF 和 DKIM 验证失败的情况。DMARC 通过在邮件头中包含一个特殊的 DMARC 报告地址,向域所有者提供有关与其域相关的电子邮件验证失败的信息。这有助于域所有者更好地了解其域的邮件流量,并采取适当的措施来减少电子邮件欺诈和钓鱼攻击。这个例子中,p=reject 表示拒绝未通过验证的电子邮件,rua 和 ruf 分别指定了聚合报告和详细报告的接收地址。
关于DMARC协议
weixin_34211761的博客
08-14 560
据统计,全球范围内被投递的钓鱼邮件每天约达到1亿封,经常会遇到一些邮件发送方,被spammer利用于伪造各种钓鱼/诈骗邮件,如:伪造银行、保险等金融企业,支付宝、Paypal等支付商,知名网站、政府网站等发送钓鱼邮件、诈骗邮件,威胁着用户的信息和财产安全DMARC协议会更好的降低他们的域名被伪造的可能性。MDaemon企业邮箱从14.x版本开始支持先进反垃圾协议DM...
DMARC电子邮件安全协议设置指南
lavin1614
02-03 1189
据统计,全球范围内被投递的钓鱼邮件每天约达到1亿封,无孔不入的钓鱼邮件、诈骗邮件,威胁着用户的信息和财产安全。原始的SMTP没有要求验证发件人的合法性,各路坏人利用了此纰漏制造出来大量钓鱼邮件和诈骗邮件等涉及到安全性的垃圾邮件,这类垃圾邮件的最大企图就是从收件人手动诱骗到一些有价值的信息(个人密码,银行卡密码,信用卡资料等等), 如果不明真相的群众不知道这是一封钓鱼邮件,则非常容易上当受骗。
干货丨手把手教会群晖Mailplus设置及邮件免拒收(SPF、DMARC、DKIM)
第一天
05-11 8466
打开套件中心,先安装 MailPlus Server 和 MailPlus 这两个套件,前者是服务端,后者是客户端。发送端设置:进入MailPlus客户端,选择”设置“ –> “SMTP” –> “新增”,添加一个自定义邮箱名称。先到“账号”选项卡中,开启使用权限,这里注意,每台NAS可以免费开启5个用户使用Mailplus,想。许可证分5用户和20用户两种,购买一个5用户的许可证,加上机器自带5个免费许可证,即可让。配置完成后,进入邮件服务器的状态界面,可以看到邮件的入站/出站统计。
电子邮件欺诈防护之 SPF+DKIM+DMARC
热门推荐
javagty6778的博客
03-19 1万+
PoC:php?后面检查了一下,发现确实是这样子,我们的电子邮件没有加上对应的安全检查,很容易被别人冒发,从而有可能对我们的用户造成严重的电子邮件欺诈。通过 SPF + DKIM + DMARC, 我们的站点可以很好的解决电子邮件欺诈的问题了。
腾讯企业 html邮件模板,腾讯企业邮箱DMARC设置指南(TXT记录)
weixin_34811804的博客
06-04 1304
腾讯企业邮箱DMARC设置指南(TXT记录)DMARC(Domain-based Message Authentication, Reporting & Conformance)是一种基于现有的SPF和DKIM协议的可扩展电子邮件认证协议,邮件收发双方建立了邮件反馈机制,便于邮件发送方和邮件接收方共同对域名的管理进行完善和监督。对于未通过前述检查的邮件,接收方则按照发送方指定的策略进行处理...
邮件的三大协议(SPF、DKIM、DMARC
weixin_44257023的博客
07-01 1472
SPF是 Sender Policy Framework 的缩写,一种以IP地址认证电子邮件发件人身份的技术。 接收邮件方会首先检查域名的SPF记录,来确定发件人的IP地址是否被包含在SPF记录里面,如果在,就认为是一封正确的邮件,否则会认为是一封伪造的邮件进行退回 例如: 当邮件服务器收到自称发件人是spam@gmail.com的邮件,那么到底它是不是真的gmail.com的邮件服务器发过来的呢,我们可以查询gmail.com的SPF记录,以此防止别人伪造你来发邮件 详情可参考:http://www.re
添加DMARC记录
yetugeng的专栏
11-12 8662
一、DMARC(Domain-based Message Authentication, Reporting & Conformance) DMARC是一种基于现有的SPF和DKIM协议的可扩展电子邮件认证协议,在邮件收发双方建立了邮件反馈机制,便于邮件发送方和邮件接收方共同对域名的管理进行完善和监督。 DMARC要求域名所有者在DNS记录中设置SPF记录和DKIM记录,并明确声明对验...
添加域名并配置SPF、MX、DKIM、DMARC记录
weixin_43078114的博客
06-28 6054
背景 使用第三方邮件发送平台发送邮件,新建域名时要求配置SPF、MX、DKIM、DMARC记录。第一次听说这几个记录,在配置上走了一些弯路,网上这方面的资料很少,特意记录一下,梳理一下整个配置的过程,也方便大家少走一些弯路。 1.概念 SPF:为了防范垃圾邮件而提出来的一种 DNS 记录类型, 用于登记某个域名拥有的外发邮件的所有 IP 地址 MX:邮件交换记录, 它指向一个邮件服务器, ...
dmarc.POLICY
05-29
DMARC 中的 "dmarc.POLICY" 不是一个合法的 DMARC 验证返回值,因为 DMARC 验证的返回值只有以下三种情况: 1. "dmarc.PASS":表示邮件通过了 DMARC 验证,来自经过验证的发件人域。 2. "dmarc.FAIL":表示邮件未通过 DMARC 验证,来自未经验证的发件人域,可能是垃圾邮件。 3. "dmarc.NEUTRAL":表示 DMARC 验证结果无法确定,通常是因为发件人域的 DMARC 策略设置为 "p=none"。 "DMARC.POLICY" 可能是指 DMARC 中的 "p" 参数,即 DMARC 策略,用于指定邮件服务提供商在无法进行 DMARC 验证时采取的策略。"p" 参数的取值可以是 "none"、"quarantine" 或 "reject",分别表示只监测邮件、将邮件标记为垃圾邮件或拒绝邮件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值