DMARC 是什么?
DMARC 是 “Domain-based Message Authentication, Reporting & Conformance” 的縮寫。它用來檢查一封電郵是否來自所聲稱的發送者。DMARC 建立在廣泛使用的 SPF 和 DKIM 協議上, 並且添加了域名對齊檢查和報告發送功能。這樣可以改善域名免受釣魚攻擊的保護。
這是來自 dmarc.org 的示意圖:
為什么 DMARC 如此重要?
根據 dmarc.org 的說法:
隨着社交網絡和電子商務的繁榮,垃圾郵件發送者和釣魚攻擊發起者基於利益的原因,想要入侵用戶的賬戶,破解用戶的信用卡等。Email 的相對容易攻擊的特性備受罪犯們的青睞。只是簡單地把企業的 logo 嵌入到 email 中,就能獲取用戶的信任。用戶很難辨別一封假的 email,郵件提供商也很難判斷哪些郵件有可能會傷害用戶。郵件發送者基本上對郵件認證的問題一無所知,因為他們缺少合理的反饋機制。那些嘗試部署 SPF 和 DKIM 的企業的進展非常慢,因為沒有監督進度和除錯的機制。
DMARC 解決了這些問題。它幫助 email 發送者和接收者來共同保護 email,避免了昂貴的入侵損失。
DMARC 記錄是什么?
DMARC 記錄作為 TXT 資源記錄發布到 DNS 中。它指示當驗證失敗時,應當如何處理收到的 email。
考察以下的發布在域名 “sender.exampledomain.com” 上的 DMARC 記錄:
v=DMARC1;p=reject;pct=100;rua=mailto:postmaster@exampledomain.com
在這個例子中,發送者請求接收者完全拒絕驗證未通過的 email,並且發送相關報告至 postmaster@exampledomain.com。如果發送者是在測試配置的話,"reject" 有可能被替換成 "quarantine",意味着驗證未通過的 email將被隔離。DMARC 記錄使用可擴展的 “標簽-值” 語法。
DMARC 記錄標簽是什么?
這是一個典型的 DMARC 記錄:
v=DMARC1; p=none; ri=3600; rua=mailto:5b06a240321f1@ag.dmarcly.com; ruf=mailto:5b06a240321f1@fo.dmarcly.com; sp=none; adkim=s; aspf=s; fo=0:1:d:s;
它由多個標簽組成。這些標簽告訴郵件服務提供商應該如何發送 DMARC 報告。我們在下面逐一解釋這些標簽。
v 是 DMARC 協議版本。它的值必須是 DMARC1。
p 是策略。該策略將被應用到驗證失敗的郵件上。可以設置成 'none', 'quarantine', 或者 'reject'。'none' 用來收集 DMARC 報告。'quarantine' 用來隔離可疑郵件。'reject' 拒收可疑郵件。
ri 是以秒為單位的報告發送間隔。
rua 是一系列用來接受聚合報告的電郵。
ruf 是一系列用來接受失敗報告的電郵。
sp 是子域名策略。
adkim 制定 DKIM 的對齊策略。
aspf 制定 SPF 的對齊策略。
fo 是法庭選項。
rf 制定失敗報告的格式。
pct 對失敗郵件應用策略的百分比。
DMARC 策略是什么?
DMARC 策略是在 DMARC 記錄中制定的 p 標簽。它指示郵件服務提供商應該如何處理驗證失敗的郵件。
DMARC 策略可以取三個值中的一個:none (monitor), quarantine 和 reject。
– none: 郵件提供商對驗證失敗郵件不采取任何處理。這個模式用來收集 DMARC 報告。
– quarantine: 郵件提供商把驗證失敗郵件放到垃圾郵件文件夾。
– reject: 郵件提供商拒收驗證失敗郵件。
發布 DMARC 記錄
在發布之前,你需要創建一條 DMARC 記錄。接下來我們登陸 DMARCLY 后台 來創建一條 DMARC 記錄。
登錄成功后,點擊 DNS Records/DMARC Setup,頁面看起來像這樣:
生成的 DMARC 記錄出現在上面的圈選區域。
接下來,你需要把記錄發布到 DNS 中。以下是步驟:
登錄到你的 DNS 管理后台;
選擇需要發布 DMARC 記錄的域名;
創建一條 TXT 記錄:
Type: TXT Host: _dmarc TXT Value: (DMARC record generated above) TTL: 1 hour
如果你在 GoDaddy's DNS 管理后台發布的話,看起來是這樣的:
如果你是用其他的域名服務的話,界面應該類似。
保存更改。現在你已經在域名 yourdomain.com 上面成功發布 DMARC 記錄了。
本文翻譯自 DMARCLY 的 blog:Getting Started with DMARC,已經經過作者的授權。