本文目录
什么是 DMARC?
DMARC(基于域的消息认证、报告与一致性协议)是一种电子邮件认证协议,用于保护你的域名不被用于钓鱼和伪造攻击。它构建在 SPF 和 DKIM 之上,用于告诉接收方邮件服务器:当消息未通过认证检查时应如何处理。
DMARC 策略以 DNS TXT 记录的形式发布在 _dmarc.yourdomain.com 上,用于指示邮件接收方对未通过 SPF 和 DKIM 对齐的消息进行监控(none)、隔离(quarantine)或拒收(reject)。它还支持汇总报告和取证报告,便于域名所有者监控认证结果。
DMARC 的工作原理
当一封邮件到达时,接收方服务器会查询发件人域名的 DMARC 记录。它会评估该消息是否在正确对齐的前提下通过了 SPF 或 DKIM,然后应用 DMARC 记录中指定的策略。
- 策略模式——p=none(仅监控)、p=quarantine(标记为垃圾邮件)、p=reject(完全拦截)。先从 none 开始,在查看报告后再逐步收紧
- 对齐——DMARC 要求 From 头中的域名与 SPF 或 DKIM 所认证的域名相匹配(relaxed 允许子域名,strict 要求完全一致)
- 报告——rua= 指定汇总 XML 报告(每日概览)的发送地址,ruf= 指定针对单次失败的取证报告投递地址
免费试用 —— 无需注册
生成你的 DMARC 记录 →何时配置 DMARC
每个发送邮件的域名都应设置 DMARC 策略。即便是不发送邮件的域名,也能从 reject 策略中受益,以防被滥用。
- 防止邮件伪造——攻击者经常伪造合法域名的 From 地址来发送钓鱼邮件;DMARC 可阻止这些消息进入收件箱
- 提升送达率——各大服务商(Google、Microsoft、Yahoo)对批量发件人的 DMARC 要求日益严格;正确的 DMARC 能提高进入收件箱的比例
- 品牌保护——DMARC 报告会揭示谁在以你的域名名义发送邮件,帮助你识别未经授权的发件人,保护品牌声誉
常见问题
我应该从哪种 DMARC 策略开始?
先从 p=none 开始,在不影响邮件投递的情况下收集报告。分析汇总报告以识别所有合法发件人,确保它们能通过 SPF 和 DKIM,然后再逐步过渡到 p=quarantine,最终到 p=reject。这种分阶段的做法可以避免意外拦截合法邮件。
在设置 DMARC 之前,我需要先有 SPF 和 DKIM 吗?
需要。DMARC 依赖 SPF 和 DKIM 进行认证。只要消息在正确的域名对齐下通过了 SPF 或 DKIM 之一,即可通过 DMARC。如果二者一个都没有,你所有的邮件都会未通过 DMARC 检查。请先设置 SPF 和 DKIM,验证它们能正常工作,然后再添加 DMARC。
我该如何解读 DMARC 汇总报告?
DMARC 汇总报告是接收方服务器每日发送的 XML 文件。它们包含哪些 IP 以你的域名名义发送了邮件、消息是否通过 SPF/DKIM,以及应用了何种策略等数据。使用 DMARC 报告分析工具可将这些 XML 文件解析为易读的仪表盘,展示认证通过率和未经授权的发件人。