什么是DMARC?如何設(shè)置?
本文主要介紹什么是DMARC,以及如何設(shè)置DMARC記錄。
前置概念
閱讀本文前,您可能需要了解如下概念:什么是DNS?
一、DMARC
DMARC是(Domain-based Message Authentication, Reporting & Conformance)的縮寫,設(shè)置DMARC記錄,防止他人偽造貴司域名,還可以獲取到他人嘗試偽造貴司域名的情況。
當(dāng)收信方(其MTA需支持DMARC協(xié)議)收到貴司發(fā)送過來的郵件時(shí),會(huì)進(jìn)行DMARC校驗(yàn),若校驗(yàn)失敗會(huì)發(fā)送一封report到DMARC記錄值中設(shè)置的郵箱賬號(hào)里。
二、如何設(shè)置
1、在設(shè)置DMARC記錄之前,貴司必須保證已經(jīng)設(shè)置如下SPF記錄(什么是SPF解析?如何添加和查詢?):“v=spf1 include:spf.qiye.aliyun.com -all”。
2、當(dāng)設(shè)置了SPF記錄后,推薦設(shè)置如下DMARC記錄:
操作解析的域名 | 解析記錄類型 | 優(yōu)先級(jí) | 解析記錄值 |
_dmarc | TXT | - | v=DMARC1; p=quarantine; rua=mailto:a***@example.net; ruf=mailto:a***@example.net |
解析記錄值中的“a***@example.net”建議填寫一個(gè)正常收發(fā)信的同組織郵箱地址(可以為子域名郵箱),若填寫非同組織郵箱地址根據(jù)收信方策略的不同可能無法收到dmarc報(bào)告。
如果您的域名不是在阿里云購買的,具體添加方法建議咨詢對(duì)應(yīng)的域名解析服務(wù)商。
添加方法:
如下以阿里云解析DNS為例:
1、登錄阿里云解析DNS,在列表中選擇需要解析的域名。單擊“解析設(shè)置”,進(jìn)入解析設(shè)置界面。
2、在解析設(shè)置界面,單擊“添加記錄”,填寫完成點(diǎn)擊“確認(rèn)”。
示例:
記錄類型:TXT
主機(jī)記錄:_dmarc
下圖為添加DMARC記錄示例:
三、關(guān)于退信攻擊郵件
收到大量退信郵件或自動(dòng)回復(fù)郵件,原因可能是壞人仿冒你的域名發(fā)信,導(dǎo)致退信郵件都退到你的郵箱。
建議采取以下措施:
1、檢查SPF解析是否配置正確。
2、建議你配置DMARC解析,并設(shè)置記錄值的p參數(shù)為quarantine,觀察返回的DMARC報(bào)告,若確認(rèn)為有人偽造發(fā)信,再將p參數(shù)設(shè)置為reject。
3、報(bào)告郵件會(huì)較多,建議使用同組織的專用郵箱接收DMARC報(bào)告。
參數(shù)說明:
p=none:放行所有來自你域名的郵件,即使郵件未通過DMARC驗(yàn)證。
示例:
v=DMARC1;p=none;rua=mailto:a***@example.net;ruf=mailto:a***@example.netp=quarantine:隔離一部分郵件,通常為放入垃圾箱或從其他維度綜合判斷。配合pct參數(shù)(默認(rèn)為100),設(shè)置未通過DMARC驗(yàn)證的郵件中隔離的百分比。
示例:
v=DMARC1;p=quarantine;pct=15;rua=mailto:a***@example.net;ruf=mailto:a***@example.netp=reject:執(zhí)行嚴(yán)格拒絕,拒絕所有未通過身份驗(yàn)證的郵件。
示例:
v=DMARC1;p=reject;rua=mailto:a***@example.net;ruf=mailto:a***@example.netrua:推薦,用于接收收信服務(wù)商的匯總報(bào)告。
ruf:用于接收收信服務(wù)商拒信的詳細(xì)信息。
代發(fā)場景:郵件真實(shí)發(fā)信地址mailfrom和顯示地址from不一致的情況。
顯示發(fā)信地址from的域名配置了dmarc為reject,表示不允許被代發(fā)。
此時(shí)若收信方嚴(yán)格校驗(yàn)dmarc,該場景郵件容易被收信方拒信。