本文主要介紹什麼是DMARC,以及如何設定DMARC記錄。
一、DMARC
DMARC是(Domain-based Message Authentication, Reporting & Conformance)的縮寫,設定DMARC記錄,防止他人偽造貴司網域名稱,還可以擷取到他人嘗試偽造貴司網域名稱的情況。
當收信方(其MTA需支援DMARC協議)收到貴司發送過來的郵件時,會進行DMARC校正,若校正失敗會發送一封report到DMARC記錄值中設定的郵箱帳號裡。
二、如何設定
1、在設定DMARC記錄之前,貴司必須保證已經設定如下SPF記錄(什麼是SPF解析?如何添加和查詢?):v=spf1 include:spf.sg.aliyun.com -all。
2、當設定了SPF記錄後,推薦設定如下DMARC記錄:
操作解析的網域名稱 | 解析記錄類型 | 優先順序 | 解析記錄值 |
_dmarc | TXT | - | v=DMARC1; p=quarantine; rua=mailto:a***@example.net; ruf=mailto:a***@example.net |
解析記錄值中的“a***@example.net”建議填寫一個正常收發信的同組織郵箱地址(可以為子網域名稱郵箱),若填寫非同組織郵箱地址根據收信方策略的不同可能無法收到dmarc報告。
如果您的網域名稱不在阿里雲購買的,具體添加方法建議諮詢網域名稱所在服務商。
添加方法:
如下以阿里雲解析DNS為例:
1、登入阿里雲解析DNS,在列表中選擇需要解析的網域名稱。單擊“解析設定”,進入解析設定介面。
2、在解析設定介面,單擊“添加記錄”,填寫完成點擊“確認”。
樣本:
記錄類型:TXT
主機記錄:_dmarc
下圖為添加DMARC記錄樣本:
三、關於退信攻擊郵件
收到大量退信郵件或自動回複郵件,原因可能是壞人仿冒你的網域名稱發信,導致退信郵件都退到你的郵箱。
建議採取以下措施:
1、檢查SPF解析是否配置正確。
2、建議配置DMARC解析,並設定記錄值的p參數為quarantine,觀察返回的DMARC報告,若確認為有人偽造發信,再將p參數設定為reject。
3、報告郵件會較多,建議使用同組織的專用郵箱接收DMARC報告。
參數說明:
p=none:允許存取所有來自您網域名稱的郵件,即使郵件未通過DMARC驗證。
樣本:
v=DMARC1;p=none;rua=mailto:a***@example.net;ruf=mailto:a***@example.netp=quarantine:隔離一部分郵件,通常為放入垃圾箱。配合pct參數(預設為100),設定未通過DMARC驗證的郵件中隔離的百分比。
樣本:
v=DMARC1;p=quarantine;pct=15;rua=mailto:a***@example.net;ruf=mailto:a***@example.netp=reject:執行嚴格拒絕,拒絕所有未通過身分識別驗證的郵件。
樣本:
v=DMARC1;p=reject;rua=mailto:a***@example.net;ruf=mailto:a***@example.netrua:用於接收收信服務商的匯總報告。
ruf:用於接收收信服務商拒信的詳細資料。
代發情境:郵件真實發信地址mailfrom和顯示地址from不一致的情況。
顯示發信地址from的網域名稱配置了DMARC為reject,表示不允許被代發。
此時若收信方嚴格校正DMARC,該情境郵件容易被收信方拒信。