Page Shape Page Shape Page Shape Page Shape Page Shape

了解 SPF、DKIM 和 DMARC:完整指南

2024-10-03 06:38:17 - 501 阅读

SPF、DKIM 和 DMARC 是重要的电子邮件验证协议,旨在保护您的域名并提高电子邮件的可送达性。这是一种常见的网络犯罪,恶意行为者假冒合法发件人,诱骗收件人点击恶意链接或打开附件。

  • 发件人策略框架 (SPF):验证发件人的 IP 地址,确保其有权代表你的域名发送电子邮件。
  • 域名密钥识别邮件 (DKIM):为电子邮件添加数字签名,验证发件人身份,防止邮件被篡改。
  • 基于网域的邮件验证、报告和一致性(DMARC):为执行 SPF 和 DKIM 检查以及生成电子邮件验证结果报告提供策略框架。

让我们深入了解 SPF、DKIM 和 DMARC - 电子邮件身份验证的基本要素。

了解电子邮件验证

电子邮件验证是验证电子邮件来源合法性的过程。这是企业为确保只有合法发件人才能代表其域名发送电子邮件而采取的一项基本安全措施。SPF、DKIM 和 DMARC 通过验证发送源和电子邮件内容以及定义如何对验证失败的邮件做出响应,构成了电子邮件验证的支柱。

电子邮件欺骗的威胁与日俱增

电子邮件欺骗是恶意伪造域名和电子邮件地址的过程。攻击者冒充合法企业发送欺骗性电子邮件,欺骗毫无戒心的受害者。Verizon 的 DBIR 报告表明,94% 的网络攻击都是从电子邮件开始的!这进一步凸显了欺骗威胁的日益增长及其多发性。 

电子邮件身份验证为何重要

电子邮件验证是防范电子邮件欺骗的第一道防线。通过验证发送源的合法性,身份验证可以防止伪造电子邮件的发送。据客户报告,在实施电子邮件验证协议后,来自自己域名的欺骗尝试减少了 90% 以上。 

什么是SPF、DKIM和DMARC?

SPF、DKIM 和 DMARC 是电子邮件验证协议。它们共同 SPF、DMARC 和 DKIM可防止未经授权的来源使用您的域名向您的潜在客户、客户、员工、第三方供应商、利益相关者等发送欺诈性电子邮件。SPF 和 DKIM 有助于证明电子邮件的合法性,而 DMARC 则指示接收方的电子邮件服务器如何处理未通过 验证检查。

SPF、DKIM 和 DMARC 的作用

电子邮件身份验证对于保护您的品牌免受利用网络钓鱼和假冒技术进行的基于电子邮件的网络攻击非常重要。电子邮件身份验证主要依赖 SPF、DKIM 和 DMARC 协议,以及MTA-STS、BIMI 和 ARC 等附加协议,它们可以进一步增强您的安全性!以下是您需要实施这些协议的原因:

  • 他们确保你的域名不能被伪造和误用。
  • 他们帮助你防止以你的企业名义策划和尝试的网络钓鱼、垃圾邮件、勒索软件攻击等。
  • 它们能提高域名的电子邮件送达率。糟糕的电子邮件送达率会影响内部沟通、市场营销和公关活动、 客户保留率等。

在哪里可以找到 SPF、DKIM 和 DMARC 记录?

SPF、DKIM 和 DMARC 记录存储在域名系统或 DNS 中。DNS 通常被称为互联网电话簿,将域名转换为相应的 IP 地址。DNS 用作数据库,以 DNS 记录的形式存储域名信息。 

SPF、DKIM 和 DMARC 作为 DNS 记录存在,您可以在 DNS 中发布和存储这些记录。在电子邮件验证检查过程中,接收 MTA 会查询您的 DNS 以查找这些记录,并根据其中定义的指令或信息采取行动。  

如何设置SPF、DKIM和DMARC?

请按照以下说明设置 SPF、DKIM 和 DMARC,以保护您的域名和电子邮件。

  1. 创建 SPF DNS 记录。
  2. 创建 DKIM 公钥
  3. 创建您的 DMARC 策略记录并启用 DMARC 报告
  4. 设置专用邮箱接收 DMARC 报告,或使用DMARC 报告分析平台。
  5. 在 DNS 中发布 SPF、DKIM 和 DMARC 记录

SPF:验证电子邮件发送人

发件人策略框架 或 SPF 是一种电子邮件验证协议,域名所有者在此协议中列出允许使用其域名发送电子邮件的所有服务器。具体方法是创建 TXT SPF 记录在 DNS 上发布。如果发送 IP 不在列表中,则验证失败,电子邮件可能被标记为垃圾邮件或可疑邮件。不过,SPF 有一些限制;当邮件被转发或超过 10 次 DNS 查询限制时,SPF 就会失效。

如果您已经有 SPF 记录,可以使用我们的 SPF 记录检查器确保无误。

设置 SPF 

  1. 识别所有电子邮件发送源(包括第三方供应商)。
  2. 使用免费的 SPF 生成器工具创建 SPF 记录。该记录应授权您的所有发送源。
  3. 复制记录语法。
  4. 登录到你的DNS管理控制台。
  5. 将记录粘贴到 "TXT "资源类型下的 DNS 记录部分。

等待几个小时,更改就会执行。完成后,您可以使用我们的 SPF 记录查询工具确保记录无误。

SPF 的常见挑战

域名所有者在实施 SPF 时面临一些常见挑战。它们如下: 

  • 超过 10 次 DNS 查询限制会中断 SPF
  • 超过 2 次无效查找限制会破坏 SPF
  • SPF 记录的长度限制为 255 个字符 
  • SPF 转发邮件失败 

要解决这些错误,应使用 宏优化 SPF 记录,使其保持在规定的限制范围内。将 SPF 与 DKIM 和 DMARC 结合使用还能确保更顺畅的验证和交付。

DKIM:保护您的电子邮件内容

域名密钥识别邮件或 DKIM 可让域名所有者自动签署从其域名发送的电子邮件。DKIM 的工作原理类似于在银行支票上签名以验证其真实性。DKIM 签名可确保您的电子邮件内容在发送过程中保持安全和不变。

其方法是在 DKIM DNS 记录中存储公钥。 接收邮件的服务器可以访问该记录来获取公开密钥。另一方面,发件人会秘密存储一个私人密钥,并用它在邮件头签名。接收邮件服务器将发件人的私人密钥与容易获取的公开密钥进行比较,从而验证发件人的私人密钥。

设置 DKIM 

  1. 您可以使用 PowerDMARC 的免费 DKIM 记录生成器.
  2. 在工具箱中输入您的域名,然后点击 生成 DKIM 记录 按钮。
  3. 您将获得一对私人和公共 DKIM 密钥。 
  4. 在域名的 DNS 上公布公钥。
  5. 配置邮件服务器,使用 DKIM 私钥签署所有外发邮件的标题。此签名过程会为每封邮件添加一个 DKIM 签名,收件人的邮件服务器将使用你的 DNS 中发布的相应 DKIM 公钥验证该签名。请确保妥善保管您的私人密钥,不要公开或泄露它。 

最后,使用 DKIM 查找工具验证您的 DKIM 公钥,以确保其正确无误。

DKIM 的优点

DKIM 在电子邮件验证方面有多种优势。以下是其中一些:

  • 在大多数情况下,DKIM 都能正确验证转发的邮件。 
  • DKIM 可防止网络攻击者篡改电子邮件内容。
  • DKIM 允许每个域独立管理自己的公私密钥对,让企业对电子邮件安全有更细化的控制。

DMARC:防止电子邮件网络钓鱼和欺骗

基于域的消息验证、报告和一致性或 DMARC 指示接收方服务器如何处理 SPF、DKIM 或两者都不合格的电子邮件。接收方采取的行动取决于发件人配置的 DMARC 策略--无、隔离或拒绝。

DMARC 策略设置在 记录记录中设置 DMARC 策略,该记录还存储了向域管理员发送报告的指令,报告内容涉及所有通过或未通过验证检查的电子邮件。如果您已经实施了 DMARC 策略,请使用我们免费的 DMARC 记录查询工具来验证它是否正确。

设置 DMARC

  1. 您可以使用免费的 DMARC 生成器.
  2. 选择 DMARC 策略(如 p=隔离),并通过在 "rua "标记中定义电子邮件地址启用 DMARC 报告(如 rua=mailto:rua@domain.com)。
  3. 点击 生成。
  4. 将 TXT 记录复制到剪贴板,然后粘贴到 DNS 上以激活协议。

使用 DMARC 检查器来验证您的配置。

DMARC记录生成器

DMARC 执行政策和行动

域名所有者可以配置 3 种 DMARC 策略,以便对未经验证的电子邮件采取行动。具体如下: 

  1. 无:用 p=none 表示,"无 "策略是一种不采取任何行动的策略,它在发送未经验证的邮件时不会对其采取任何行动。它最适合初学者使用。
  2. 隔离:用 p=quarantine 表示,隔离策略是一种强制执行的 DMARC 策略,用于隔离未经验证的电子邮件。
  3. 拒绝:以 p=reject 表示,拒绝策略是 DMARC 的最大执行策略,用于拒绝未经验证的报文。

您的 DMARC 策略行动在防止电子邮件威胁方面发挥着重要作用。有了强制执行的策略,域名所有者就能更好地防范欺骗和网络钓鱼攻击。

高级电子邮件验证技术

电子邮件验证不仅限于 SPF、DKIM 和 DMARC。为了进一步提高域名和电子邮件的安全性,您可以采用高级身份验证技术。下面我们就来讨论其中的一些: 

MTA-STS、BIMI 和 ARC

用于身份验证的 MTA-STS 协议可确保以 TLS 加密方式向收件箱发送电子邮件。它通过在通信电子邮件服务器之间协商加密 SMTP 连接,防止中间人攻击和 DNS 欺骗。 

BIMI,即 "信息识别品牌标识",可帮助公司将其品牌标识附加到电子邮件中。它起到了视觉验证和认证的作用,提高了品牌记忆度和可信度。 

ARC(验证接收链)通过帮助保留原始 SPF 和 DKIM 验证头,在电子邮件转发过程中创建了一种后备机制。这可以防止转发邮件出现不必要的验证失败。 

何时采用这些技术?

一旦您对 SPF、DKIM 和DMARC 设置有了信心,就可以在电子邮件验证之旅的第二阶段实施这些技术。

这些高级设置是所有希望建立品牌信誉并进一步提高电子邮件声誉的组织的理想选择。它们有助于在基本身份验证设置的基础上提供额外的安全性,使您能够更好地应对复杂的网络攻击。 

实施和维护电子邮件身份验证设置

一旦您实施了 SPF、DKIM 和 DMARC 协议,现在就需要对其进行监控和维护,以确保一切运行正常。以下是一些维护身份验证设置的方法: 

使用监控工具

DMARC 监控工具是基于云的人工智能平台,可从单一界面即时、轻松地监控电子邮件验证实施情况。

分析 DMARC 报告

分析 DMARC 报告可以提供有关 SPF、DKIM 和 DMARC 验证结果以及域名发送源的大量信息。这有助于发现不一致之处并防止欺骗企图。 

定期更新和维护

定期检查 SPF、DKIM 和 DMARC 以及高级验证技术以确保其正常运行非常重要。SPF 可能需要定期更新以纳入新的发送源,DKIM 密钥需要经常轮换以提高安全性,DMARC 策略需要强制执行以防止网络攻击。如果没有更新或适当的维护,您的实施可能会失效。 

结束语

一旦为您的域名设置了 DKIM、SPF 和 DMARC,您就需要开始监控您的报告,以发现可疑活动。通过正确配置和管理这些协议,您可以大大提高域名的安全性和可送达性。 

请记住,这些身份验证协议可以降低网络钓鱼的风险,但并不能防范所有基于电子邮件的网络犯罪。因此,后续的员工教育和意识提高非常重要。

关于 SPF、DKIM 和 DMARC 的常见问题

 

如果未添加 SPF 和 DKIM,能否创建 DMARC? 

答案是否定的。要设置 DMARC,首先需要实施 SPF 或 DKIM。没有 SPF 或 DKIM,您的 DMARC 配置将无法运行。

 

DMARC 是否同时要求 SPF 和 DKIM? 

DMARC 不要求同时使用 SPF 和 DKIM。在设置 DMARC 之前,可以先设置这两个协议中的任何一个。不过,我们建议同时执行这两个协议,以增强安全性。

 

Gmail 使用 SPF 还是 DKIM?

是的。Gmail 更新的发件人指南要求所有发件人实施 SPF 或 DKIM,以便成功向 Gmail 收件箱发送电子邮件。

 

一个域名可以有两个DKIM记录吗?

一个域可以有 2 个或更多不同选择器的 DKIM 记录,这样接收服务器就能在验证过程中轻松找到正确的 DKIM 记录。

最新博客