一、启用 DMARC 的优势
启用 DMARC(基于网域的消息验证报告和一致性)后,就可以设置一系列验证检查标记,以确定电子邮件是否来自声称的来源。DMARC 在策略和对齐模式方面提供了极大的灵活性,域所有者可以对其进行配置,以达到他们想要的安全级别。
二、标识符对齐确认
标识符对齐确认附加到电子邮件各部分的域名正确对齐,表明电子邮件是合法的,不可能是网络钓鱼或欺骗企图的一部分。DMARC 对齐是在验证检查过程中对电子邮件标头各部分下的域进行对齐(或匹配)的过程。
三、DMARC 对齐的过程
如果邮件通过了 SPF 和 DKIM 标识符对齐,DMARC 就会对邮件进行对齐。确保您的电子邮件是合法的,并可防范一系列电子邮件欺诈攻击,包括网络钓鱼、欺骗、勒索软件等。DMARC 验证协议检查 DMARC 标识符是否一致,以确定电子邮件域是否可能被欺骗。
四、理解 DMARC 对齐
当您实施 DMARC 时,您会将 SPF 和 DKIM 的结果结合起来,以验证来自您的域的所有电子邮件。对于任何给定的电子邮件,DMARC 都会使用所谓的 "中心身份",即在 From 头中找到的域。这被视为电子邮件的来源域,其中会包含贵组织的域名。
五、DMARC 对齐的条件
当来自您域名的电子邮件到达接收服务器时、检查其返回路径,DKIM 验证加密签名。这两项检查分别在两个不同的域上进行。DMARC 获取每个域的验证结果,并检查 SPF 或 DKIM 中使用的域是否与发件人域(中心身份)相匹配。如果两者之一为真,则实现了 DMARC 对齐。
六、DMARC 对齐的问题
不过,有一个小问题。任何人,包括犯罪分子,都可以购买一个域名并实施 SPF 和 DKIM。因此,从理论上讲,任何人都有可能在发送电子邮件时,在发件人地址(中心身份)中包含贵组织的域名,并让自己域名的 "返回路径 "通过 SPF 验证。
七、验证标识符对齐
您的验证标识符对齐标志着您的电子邮件发件人是否被授权代表您的网域发送电子邮件。这可以通过根据 SPF(发件人策略框架)或 DKIM(域名密钥识别邮件)检查邮件的真实性来确定。
八、达到 100% DMARC 合规性
在 PowerDMARC,我们更进一步,将您的邮件与 SPF 和 DKIM 标识符进行比对,帮助您的邮件在 p=reject 策略下达到 100% DMARC 合规性。这将帮助您见证电子邮件可送达性的明显改善,并在我们专业技术支持团队的充分监控和协助下,在短短几周内观察到垃圾邮件和跳出率的显著差异。
九、调整第三方供应商
PowerDMARC 可帮助您正确、准确地调整所有第三方供应商,并在添加更多服务和供应商时轻松修改和更新门户网站上的记录,以确保您的合法电子邮件有最大可能送达客户。
十、解决电子邮件转发问题
PowerDMARC 可帮助您配置 SPF、DKIM 和 ARC 以及 DMARC,以解决棘手的电子邮件转发问题,在这种情况下,中间服务器可能会对您的电子邮件进行修改,从而导致不必要的验证失败。
十一、直观的界面
PowerDMARC 的直观界面可帮助您轻松升级策略记录,使其达到最大执行力,从而确保您的域受到充分保护,免受电子邮件欺骗和网络钓鱼攻击。
十二、DMARC 标识符对齐的类型
DMARC 标识符对齐可分为两种类型,取决于您希望进行身份验证检查的严重程度和精确度。以下是这两种类型:
SPF 和 DKIM 对齐具体有两种:宽松和严格。如果这两种对齐方式都配置了宽松对齐方式,这基本上意味着您已经在整个 DMARC 实施中实施了宽松对齐方式。
十三、宽松和严格的 DMARC 统一模式
在宽松和严格的 DMARC 统一模式之间做出选择,取决于贵组织的电子邮件验证协议政策、对误报的容忍度以及总体安全目标。宽松模式具有更大的灵活性,而且不容易产生误报。
十四、严格模式的限制
严格模式执行更严格的对齐策略,确保 "发件人 "标头中的确切域与 SPF 和 DKIM 中指定的域相匹配。虽然这对欺骗和网络钓鱼提供了更强的保护,但如果您的电子邮件基础架构出于合法目的使用不同的子域,那么它的宽容度就会降低。
十五、实施严格对齐的要求
实施严格对齐可能需要仔细配置和监控,以避免阻止合法电子邮件。借助我们的工具。我们可以帮助您跟踪电子邮件发送源,检查对齐失败,并直接从我们的仪表板优化您的验证配置。
十六、验证 DMARC 对齐情况
要验证电子邮件的 DMARC 对齐情况,您可以在 PowerDMARC 门户网站上注册,并按照以下步骤操作:
如果 DKIM 或/和 SPF 标识符对齐通过,则电子邮件将通过 DMARC 对齐、
当电子邮件的 DKIM 和 SPF 标识符都不一致时,就会出现 DMARC 对齐失败。这种情况通常发生在邮件发件人头中的域与返回路径头中的域和 DKIM 签名头中的域都不匹配时。
十七、返回路径域
返回路径域也称为退回地址或信封发件人域,是接收未送达邮件或退回邮件的域。在电子邮件被退回或无法送达的情况下,隐藏的标题字段包含电子邮件被退回的信封发件人域。
十八、监控一致性
即使您作为域名所有者部署了第三方服务来路由您的电子邮件,也可以使用退回地址将电子邮件追溯到父域。这就清楚地区分了由坏人发送的邮件和真正出于善意的发件人。
DMARC 检查期间的 SPF 域 SPF 对齐由返回路径地址中的域决定。
十九、DKIM 签名域
DKIM 签名域是为您的邮件创建 DKIM 签名时使用的域名,即签名域。在 DMARC 检查过程中进行 DKIM 域对齐验证时,发件人会验证 DKIM 签名域是否与发件人域对齐。
二十、转发电子邮件服务器和电子邮件讨论列表
转发电子邮件服务器和电子邮件讨论列表会将 "header from "地址重写为转发服务器的地址,并在邮件正文和内容中加入新的元素,从而使 DMARC 对齐过程变得复杂。
二十一、监控一致性的方法
由于 "邮件发件人 "域身份与重写的退回地址和更改的邮件内容不匹配,这些会导致 SPF 对齐和 DKIM 对齐失败。
要监控一致性,您可以启用汇总报告和取证报告(故障报告),这将有助于您监控和实现一致性目标,并更快地解决交付能力问题。