身份验证策略(DMARC)

DMARC(Domain-based Message Authentication, Reporting & Conformance)是一种基于现有的SPF和DKIM协议的可扩展电子邮件认证协议,在邮件收发双方建立了邮件反馈机制,便于邮件发送方和邮件接收方共同对域名的管理进行完善和监督。

DMARC要求域名所有者在DNS记录中设置SPF记录和DKIM记录,并明确声明对验证失败邮件的处理策略。邮件接收方接收邮件时,首先通过DNS获取DMARC记录,再对邮件来源进行SPF验证和DKIM验证,对验证失败的邮件根据DMARC记录进行处理,并将处理结果反馈给发送方。

DMARC的工作原理  #

当您实施 DMARC 时,您可以指示接收服务器在收到来自您的域的未经身份验证的电子邮件时执行三个操作。

不采取行动您可以设计一个策略并将其设置为“p=none”。当接收服务器识别出未经身份验证的电子邮件时,它将接受它而不采取任何行动。

隔离电子邮件
您可以设计一个策略并将其设置为“p=quarantine”。当接收服务器识别到未经身份验证的电子邮件时,它将接受该电子邮件并将其存储在服务器上的隔离文件夹中。只有服务器的管理员才能查看这些电子邮件。

拒绝电子邮件
您可以设计一个策略并将其设置为“p=reject”。该策略将指示接收服务器拒绝未经身份验证的电子邮件。您可以通过分析 DMARC 失败报告了解有关被拒绝的电子邮件的更多信息。

DMARC的发布实施  #

DMARC 依赖于其他两种电子邮件身份验证技术,SPF 和 DKIM。对于要通过 DMARC 验证的电子邮件,它必须通过 SPF 身份验证和对齐验证或 DKIM 身份验证和对齐验证。

第1步:您需要发布 DMARC 策略,向邮箱提供商的接收服务器提供有关处理违反该策略的电子邮件的说明。记录可能需要 24 小时才能得到反映。 

第2步:您需要通过实施 SPF 和 DKIM 来验证您的发件人域。如果您在未实施 SPF 和 DKIM 的情况下发送电子邮件,您的电子邮件可能会被退回。 实现 SPF 和 DKIM 后,当您发送电子邮件时,邮箱提供商的接收服务器将使用 DNS 来识别与发件人域对应的 DMARC 记录。 接收服务器将执行以下操作:

  1. ‌验证 DKIM 密钥。
  2. 验证电子邮件是否从 SPF 记录中列出的 IP 地址发送。
  3. 验证电子邮件中的标头是否显示正确的域对齐。

第3步:‌接收服务器将应用 DMARC 策略并执行策略中定义的指令。

第4步:‌接收服务器将向 DMARC 记录中列出的报告电子邮件地址发送有关其如何处理电子邮件的报告。