DMARC
DMARC 是什么?
DMARCRFC 7489 定义的邮件认证标准,域名所有者可发布策略告诉接收方如何处理 SPF/DKIM 失败或不对齐的邮件。
DMARC (Domain-based Message Authentication, Reporting and Conformance) 由 RFC 7489 定义,在 SPF (RFC 7208) 和 DKIM (RFC 6376) 之上,要求 From: 头域与 SPF 或 DKIM 认证域名之间存在标识符对齐。域名所有者在 _dmarc.example.com 发布 TXT 记录,声明策略 (p=none、quarantine、reject)、子域处理、对齐模式、百分比以及报告 URI (rua、ruf)。接收方会发送聚合报告 (RFC 7489) 和取证报告 (RFC 6591),运营方据此排查合法发送源,逐步过渡到 p=reject。DMARC 可有效阻止针对域名的直接伪造,是 BIMI 的前提条件,也被 Yahoo 与 Google 于 2024 年起在大量发送者规则中强制要求。
● 示例
- 01
发布 v=DMARC1; p=reject; rua=mailto:dmarc@example.com,对 example.com 强制启用严格认证。
- 02
通过聚合 XML 报告发现并完成被遗忘的营销平台认证,再从 p=none 切换到 p=reject。
● 常见问题
DMARC 是什么?
RFC 7489 定义的邮件认证标准,域名所有者可发布策略告诉接收方如何处理 SPF/DKIM 失败或不对齐的邮件。 它属于网络安全的 网络安全 分类。
DMARC 是什么意思?
RFC 7489 定义的邮件认证标准,域名所有者可发布策略告诉接收方如何处理 SPF/DKIM 失败或不对齐的邮件。
DMARC 是如何工作的?
DMARC (Domain-based Message Authentication, Reporting and Conformance) 由 RFC 7489 定义,在 SPF (RFC 7208) 和 DKIM (RFC 6376) 之上,要求 From: 头域与 SPF 或 DKIM 认证域名之间存在标识符对齐。域名所有者在 _dmarc.example.com 发布 TXT 记录,声明策略 (p=none、quarantine、reject)、子域处理、对齐模式、百分比以及报告 URI (rua、ruf)。接收方会发送聚合报告 (RFC 7489) 和取证报告 (RFC 6591),运营方据此排查合法发送源,逐步过渡到 p=reject。DMARC 可有效阻止针对域名的直接伪造,是 BIMI 的前提条件,也被 Yahoo 与 Google 于 2024 年起在大量发送者规则中强制要求。
如何防御 DMARC?
针对 DMARC 的防御通常结合技术控制与运营实践,详见上方完整定义。
DMARC 还有哪些其他名称?
常见的别称包括: 基于域的消息认证、报告与一致性。
● 相关术语
- network-security№ 1076
SPF(发件人策略框架)
RFC 7208 定义的邮件认证机制,允许域名所有者在 DNS 中公开授权使用其域名作为信封 MAIL FROM 的 IP 地址或主机。
- network-security№ 330
DKIM
RFC 6376 定义的邮件认证标准,发送方域名为外发邮件附加加密签名,以便接收方验证邮件头和正文未被篡改。
- network-security№ 095
BIMI
一项邮件标准,在支持的客户端中为通过认证的邮件展示经过验证的品牌徽标,前提是该域名启用 quarantine 或 reject 的 DMARC 策略。
- attacks№ 375
电子邮件欺骗
伪造邮件头使邮件看似来自可信发件人,通常用于钓鱼、欺诈或投递恶意软件。
- attacks№ 135
商业邮件诈骗
针对性诈骗:攻击者冒充或接管企业邮箱,诱使员工汇款、修改付款信息或发送敏感数据。
- network-security№ 984
安全邮件网关
位于网络边界或云端的服务,在邮件抵达用户邮箱前过滤入站和出站邮件中的垃圾邮件、钓鱼、恶意软件、数据泄漏和违规行为。
● 参见
- № 707MTA-STS
- № 058ARC(已认证接收链)
- № 452灰名单
- № 336DNS 黑名单 (DNSBL)