DMARC指引

作者：騰訊郵箱    發布時間：2024-11-30 10:52:02  訪問量：959  

DMARC指引

一、了解DMARC

(Domain-based Message Authentication, Reporting & Conformance)

DMARC是一種基于現有的SPF和DKIM協議的可擴展電子郵件認證協議，在郵件收發雙方建立了郵件反饋機制，便于郵件發送方和郵件接收方共同對域名的管理進行完善和監督。

DMARC要求域名所有者在DNS記錄中設置SPF記錄和DKIM記錄，并明確聲明對驗證失敗郵件的處理策略。郵件接收方接收郵件時，首先通過DNS獲取DMARC記錄，再對郵件來源進行SPF驗證和DKIM驗證，對驗證失敗的郵件根據DMARC記錄進行處理，并將處理結果反饋給發送方。

DMARC能夠有效識別并攔截欺詐郵件和釣魚郵件，保障用戶個人信息安全。

例子：paypal.com的dmarc記錄

_dmarc.paypal.com text = “v=DMARC1\; p=reject\; rua=mailto:d@rua.agari.com\; ruf=mailto:dk@bounce.paypal.com,mailto:d@ruf.agari.com”

二、DMARC記錄中常用參數

adkim：(純文本;可選的;默認為“r”)表明域名所有者要求使用嚴格的或者寬松的DKIM身份校驗模式，有效值如下：

r: relaxed mode

s: strict mode

aspf：(純文本;可選的;默認為“r”)表明域名所有者要求使用嚴格的或者寬松的SPF身份校驗模式，有效值如下：

r: relaxed mode

s: strict mode

fo：故障報告選項(純文本;可選的;默認為0)，以冒號分隔的列表，如果沒有指定“ruf”，那么該標簽的內容將被忽略。

0：如果所有身份驗證機制都不能產生“pass”結果，那么生成一份DMARC故障報告;

1：如果任一身份驗證機制產生“pass”以外的結果，那么生成一份DMARC故障報告;

d：如果消息的簽名驗證失敗，那么生成一份DKIM故障報告;

s：如果消息的SPF驗證失敗，那么生成一份SPF故障報告。

p：要求的郵件接收者策略(純文本;必要的)表明接收者根據域名所有者的要求制定的策略。

none：域名所有者要求不采取特定措施

quarantine：域名所有者希望郵件接收者將DMARC驗證失敗的郵件標記為可疑的。

reject：域名所有者希望郵件接收者將DMARC驗證失敗的郵件拒絕。

pct：(純文本0-100的整型;可選的，默認為100)域名所有者郵件流中應用DMARC策略的消息百分比。

rf：用于消息具體故障報告的格式(冒號分隔的純文本列表;可選的;默認為“afrf”)

ri：匯總報告之間要求的間隔(純文本32位無符號整型;可選的;默認為86400).表明要求接收者生成匯總報告的間隔不超過要求的秒數。

rua：發送綜合反饋的郵件地址(逗號分隔的DMARC URI純文本列表;可選的)

ruf：發送消息詳細故障信息的郵件地址(逗號分隔的DMARC URI純文本列表;可選的)

sp：要求郵件接收者對所有子域使用的策略(純文本;可選的)，若缺省，則“p”指定的策略將應用到該域名和子域中。

v：版本(純文本;必要的)值為“DMARC1”，必須作為第一個標簽。

三、格式定義

dmarc-uri = URI [ “!” 1*DIGIT [ “k” / “m” / “g” / “t” ] ]

例如：“mailto:reports@example.com!50m”表示要求通過郵件發送給“Example Domain”的報告的有效載荷不超過50MB。

dmarc-record = dmarc-version dmarc-sep

[dmarc-request]

[dmarc-sep dmarc-srequest]

[dmarc-sep dmarc-auri]

[dmarc-sep dmarc-furi]

[dmarc-sep dmarc-adkim]

[dmarc-sep dmarc-aspf]

[dmarc-sep dmarc-ainterval]

[dmarc-sep dmarc-fo]

[dmarc-sep dmarc-rfmt]

[dmarc-sep dmarc-percent]

[dmarc-sep]

dmarc-version = “v=DMARC1”

dmarc-sep = “;”

dmarc-request = “p=(none/quarantine/reject)”

dmarc-srequest = “sp=(none/quarantine/reject)”

dmarc-auri = “rua=dmarc-uri (,dmarc-uri)”

dmarc-furi = “ruf=dmarc-uri (,dmarc-uri)”

dmarc-adkim = “adkim=(r/s)”

dmarc-aspf = “aspf=(r/s)”

dmarc-ainterval = “ri= 1DIGIT”

dmarc-fo = “fo=(0/1/d/s)(:(0/1/d/s))”

dmarc-rfmt = “rf= Keyword (:Keyword)”

; 僅用于報告格式注冊

dmarc-percent = “pct=13DIGIT”

四、舉例說明

1、用dig命令查詢DMARC記錄

% dig +short TXT _dmarc.example.com.

“v=DMARC1; p=none; rua=mailto:dmarc-feedback@example.com;

ruf=mailto:auth-reports@example.com”

注意：DMARC DNS TXT記錄的擁有者字段必須始終為“_dmarc”，若指定該記錄應用到域或子域，可以采用“_dmarc.example.com”的形式。2、DMARC DNS記錄

; DMARC record for the domain example.com

_dmarc IN TXT ( “v=DMARC1; p=none; “

“rua=mailto:dmarc-feedback@example.com; “

“ruf=mailto:auth-reports@example.com” )參考文獻

1、DMARC RFC協議：http://tools.ietf.org/html/rfc7489

2、DMARC官方網站：https://dmarc.org/

掃碼加交流群，相互學習，一起解決工作中遇到的問題

聲明：本文由騰訊郵箱收集整理的《DMARC指引》，如轉載請保留鏈接:http://m.xiaoweiju.com/news_in/2540