了解DMARC:详细指南

DMARC是整体电子邮件安全策略的重要组成部分，而不仅仅是另一个网络安全缩写。

DMARC保护组织生成或由其他人代表组织生成的出站电子邮件。DMARC有许多引人注目的好处。我们将概述该技术，以及部署它并将其逐步应用到组织中的简单程度。

本指南不是关于保护您的用户免受入站电子邮件的侵害。相反，它是一个指南电子邮件安全协议保护你的出站邮件和你的域名。对于一封自称来自你的域名的“发件人”地址的电子邮件，你有什么洞察力或控制权?此外，这些消息被传递到哪里?它们是否注定要发送给你的客户、商业伙伴，甚至是你员工的个人电子邮件地址，试图欺骗他们?

事实是，冒充他人发送电子邮件非常简单(而且便宜)，这就是众所周知的“网络钓鱼”。美国联邦调查局(FBI)在其《互联网犯罪报告》(Internet Crime Report)中发现，电子邮件泄露位居2020年网络犯罪之首，这并非巧合。

“电子邮件泄露”类别不仅位居榜首，而且比后面六个类别的损失总和还要大。因此，当您的域名用于电子邮件时，您组织的网络安全策略包括监控和限制其使用的能力是至关重要的。

什么是DMARC?

基于域的消息验证、报告和一致性(DMARC)，是DNS中的一组指令，告诉全球的邮件处理程序如何监控声称来自您的域名的电子邮件并采取行动。

根据DMARC实现的阶段，您可以从简单地观察由您的域发送的电子邮件开始，然后根据发件人是否满足某些标准对电子邮件采取某些操作。此标准针对发件人策略框架(SPF)和域密钥识别邮件(DKIM)电子邮件安全协议。简单地说，DMARC将从您的授权来源发送的良好电子邮件与由于网络钓鱼攻击而发送的不良电子邮件分开。

需要明确的是，这并不是一个新概念。DKIM和SPF是十多年前推出的，为域名所有者提供了一种方式，允许其他组织代表他们发送电子邮件，也就是所谓的“源”。

然而，这些安全协议在一些方面存在不足。首先，组织对DKIM和SPF工作(或不工作)的频率和位置一无所知。这就是DMARC的报告方面发挥作用的地方，它为邮件处理程序建立了一个标准格式，以编译关于此活动的信息以及将报告发送到哪里。

第二个缺点是针对DKIM和SPF认证失败的问题。在DMARC出现之前，组织完全依赖于收件人的入站邮件网关来对未通过DKIM或SPF检查的电子邮件采取必要的操作。使用DMARC，域所有者在指示邮件处理程序执行特定操作方面拥有优先发言权。

DMARC的作者发现，一个组织对DKIM和SPF的有效性视而不见。他们还认识到，一个组织对没有通过身份验证的合法邮件是双盲的，或者可能没有通过身份验证的粗略电子邮件仍然会通过不知情的受害者。

2011年春季，PayPal、谷歌、微软和雅虎等顶级机构都在使用这种技术。聚在一起合作制定打击欺诈性电子邮件的策略。直到今天，这些同样普遍的力量支持并推荐DMARC以避免有害的电子邮件行为，如网络钓鱼和商业电子邮件妥协(BEC)。

DMARC协议最初是作为电子邮件安全系统，主要由金融行业的安全专家使用。从那时起，DMARC的采用增加了，并在互联网上变得更加广泛。除了对组织的客户、品牌和声誉的明显保护外，电子邮件营销人员还将DMARC视为提高电子邮件送达率的工具。DMARC目前正在等待互联网工程任务组(Internet Engineering Task Force)批准成为一个开放标准(IETF)。

什么是DMARC记录?

DMARC作为DNS TXT记录存在，由几个变量组成，其中只有一些变量是必需的，例如实现的阶段和DMARC报告要发送到哪里。在最基本的形式中，DMARC记录包含三个标签:值、实现状态(策略)和发送报告的电子邮件地址:

RUA或“聚合报告”是XML文档，其中包含关于声称源自特定域的电子邮件的统计信息。它们包含机器可读的数据，如身份验证结果和消息处置。

虽然值、策略和RUA地址是最小值，但DMARC策略支持8个额外的标记值。

可选的标签:

• rua:附加报告电子邮件地址。DMARC最多支持三个目标
• 革命联合阵线:提交失败报告的地址
• pct:百分比指定要过滤的邮件数量，取值范围为1 ~ 99。没有百分比值表示为100%。
• sp:Subdomain Policy表示子域的请求处理策略。例如，v=DMARC1;p=reject;sp=none将父域置于p=reject，但p=none将应用于任何子域。如果没有此值，则假定任何子域继承其父域策略。
• adkim = _:DKIM标识符对齐。它可以取值为放松的“r”或严格的“s”。在放松模式下，如果正在验证的DKIM记录属于域，并且消息是从email@news.example.com发送，则验证将通过。在严格模式下，只有当发送来自指定域中的地址时，检查才会通过。子域将无法通过DKIM验证。
• 毛孔= _:SPF标识对齐。它可以取值为放松的“r”或严格的“s”。relax模式下，如果被验证的SPF记录属于域，且消息从email@news.example.com发送，则验证通过。在严格模式下，只有当发送来自指定域中的地址时，检查才会通过。子域将无法通过验证。
• ruf@12345.easydmarc.us:失败报告“发送到”。从请求RUA聚合报告的同一个邮件处理程序，请求邮件处理程序立即发送未通过DKIM和/或SPF检查的发件人通知。重要的是要注意，这些报告是即时的(而不是每24小时一次)，并且包含私有数据:主题行、来自地址和收件人地址。由于数据是私有的，很少有邮件处理程序会遵从这个请求。
• fo = _:失败报告选项。如果DKIM和SPF不通过或对齐，' fo=0 '将发送报告。如果DKIM . ' fo=1 '发送报告或SPF不通过或对齐。' fo=d '只在DKIM没有通过或对齐时发送报告。' fo=s '仅在SPF未通过或对齐时发送报告

DMARC的3个核心优势

当实现DMARC时，域名所有者可以看到他们的域名在互联网上是如何被使用的，交付将得到改善，并消除网络钓鱼。让我们更详细地讨论这些好处。

可见性

当策略值为“p=none”时，DMARC处于观察阶段。它让你了解到你的域名是如何，何时何地在全球范围内被用于电子邮件。在这一阶段实施DMARC将披露深刻的信息，包括:

• 谁从你的域名发送?(包括合法及非法来源)
• 每个源发送多少封电子邮件?
• 从哪个IP地址和PTR记录发送?
• 哪些来源正在发送未经验证的电子邮件?
• 哪种认证方式被破坏(SPF、DKIM、DMARC)?

在这个阶段，您没有对电子邮件的可交付性采取任何行动。您只需深入了解谁在使用您的域，以及您需要在何处验证代表您发送的源。只有当报告验证您的源已经过身份验证时，您才应该进入DMARC的下一个阶段，它将保护您的域。

安全

一旦您确信已经为源建立了SPF和DKIM身份验证方法，DMARC策略就可以从“p=none”的观察状态转变为“p=隔离”。此策略状态指示接收电子邮件系统将未通过身份验证的邮件标记为垃圾邮件。

虽然这并不能从技术上保护您的域名免受网络钓鱼，但通过将邮件标记为垃圾邮件，收件人要么永远不会看到邮件，要么就会被警告其真实性降低。

处于“p=隔离”状态一段时间后，在确保不会影响任何有效电子邮件的同时，您可以利用“p=拒绝”策略。在此阶段，您将指示邮件处理程序直接拒绝此消息的接收和发送。收件人从来没有收到过电子邮件，因为它不是按照你的指示发送的。

产能

建立SPF和DKIM身份验证并将DMARC策略提升为“p=隔离”或“p=拒绝”具有固有的好处。除了对您的域名的明显保护之外，您还使全球各地的邮件处理人员的工作更容易一些。

如果每天大约有3000亿封电子邮件被发送出去，其中75%到85%是垃圾邮件或威胁邮件，那么通过允许他们丢弃垃圾邮件，电子邮件处理人员的工作就容易得多了。因此，在身份验证和邮件处理程序之间提升您的发送能力，高级DMARC策略状态将提高您组织的电子邮件交付率。

为什么需要DMARC ?

黑客总是在寻找新的方法，通过网络钓鱼，也称为渗透网络欺骗，有时会结合社会工程技术。当你把伪造电子邮件便宜且容易发送的事实与用户很难发现虚假电子邮件的事实结合起来时，你就拥有了黑客最喜欢的渗透组织的工具。

DMARC是通过防止恶意行为者在电子邮件中假冒您的域名来保护您的域名和品牌的重要步骤。它还可以提高你的寄件人声誉分数，从而对发货率产生积极影响。DMARC增加了发送者的域在“头来自”中准确表示的信心。

采用DMARC促进了处理未经身份验证的电子邮件的行业标准，从而保护所有电子邮件用户免受恶意电子邮件的欺骗。

域名密钥识别邮件

域名密钥识别邮件(DKIM)是一种技术标准，可帮助电子邮件发送者和接收者避免垃圾邮件、欺骗和网络钓鱼。这是一种电子邮件身份验证，允许组织以收件人可以验证的方式声明消息的所有权。它采用了一种叫做公钥密码术确保电子邮件是从授权的邮件服务器发送的，以检测伪造和防止发送有害的电子邮件，如垃圾邮件。

此电子邮件安全标准确保邮件在发送服务器和接收服务器之间的传输过程中不会被更改。当电子邮件离开发送服务器时，它使用公钥加密技术用私钥对其进行签名。然后，接收服务器使用颁发给域DNS的公钥验证消息的来源，并确认消息正文在传输过程中没有更改。消息通过DKIM，如果接收服务器用公钥验证签名，则认为该消息有效。它通过在电子邮件的标题中添加数字签名来操作。一般情况下，程序如下:

在域的总体DNS记录中，域所有者将加密公钥作为特殊格式的TXT记录发布。当出站邮件服务器发送消息时，它会生成一个惟一的DKIM签名头，并将其附加到消息中。该标头(或标头的一部分)中包括两个加密散列，一个指定的标头和一个消息体。签名的头部提供了关于如何创建签名的信息。

当入站邮件服务器收到电子邮件时，它会咨询DNS以查找发件人的公共DKIM密钥。入站服务器使用此密钥解密签名，并将其与新计算的版本进行比较。如果两个值匹配，则可以证明消息是有效的，并且在传输过程中没有变化。

DKIM和DMARC如何协同工作?

DMARC为域所有者提供了一种方法来决定如何处理未经身份验证的消息。它使用DKIM和SPF来评估消息是否有效，以及是否应该将其发送或阻止给收件人。

SPF(发件人策略框架)

发件人策略框架(SPF)是一个电子邮件认证系统，在电子邮件传递过程中检测伪造的发件人地址(返回路径头)。SPF使接收邮件服务器能够验证声称来自给定域的电子邮件是在传递过程中从域所有者授权的IP地址发送的。

接收邮件服务器使用SPF来验证来自域的传入电子邮件是从域管理员批准的主机发送的。它是基于众所周知的域名系统(DNS)．

一般情况下，程序如下:

域管理员发布一项策略，该策略定义了允许从该域发送电子邮件的邮件服务器。一个SPF记录是一个策略，被列为域的整体DNS记录的一部分。当入站邮件服务器接收到电子邮件时，它会查找DNS以查找反弹(返回路径)域的规则。然后，入站服务器将邮件发件人的IP地址与SPF记录中批准的IP地址列表进行比较。

然后，接收邮件服务器根据发送域的SPF记录中给出的规则决定是否接受、拒绝或标记电子邮件消息。

SPF和DMARC是如何协同工作的?

SPF可以将电子邮件与域关联。一旦DNS记录到位，DMARC将SPF的结果与电子邮件的内容联系起来，特别是与返回路径或电子邮件的From:头部中发现的域联系起来。为了让SPF在DMARC上下文中正常工作，返回路径地址必须与From:报头的域相关，该报头是将DMARC对齐绑定在一起的项。

用于信息识别的品牌指标

信息识别品牌指标(BIMI)允许发件人将其注册商标和认证标志放在收件人邮件客户端的“发件人”地址旁边。这样做的目的是给接收者灌输信心，让他们觉得信息是真实的。值得注意的是，BIMI是一种新兴技术，其RFC规范处于草案模式。

多年来，已经有多种验证发送者和使用标识的技术，第一个正式的BIMI规范于2019年2月发布。AuthIndicators工作组的成立是为了在整个行业中正式推广BIMI。来自谷歌、Fastmail、LinkedIn、Validity、Mailchimp、Verizon Media和SendGrid的参与者是该小组的一部分。话虽如此，雅虎!，谷歌，Verizon和Fastmail都公开宣布将在2021年支持这项技术，其采用率正在增长。

使用BIMI，您可以完全控制所显示的标志，使您能够保持对品牌和用户体验的控制，同时建立信任。为了使BIMI发挥作用，必须实施和协调以下几个因素:

• 发送方的DMARC记录必须处于隔离或拒绝状态
• 收件人的电子邮件客户端必须支持此功能
• 发送方必须发布DNS记录包括以SVG格式指向其logo的URL
• 邮箱提供者必须能够验证“来自”域的DNS TXT记录中的BIMI记录。该记录是您的品牌标志和认证标志证书(VMC)的URL。如果记录相同，则显示logo。

BIMI和DMARC如何协同工作?

支持BIMI的邮件提供程序将通过查询域在BIMI文件中查找传入消息。BIMI文件将接收邮件的服务器指向品牌标志，并在邮件通过DMARC验证后显示在收件箱中。

结论

电子邮件安全协议继续被引入。2011年，DKIM作为“互联网标准”首次出现。不久之后，2014年的SPF。然后，在2015年，DMARC得到IETF的支持。最近，BIMI也得到了IETF的支持。也许他们唯一一致的东西就是他们的敌人，电子邮件，更确切地说，它固有的安全缺陷。

令人欣慰的是，他们都相互依赖。它们不是独立的协议，需要单独的工具来管理。事实上，它们是连续部署并一起管理的。曾经有一段时间，问题可能是“我是否需要DMARC保护我的域名?”

现在，这个问题被一个更相关的问题所取代:“什么样的供应商将允许我实现和监控这些关键的电子邮件安全协议，并拥有使他们的平台适应不断变化的电子邮件安全环境的技能?”