为域名创建DMARC降低电子邮件仿冒和欺骗风险
下面是一条我给自己的域名添加的DMARC记录
_dmarc.yourdomain TTL IN TXT "v=DMARC1; p=reject; sp=reject; pct=100; fo=1; adkim=s; aspf=s; ri=3600; ruf=mailto:ruf@yourdomain; rua=mailto:rua@yourdomain;"以上记录中的yourdomain指代的是具体域名。
添加了这条记录以后,会收到收信方邮件服务商的汇总报告和退信报告,
我发现是会有些别有用心的人试图仿冒我域名邮箱发送仿冒和欺骗邮件。
电子邮件有比较重要的作用,如果电子邮件被仿冒,或因为收到仿冒邮件被欺骗,可能带来一些麻烦甚至严重后果。
如果你的域名被认为发送了垃圾邮件,可能会被一些自动化系统或者审核人员举报到域名注册局等机构,造成域名被 HOLD,一般需要通过举证自己没有滥用域名。
因此设置 DMARC 记录是一个比较基本的防范电子邮件被滥用和收集相关证据的的措施之一。
以下简述一段收信方邮件服务商遵循严格审核策略的 DMARC 记录的几个要素:
- p=reject
DMARC 对齐失败时,你希望收信方邮件服务商遵循的策略,regect 表示拒绝。 - sp=reject
子域 DMARC 对齐失败时,你希望收信方邮件服务商遵循的策略,regect 表示拒绝 - pct=100
你希望此规则应该用于所有的电子邮件。 - fo=1
你希望任何验证机制失败时都生成报告。 - adkim=s
你希望收信方邮件服务商严格校验 DKIM - aspf=s
你希望收信方邮件服务商严格校验 SPF - ri=3600
你希望收信方邮件服务商生成汇总报告的间隔秒数。 - rua=mailto:rua@yourdomain
你希望接收 DMARC 汇总报告的电子邮件地址。 - ruf=mailto:ruf@domain
你希望接收伪造邮件报告的电子邮件地址。
重要提示
- DMARC 配置完毕后,请务必测试正常邮件是否会被错误拦截。
- DMARC 记录需根据实际情况设置,策略不一定是越严格越好。
- DMARC 记录是否被应用,取决于收信方服务商是否有效执行。
DMARC工具
- DMARC生成工具
KTS DMARC Assistant - DMARC检查工具
DMARC Check Tool - MxToolBox
快来发表您的围观心得!