电子邮件仍然是全球企业、个人和组织最重要的沟通方式之一。
然而,它也为网络犯罪分子提供了主要的攻击媒介,他们使用网络钓鱼、欺骗和其他基于电子邮件的攻击等各种技术来利用漏洞。
为了应对这些威胁,已经引入了几种电子邮件认证协议,包括基于域的消息认证、报告和一致性 (DMARC)。
DMARC 是三种协议的一部分,旨在通过允许电子邮件发件人指定处理欺诈或可疑电子邮件的策略来增强电子邮件安全性。
在本文中,将详细探讨 DMARC,研究其工作原理、重要性以及它如何与其他电子邮件身份验证协议(如 SPF(发件人策略框架)和 DKIM(域名密钥识别邮件))交互。
阅读完本文后,您将全面了解 DMARC 及其在保护您的电子邮件域免遭滥用方面的作用。
DMARC:概述
DMARC 是一种电子邮件身份验证协议,使域名所有者能够保护其域名免遭未经授权的使用,例如网络钓鱼攻击、电子邮件欺骗和其他欺诈活动。
DMARC 建立在其他两种电子邮件认证协议(SPF 和 DKIM)的基础之上。
虽然 SPF 允许域所有者指定哪些邮件服务器被授权代表其域发送电子邮件,并且 DKIM 使用加密签名来验证电子邮件的内容在传输过程中未被更改,但 DMARC 通过允许域所有者指定电子邮件接收者应如何处理未通过 SPF 或 DKIM 检查的邮件,增加了一层保护。
DMARC 的工作原理是允许域所有者将其电子邮件身份验证策略作为 DNS TXT 记录发布在域名系统 (DNS) 中。
这些策略指导电子邮件接收者如何处理未通过 SPF 或 DKIM 身份验证检查的电子邮件。通过 DMARC,域所有者可以:
-
指定电子邮件收件人在电子邮件身份验证失败时应采取的操作(例如隔离、拒绝或不采取任何操作)。
-
接收来自电子邮件接收者的详细报告,其中详细说明通过或未通过身份验证的电子邮件,从而提供有关潜在滥用行为的宝贵见解。
DMARC 在 RFC 7489 中定义,该协议概述了该协议的技术规范以及它如何与其他电子邮件身份验证机制集成。
SPF、DKIM 和 DMARC 的作用
在深入研究 DMARC 之前,重要的是了解它如何与 SPF 和 DKIM 一起融入电子邮件认证的更广泛框架中。
SPF(发件人策略框架)
SPF 是一种电子邮件身份验证方法,允许域所有者指定哪些邮件服务器有权代表其域发送电子邮件。
SPF 的工作原理是向域添加 DNS TXT 记录,其中列出了授权邮件服务器的 IP 地址。收到电子邮件时,收件人的邮件服务器会检查 SPF 记录以验证发送服务器是否有权向该域发送电子邮件。
如果电子邮件是从未经授权的服务器发送的,则 SPF 检查会失败,并且该电子邮件可能会被标记为可疑或欺诈。
DKIM(域名密钥识别邮件)
DKIM 是另一种电子邮件身份验证协议,专注于验证电子邮件内容的完整性。使用 DKIM,发送服务器会在电子邮件标头中添加加密签名。
此签名是使用与域的 DNS 中发布的公钥相对应的私钥生成的。
当收到电子邮件时,收件人的邮件服务器使用公钥来验证签名,确保电子邮件在传输过程中没有被篡改。
DKIM 有助于确保电子邮件的内容没有被更改并且电子邮件来自合法来源。
DMARC(基于域的消息认证、报告和一致性)
DMARC 在 SPF 和 DKIM 的基础上为域名所有者提供了一个框架,以指定当电子邮件未通过 SPF 和/或 DKIM 身份验证检查时应采取什么措施。
DMARC 还增加了报告机制,允许域所有者从电子邮件接收者那里收到有关从其域发送的电子邮件的身份验证结果的反馈。DMARC 的关键组件包括:
-
DMARC 政策:域名所有者可以指定电子邮件接收者应如何处理未经身份验证的电子邮件。三个主要政策选项是:
-
无:对于失败的电子邮件,无需采取任何特定措施,但仍会向域所有者发送报告。此策略通常用于测试和监控。
-
隔离:未通过身份验证的电子邮件应谨慎处理,并将其投递到收件人的垃圾邮件或垃圾文件夹中。
-
拒绝:未通过身份验证的电子邮件应被直接拒绝并且不予投递。
-
DMARC 报告:DMARC 使域所有者能够接收两种类型的报告:
-
汇总报告:这些报告提供从域发送的所有电子邮件的摘要,包括通过或未通过 SPF 和 DKIM 检查的数量的详细信息。
-
取证报告:这些报告提供有关身份验证失败的单个电子邮件的详细信息,包括发件人的 IP 地址和失败的原因。
DMARC 依靠 SPF 和 DKIM 才能正常运行。如果 SPF 或 DKIM 通过,则电子邮件被视为已通过身份验证。
但是,如果两者都失败,则应用 DMARC 策略来确定如何处理电子邮件。
DMARC 的工作原理
为了了解 DMARC 在实践中的工作原理,让我们仔细看看电子邮件从一个域发送到另一个域时所涉及的步骤:
-
发送电子邮件:域名所有者向收件人发送电子邮件。电子邮件从发送邮件服务器传输到接收邮件服务器。
-
SPF 和 DKIM 检查:收件人的邮件服务器执行 SPF 和 DKIM 检查以验证电子邮件的真实性。SPF 检查验证发送服务器是否有权为域发送电子邮件,而 DKIM 检查验证电子邮件标头中的加密签名。
-
DMARC 检查:执行 SPF 和 DKIM 检查后,收件人的邮件服务器会从发件人的 DNS 中检索 DMARC 记录。此记录指定域所有者处理未经身份验证的电子邮件的政策。
-
策略应用:根据 SPF 和 DKIM 检查结果应用 DMARC 策略。如果电子邮件未通过 SPF 和 DKIM 检查,则收件人的邮件服务器将采取 DMARC 策略中指定的操作(无、隔离或拒绝)。
-
报告生成:收件人的邮件服务器生成 DMARC 报告(汇总或取证)并将其发送给域所有者,为电子邮件的身份验证结果提供有价值的见解。
通过遵循这些步骤,DMARC 有助于防止未经授权的电子邮件被传递,从而降低网络钓鱼、欺骗和其他基于电子邮件的攻击的风险。
DMARC 记录结构
DMARC 策略在 DNS 中以 DNS TXT 记录的形式发布。典型的 DMARC 记录如下所示:
_dmarc.example.com TXT "v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; sp=reject; aspf=r"
让我们分解一下此 DMARC 记录的组成部分:
-
_dmarc.example.com:DMARC 记录在域 example.com 的子域 _dmarc 下发布。
-
v=DMARC1:指定正在使用的 DMARC 版本,当前为 DMARC1。
-
p=quarantine:p 标签指定域的 DMARC 策略。在本例中,策略设置为“隔离”,这意味着未通过身份验证的电子邮件应被递送到收件人的垃圾邮件或垃圾文件夹中。
-
rua=mailto: [email protected]:rua 标签指定应发送汇总 DMARC 报告的电子邮件地址。
-
ruf=mailto: [email protected]:ruf 标签指定应发送法医 DMARC 报告的电子邮件地址。
-
sp=reject:sp 标签指定子域的策略。在本例中,策略设置为“拒绝”,这意味着来自未通过身份验证的子域的电子邮件应被拒绝。
-
aspf=r:aspf 标签指定 SPF 的对齐模式。值“r”代表“宽松”,表示如果电子邮件“发件人”标头中的域与 SPF 记录中的域匹配,则 SPF 检查将通过。
DMARC 政策
DMARC 政策规定了电子邮件接收者应如何处理未通过 SPF 和 DKIM 检查的电子邮件。DMARC 政策主要有三种选项:
1. 无 (p=none)
这是最宽松的策略,通常在首次实施 DMARC 时使用。当策略设置为“无”时,不会对未经身份验证的电子邮件采取任何特定操作。
但是,DMARC 报告仍会生成并发送给域所有者。此策略通常用于测试目的,以监控有多少电子邮件未通过身份验证,而不会影响电子邮件的传递能力。
2. 检疫 (p=quarantine)
当策略设置为“隔离”时,未通过 SPF 和 DKIM 检查的电子邮件将被发送到收件人的垃圾邮件或垃圾文件夹。此策略提供了一种折中方法,允许发送潜在的可疑电子邮件,但将其标记为可疑。
3. 拒绝 (p=reject)
“拒绝”策略是最严格的,当域名所有者想要阻止任何未经身份验证的电子邮件被传递时使用。
应用此策略后,未通过 SPF 和 DKIM 检查的电子邮件将被直接拒绝,不会发送给收件人。在彻底测试和监控 DMARC 实施后,建议使用此策略。
DMARC 报告
DMARC 的主要优势之一是报告功能,它为域所有者提供有关其电子邮件如何进行身份验证的宝贵见解。DMARC 报告有两种类型:
1. 汇总报告 (rua)
汇总报告提供了特定时期内(通常是每天)从该域发送的所有电子邮件的摘要。
这些报告包括有关有多少封电子邮件通过或未通过 SPF 和 DKIM 检查、源 IP 地址和所应用的 DMARC 策略的信息。
2. 法医报告 (ruf)
取证报告提供有关未通过身份验证的单个电子邮件的更多详细信息。
这些报告包括发件人的 IP 地址、“收件人”和“发件人”标题中的电子邮件地址以及身份验证失败的原因。
DMARC 的好处
DMARC 提供了几个显著的好处,尤其是与 SPF 和 DKIM 结合使用时:
-
防范网络钓鱼和欺骗:DMARC 有助于防止攻击者发送看似来自合法域的欺诈性电子邮件,从而降低网络钓鱼和电子邮件欺骗的风险。
-
提高电子邮件传递率:通过实施 DMARC,域所有者可以提高其合法电子邮件的传递率。通过 DMARC 身份验证的电子邮件更有可能到达收件人的收件箱,因为它们不太可能被标记为垃圾邮件。
-
可视性和报告:DMARC 的报告功能为域名所有者提供了有关其电子邮件如何进行身份验证的宝贵见解。这种可视性使域名所有者能够识别潜在的滥用行为并采取纠正措施。
-
品牌保护:DMARC 通过防止在电子邮件通信中未经授权使用其域名来帮助保护品牌的声誉。
在当今的数字环境中,网络钓鱼和欺骗等基于电子邮件的攻击盛行,DMARC 在增强电子邮件安全性方面发挥着关键作用。
通过在 SPF 和 DKIM 的基础上,DMARC 为域名所有者提供了指定如何处理未经身份验证的电子邮件以及接收有关电子邮件身份验证结果的详细报告的能力。
实施 DMARC 以及 SPF 和 DKIM 有助于保护您的域名免遭未经授权的使用,提高电子邮件的传递率,并提供有关潜在滥用的宝贵见解。
虽然 DMARC 实施需要仔细的规划和测试,但增强的电子邮件安全性和品牌保护的长期利益使其成为任何组织都值得的投资。
— 欢迎关注
原文始发于微信公众号(祺印说信安):网络安全知识:什么是基于域的消息认证、报告和一致性 (DMARC)?
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论