使用 DMARC,我可以设置拒绝邮件的策略。但这和我在 SPF 中使用 -all 执行的操作不是一样的吗?
隔离和软失败也是如此。
除了报告之外,在 SPF 上使用 DMARC 还有什么好处?
答案1
使用 DMARC,您可以告知收件人应如何处理 DKIM 和 SPF。这也是告知 DKIM 可用且必需的唯一方法,因为 DKIM 本身仅适用于已用其签名的邮件。
SPF 可保护您的域名不被用作 SMTP 协议级别的信封发件人,但收件人只能看到 SPF 未保护的报头。信封发件人可能会记录在Return-Path
标头中,但大多数用户只会看到From:
并认为电子邮件来自该地址。只有使用 DMARC 强制执行的 DKIM 才能保护From
标头。
由于 SPF+DMARC 和 DKIM+DMARC 可防止不同类型的伪造,因此您应该同时拥有它们。此外,您的 DMARC 对齐可以表明,只要 SPF 通过,邮件就可以用 DKIM 取消签名,而 DKIM 签名的邮件则无需通过 SPF。当您对单个邮件域有多个用例时,这会变得很方便。
答案2
SPF 仅指定哪些地址有权为您的域发送邮件。收件人可以决定如何处理这些信息。
DMARC 允许您明确指示当 SPF 检查失败时您希望收件人采取什么操作。
这些并不是多余的,而是互补的。
答案3
总结 仅使用 SPF 无法保护您免受精确域名电子邮件欺骗。DMARC 必不可少。
这是一个通过 SPF-all
保护的场景。
假设您有a.com
域名,而我拥有。我在的 DNS中b.com
设置了v=spf1 {myserversIP} -all
TXT SPF 记录,并在主机上另外安装了邮件服务器以使用 SMTP 协议发送电子邮件。我将其用作我的信封发件人地址(即接收方的标题),并通过将其放入电子邮件正文中将电子邮件发送给某人。b.com
{myserversIP}
[email protected]
Return-Path
From: [email protected]
丙二醛收到我的电子邮件并执行以下伪操作:
- 从中提取域名
Return-Path: [email protected]
b.com
执行SPF 记录的 DNS 查找,并获取v=spf1 {myserversip} -all
- 根据 SPF IP 验证发件人的 IP(也就是我的主机的 IP)
- 将电子邮件标记为已验证且有效
- 恭喜你。我刚刚冒充你发了一封电子邮件
那么如何防止这种情况发生呢?DMARC 可以解决这个问题。DMARC 增加了一个重要的新机制:结盟启用 DMARC 后,MDA 基本上在第 3 步之后执行以下伪操作:
- 检查
From
和Return-Path
域的对齐(b.com
针对a.com
) - 由于对齐失败,将电子邮件标记为未经身份验证
- 恭喜。DMARC 阻止了电子邮件欺骗。
就是这样。希望我的回答有意义。
PS:我是一体化 DMARC 部署系统。我每天都会与很多客户打交道,解释 DMARC 的重要性,以及它如何成为当今保护您的域名免遭电子邮件欺骗和网络钓鱼的最佳行业标准。
答案4
电子邮件中有 2 个发件人地址:信封发件人地址和标题发件人地址。SPF 有一个安全漏洞,因为它只验证信封发件人地址,而对标题发件人地址不进行验证。
因此,如果仅部署了 SPF,仍然能够从地址中欺骗标头。
DMARC 引入了标识符对齐 (IA) 来修补此安全漏洞。标识符对齐要求发件人地址标头中的域与信封发件人地址中的域“对齐”。
DMARC 的标识符对齐增加了另一层安全性,以阻止试图从电子邮件中的地址欺骗标头的行为。
有关标识符对齐的更多信息,请参阅:DMARC 标识符对齐