什么是DMARC？

什么是DMARC？

DMARC，全称为”Domain-based Message Authentication, Reporting, and Conformance”，即基于域的消息认证、报告和一致性。它是一种用于提高电子邮件安全性的协议，主要用于防止电子邮件欺诈和钓鱼攻击。

DMARC结合了SPF（Sender Policy Framework）和DKIM（DomainKeys Identified Mail）两种技术，通过验证发件人域名和邮件内容的签名，来确保电子邮件的真实性和可信性。当电子邮件服务器收到一封邮件时，它会检查发件人域名是否在DMARC记录中进行了设置。如果设置了DMARC记录，服务器会检查邮件的DKIM签名和发件人IP地址是否与DMARC记录中的规定相匹配。如果匹配成功，邮件就被认为是经过验证的，否则可能会被标记为垃圾邮件或拒绝传递。

此外，DMARC还提供了报告机制，允许域所有者收到有关未经授权使用其域名发送邮件的报告。这些报告可以帮助域所有者监控其邮件流量，及时采取措施来保护其域名不受恶意使用。

总的来说，DMARC是一种有助于减少电子邮件欺诈和提高电子邮件安全性的重要协议。

DMARC是如何工作的

DMARC（Domain-based Message Authentication, Reporting, and Conformance）是一种电子邮件验证协议，用于增强电子邮件的安全性和可信度。它的工作原理如下：

1. 设置域的DMARC记录： 邮件发送者（域所有者）需要在其域的DNS中设置DMARC记录。这个记录包含了关于邮件验证和处理的规则。这些规则告诉接收邮件服务器如何处理未经验证的邮件。
2. 邮件发送： 当邮件发送者通过其域发送邮件时，它会在邮件头部包含一个DMARC域，以指示此邮件正在遵循DMARC协议。
3. 接收邮件服务器验证： 接收邮件服务器收到邮件后，首先会检查发件人的域是否有设置DMARC记录。如果设置了DMARC记录，服务器会根据DMARC记录中的指令进行验证。
4. SPF和DKIM验证： 接收邮件服务器会首先检查发件人的IP地址是否在发件人域名的SPF记录中。然后，它会验证邮件内容的DKIM签名，确保邮件内容未被篡改。这些步骤都是为了确认邮件的真实性。
5. DMARC验证： 接下来，接收邮件服务器会检查邮件的DMARC域，以了解发件人的DMARC策略。DMARC策略可以指示接收服务器是接受、拒绝还是标记未经验证的邮件。
6. 处理未经验证的邮件： 根据DMARC策略，接收邮件服务器可能会采取不同的操作。如果策略是”拒绝”，服务器将拒绝未经验证的邮件。如果策略是”标记”，服务器可能会将邮件标记为垃圾邮件，但仍然接受。如果策略是”接受”，服务器将接受未经验证的邮件。
7. 报告生成： DMARC还提供了报告机制，允许域所有者收到关于邮件流量和验证情况的报告。这些报告帮助域所有者监控邮件的安全性，及时发现潜在的问题。

通过这些步骤，DMARC帮助确保电子邮件的真实性，减少欺诈和钓鱼攻击的风险，同时提供了报告功能，使域所有者能够监控和维护其电子邮件安全性。

DMARC 的工作原理

基于域名的邮件身份验证报告和一致性 (DMARC) 告诉接收电子邮件的服务器在检查 SPF 和 DKIM 之后，如何根据结果进行处理。一个域名的 DMARC 策略可以有多种设置方式——可以指示邮件服务器隔离、拒绝还是交付那些没有通过 SPF 和/或 DKIM 验证的电子邮件。

DMARC 策略存储在 DMARC 记录中。DMARC 记录还可以包含向域名管理员发送报告的指示，说明哪些电子邮件通过了检查，哪些没有通过。DMARC 报告给管理员提供了所需信息，帮助他们决定如何调整 DMARC 策略（例如，误将合法电子邮件标记为垃圾邮件时该如何处理）。

SPF、DKIM 和 DMARC 记录存储在哪里？

SPF、DKIM 和 DMARC 记录存储在可公开访问的域名系统 (DNS) 中。DNS 的主要用途是将网址与 IP 地址相匹配，以便计算机能够找到正确的服务器，通过互联网加载内容，而不需要人类用户记住一长串由字母和数字组成的地址。DNS 还可以存储与域名相关的各种记录，包括该域名的备用名称（CNAME 记录）、IPv6 地址（AAAA 记录）以及用于域名查找的反向 DNS 记录（PTR 记录）。

DKIM、SPF 和 DMARC 记录均存储为 DNS TXT 记录。DNS TXT 记录存储了域名所有者希望与该域名相关联的文本。该记录可以有多种使用方式，因为它可以包含任何任意文本。DNS TXT 记录有多种应用，DKIM、SPF 和 DMARC 只是其中三种。

DMARC的好处

DMARC（Domain-based Message Authentication, Reporting, and Conformance）在提高电子邮件安全性方面具有许多好处：

• 减少钓鱼和欺诈： DMARC通过验证发件人域名和邮件内容的签名，有效地减少了钓鱼和欺诈攻击。这有助于防止攻击者伪造发件人身份，降低用户受到欺骗的风险。
• 增强信任： 通过确保电子邮件的真实性，DMARC增强了收件人对邮件的信任。收件人能够更有信心地打开和与来自经过验证的发件人的电子邮件进行互动。
• 防止域名滥用： DMARC的报告机制允许域所有者监控邮件流量并及时发现未经授权使用其域名的情况。这有助于防止恶意人员滥用域名发送垃圾邮件或欺诈邮件。
• 提高邮件交付率： 邮件服务提供商（ESP）通常会根据DMARC记录来决定是否将邮件交付到收件人的收件箱。如果域名设置了严格的DMARC策略，邮件服务提供商可能更倾向于将邮件投递到收件人的收件箱，从而提高邮件的交付率。
• 减少虚假报警： DMARC还可以减少误报，即将合法邮件错误地标记为垃圾邮件。因为DMARC验证确保邮件的真实性，这有助于避免合法邮件被错误地过滤或拒绝。
• 合规性要求： 对于一些组织来说，遵循DMARC协议可能是满足特定安全合规性要求的一部分。采用DMARC可以帮助组织满足行业标准和法规的要求。
• 全球标准： DMARC是一个被广泛接受的国际标准，许多大型互联网公司和电子邮件服务提供商都在使用。这使得DMARC成为一种在全球范围内提高电子邮件安全性的有效方法。

综上所述，DMARC通过减少钓鱼和欺诈、增强信任、防止域名滥用等方式，显著提升了电子邮件的安全性和可信度。

谷歌官方文档：https://support.google.com/a/answer/174124