如何设置 DMARC:保护您的企业免受网络钓鱼

已发表: 2024-05-10

小型企业在设置 DMARC 或其他电子邮件安全功能方面不能再落后。 为什么? 2023 年,绝大多数商业网络钓鱼攻击来自电子邮件。此外,Google 现在已强制营销人员使用 DMARC。

将 DMARC 视为您通常在邮件中收到的包裹上的处理说明标签。 它告诉电子邮件提供商在发送到收件箱的过程中“处理”您的电子邮件时应采取适当的“谨慎”程度。

现在,我承认 DMARC 可能很难大声说出,更不用说记住了 - 特别是如果您不是电子邮件送达专家或电子邮件营销人员。 不过,请耐心等待,我将向您详细介绍 DMARC 是什么、它如何工作以及如何设置您的第一个 DMARC 记录。

让我们从基础知识开始,逐步了解“如何做”以获得完整的理解。

目录

什么是 DMARC 及其工作原理?

DMARC 代表基于域的消息身份验证、报告和一致性。 简而言之,它是一组规则,可帮助电子邮件提供商识别可疑(网络钓鱼)和恶意软件电子邮件并阻止它们到达您的收件箱。

DMARC 告诉电子邮件提供商如果邮件验证失败该怎么办。 DMARC 与另外两个安全协议(SPF 和 DKIM)配合使用,检查电子邮件发件人是否确实发送了相关电子邮件。 如果不匹配,DMARC 将接管并决定是隔离、拒绝还是接受邮件。

下面是一个简单的示例:假设您向使用 Gmail 帐户的订阅者发送电子邮件。 电子邮件到达后,Gmail 将检查您的 DMARC 信息(位于电子邮件标头中)。 如果信息匹配,电子邮件就会解除警报并进入收件箱。

如果不匹配,将检查 DMARC 记录以确定如何处理电子邮件。 DMARC 在 SPF 和 DKIM 检查完成后启动。 SPF 检查该特定电子邮件地址是否有权代表您的网站(域)发送电子邮件,DKIM 检查电子邮件内容是否完整。

然后 Gmail 会向您发送一条消息,告诉您电子邮件是否通过了验证。

DMARC 如何运作?
来源

DMARC 记录是什么样的?

以下是假设的 DMARC 记录的示例:

v=DMARC1; p=拒绝; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1; aspf=s; adkim=s;

正如您所看到的,它有许多不同的元素。 我们来看看每个元素代表什么:

V=DMARC1 :这表示 DMARC 记录的版本。 在本例中,它是版本 1

p=reject :P 与处理失败电子邮件的策略相关。 此处,策略规定所有未通过 DMARC 验证的电子邮件都将被拒绝。

Rua = mailto:[email protected] :假设您向列表发送了一封电子邮件营销活动。 您可以指定接收者的电子邮件地址(在前面的示例中为 Gmail),以便每 24 小时发送一次通过或失败的 DMARC 报告。 此数据可以帮助发件人识别并解决送达问题。 您可以在此处找到该电子邮件地址。

Ruf =mailto: [email protected] :如果您想要每封电子邮件的状态报告,您可以指定一个单独的电子邮件地址。 在此示例中,该电子邮件地址是“dmarc-forensics”。

Aspf :这代表权威发件人策略框架。 它告诉接收服务器电子邮件标头中给出的域必须与 SPF 检查中使用的域保持一致的严格程度。 Aspf 字段可以具有以下三个值之一:

S——严格对齐

R——放松对齐

空白——放松对齐

例如,如果值为 Aspf=s,则仅当两个域之间完全匹配时才会通过身份验证。

EngageBay 等电子邮件营销工具会生成综合报告,让您全面了解跨营销活动的电子邮件送达率。

电子邮件身份验证 101:防范网络钓鱼攻击

为什么要设置 DMARC?

如果未设置 DMARC,您可能会在短期和长期内面临许多风险。 设置 DMARC 可帮助您完成以下任务。

1. 提高电子邮件的送达率

设置 DMARC 可以让您清楚地了解从您的域发送的电子邮件数量、发送者以及发送对象。 如果您的送达率较低,分析 DMARC 报告可以帮助您找到根本原因。 这意味着您可以快速解决这些问题并扩大影响范围。

2. 提高发件人声誉

像谷歌这样的电子邮件服务提供商正在大力打击网络钓鱼和垃圾邮件。 如果您大量发送营销电子邮件,您自然会受到他们的关注。 DMARC 可以帮助您遵守不断变化的安全标准,并随着时间的推移提高您的发件人声誉。

3. 与观众建立信任

如果您的电子邮件被欺骗,可能需要很长时间才能重建与订阅者的信任。 DMARC 可帮助您识别并报告欺骗尝试。 这可以保护您的品牌声誉,并向订阅者表明您认真对待他们的安全。

电子邮件送达率:获得更多点击、销售和注册的 7 个技巧

如何检查您的 DMARC 是否已设置?

让我们回到上面的例子。 您可以使用以下步骤来检查 DMARC 是否已设置。

1. 检查您的 DMARC 报告

如果您有现有域,则可以将测试电子邮件发送到其他域。 检查电子邮件标头,了解 SPF、DKIM 和 DMARC 字段是否显示“通过”或“失败”。 这将表明记录是否已设置并正常工作。

如何设置 DMARC - 电子邮件标头
来源

2.查找DNS记录

将 DNS 视为互联网上的 Yelp 或任何其他商业目录。 它可以帮助电子邮件在互联网上找到收件人。 要访问特定发件人的 DNS 记录,请使用命令“ dig _dmarc.domain txt ”。

按 Enter 键后,您应该会看到一条 TXT 记录,它看起来有点像我们上面讨论的示例。 域是“示例”。

3.检查DMARC策略字段

如果启用 DMARC,策略字段应为“v=DMARC1”。 最重要的是,检查“p”字段设置的值。 它应该是“无”、“隔离”或“拒绝”。

4. 检查 DMARC 策略设置

接下来,分析“v”标签旁边的其他字段,以了解其他设置的配置方式。 例如,查看要发送报告的电子邮件地址(“rua”和“ruf”)以及 SPF 和 DKIM 设置(“aspf”)和(“adkim”)。

您还可以使用在线工具检查 DMARC 是否已设置并正常工作。

SPF、DKIM、DMARC:电子邮件身份验证协议指南

如何设置 DMARC 记录

如果您没有看到现有的 DMARC 记录,则需要设置一个。 这是分步过程。

1. 准备 DMARC 设置

确保在 DMARC 之前已启动并运行 SPF 和 DKIM。 这是因为接收服务器将按顺序验证 SPF、DKIM 和 DMARC。 如果您先设置 DMARC,您的电子邮件可能会被标记为网络钓鱼或垃圾邮件。 此外,您需要为您可能使用的每个域设置 SPF 和 DKIM。

因此,如果您有多个域,请确保这三个元素彼此正确对齐。

2. 设置 DMARC – 仅限邮箱

如果您从多个域发送电子邮件并希望每封电子邮件都有身份验证报告,那么您的收件箱可能会在几天内被淹没。 这就是为什么您必须有一个单独的邮箱来存放 DMARC 报告。

DMARC 汇总报告
来源

3. 列出所有授权域

创建授权域列表可以帮助您从 DMARC 报告中发现可疑的 IP 地址。 这可以节省您的时间和精力。

4. 决定 DMARC 政策

如果您是首次设置 DMARC,则需要决定实施策略的严格程度。 如果是新域,请从“无”策略开始。 这意味着您的所有电子邮件都将发送到收件人的收件箱。 这将为您提供大量数据并逐步优化您的政策。

您的最终目标应该是实施“拒绝”政策,因为它可以提高发件人声誉并保护您的受众。

5. 设置DMARC记录

以下是添加 DMARC 记录的步骤。

1. 登录DNS

登录到您的托管提供商的 DNS 帐户并创建新记录。 这里的三个关键元素是主机/名称、记录类型和值。 确保您选择正确的域。

2.创建TXT记录

接下来,导航到“创建记录”字段。 字段名称可能因提供商而异。 如果您看到下拉菜单,请选择 TXT(文本)选项。

3.添加DMARC记录

让我们回顾一下上面的 DMARC 示例。 根据此记录,您可以看到以下值:

“v”是 v=DMARC1

“p”可以是 p=none、p=quarantine 或 p=reject,具体取决于您选择的策略。

在“rua”中, “a”代表聚合。 此字段应包含汇总 DMARC 报告应发送到的电子邮件地址。

在“ruf”中,“f”代表法医。 指定您希望将所有取证报告发送到的电子邮件地址。 这些报告允许您跟踪每封电子邮件到达其目的地的路径。

4. 保存并发布记录

您的 DMARC 记录已完成。 保存记录并给予大约 48 小时的时间进行验证。 然后,您可以从域发送测试电子邮件,以检查标头信息是否显示正确的配置。 或者,您还可以使用各种在线工具来验证 DMARC 记录是否正确。

5. 检查 DMARC 报告

确保定期监控 DMARC 报告以解决任何身份验证问题。

电子邮件黑名单、灰名单和白名单的影响

设置 DMARC 的最佳实践

电子邮件安全并不是一劳永逸的事情。 您需要一个过程来随着时间的推移优化 DMARC。 以下是一些提示和建议。

1.一步一步来

从“p=none”策略开始,为未通过身份验证的电子邮件建立基线。 这将帮助您识别授权发件人并解决任何 DMARC 问题,然后再采取更严格的策略。 记录您遇到的所有问题,只有在问题完全解决后才能进入下一个级别。

2.定期更新您的身份验证策略

将您的策略​​设置为“拒绝”可能会影响合法电子邮件。 关键是在可交付性和安全性之间找到良好的平衡。 并非所有影响送达率的因素都在您的控制范围内。

例如,隐私法规的更改可能要求您在短时间内更新您的身份验证策略。 如果您添加新的电子邮件服务器,您可能还需要在预热阶段调整 DMARC 设置。 关键是要针对每种可能的情况进行规划,并为您的团队制定有效的 SOP。

ISP 和电子邮件送达率:如何始终到达收件箱

结论

对于小型企业来说,DMARC 是抵御网络钓鱼和垃圾邮件攻击的最后一道防线。 设置 DMARC 并采用有效的策略可能需要一些时间。 然而,它可以带来非常值得的合规性好处。 它也可以为您的电子邮件营销投资回报率和客户体验创造奇迹。

立即开始您的 DMARC 之旅!

常问问题

1. 设置DMARC需要多长时间?

设置 DMARC 所需的时间取决于您想要纳入 DMARC 策略和整体 DNS 配置的详细程度。 识别您的授权电子邮件发件人和最佳 DMARC 策略一致性大约需要 1-2 小时。 预计还需要花费 2 小时左右的时间创建 DNS 记录,另外还需要 1-2 天的时间进行测试。

2. 如何获得 DMARC 合规性?

2024 年 1 月,Google 更新了针对大容量发件人的电子邮件身份验证要求。 设置 DMARC 是强制性的。 如果您发送营销电子邮件,您必须:

  • 实施 SPF 和 DKIM 进行电子邮件身份验证。
  • 设置 DMARC 策略。
  • 将“发件人”标头中的域与 SPF 或 DKIM 对齐。
  • 更新所有批准的发送域或 IP 的 DNS 记录。
  • 在您发送的每封电子邮件中提供一键取消订阅链接。