博客
什么是DMARC?
抽象形状抽象形状
加入27,000多个网络安全通讯订阅者

DMARC(基于域的消息身份验证,报告&一致性)是一种旨在保护您的组织的电子邮件身份验证协议'的电子邮件域被用于 电子邮件欺骗.

电子邮件欺骗通常用于 社会工程学 诸如企业电子邮件之类的攻击会危害攻击, 网络钓鱼 or 鱼叉式网络钓鱼 电子邮件,电子邮件欺诈和其他 网络攻击.

DMARC如何运作?

DMARC利用现有的身份验证技术,发件人策略框架(SPF)和域密钥标识的邮件(DKIM),DMARC添加了有关是否接受未经身份验证的电子邮件,将其发送到垃圾邮件文件夹还是直接拒绝它们的报告和指南。 

一旦域所有者在其DNS记录中发布了DMARC记录,他们就可以洞悉谁代表其域发送电子邮件。此信息可用于了解是否发送了任何欺诈性电子邮件,并允许电子邮件发送者和接收者确定电子邮件的真实性。 

尽管并非所有接收邮件的服务器都执行DMARC检查,但这种检查正变得越来越普遍,并且受到大多数流行的电子邮件提供商的支持。

SPF和DKIM如何工作?

SPF检查SMTP MAIL FROM命令中显示的域的所有者是否授权发送服务器的IP地址。 

DKIM允许对部分电子邮件进行加密签名,并且签名必须涵盖“发件人”字段。在DKIM-Signature邮件标头中,d =(domain)和s =(selector)标记指定DNS在DNS中的何处检索签名的公钥。有效的签名证明签名者是域所有者,并且from字段hasn'由于已应用签名,因此未进行任何修改。 

DMARC记录中有什么?

It'最好浏览DMARC记录示例,让's use UpGuard's:

v = DMARC1; p = none; 佛 = 1:d:s; rua = mailto:[email protected]; ruf = mailto:[email protected]; adkim = s; aspf = r

第一部分 v = DMARC1 是接收电子邮件服务器在扫描DNS记录中从其接收电子邮件的域名时查找的标识符。如果域中没有以V = DMARC1开头的txt记录,则它将不会运行DMARC检查。

p =无 告诉接收服务器如何处理DMARC失败的消息。在UpGuard中'在这种情况下,该策略设置为无。这告诉接收服务器是否在消息未通过DMARC时采取任何措施,但对于发送方来说仍然很有价值,因为DMARC会发送报告来更改任何DMARC失败的域所有者。

通常建议在以下位置部署DMARC"monitor mode"从参与的接收方收集数据。一旦数据显示合法电子邮件通过了身份验证检查,您就可以更改DMARC策略以请求对失败的邮件进行隔离(p =隔离)甚至拒绝(p =拒绝)。 

下一部分  是取证报告选项。"1"如果任何机制失败,都会生成报告,"d"如果DKIM签名无法验证并且生成报告,则生成报告"s"如果SPF失败,则生成报告。另一个选择是"0"仅在所有基础身份验证失败时才生成报告。 

rua = mailto:[email protected] 告诉接收服务器将DMARC故障的汇总报告发送到哪里。这些报告每天发送一次,其中包含有关DMARC故障的高级信息,而不是有关每个事件的特定详细信息。这可以是您选择的任何电子邮件地址。

ruf = mailto:[email protected] 告诉接收服务器将DMARC故障的取证报告发送到哪里。取证报告是实时发送的,其中包含有关每个单独故障的详细信息。与rua不同,ruf依赖提供的电子邮件地址,该电子邮件地址与DMARC记录发布所在的域相同。

adkim = s 设置严格的DKIM对齐方式,这意味着仅当DKIM签名中的d =字段与发件人域完全匹配时,DMARC身份验证的DKIM部分才能通过。也可以设置为宽松"r"如果DKIM d =字段与发件人地址的根域匹配,则通过DMARC身份验证的DKIM身份验证部分。 

aspf = r 设置宽松的SPF对齐方式,这意味着如果from头共享一个公共组织域,则DMARC的SPF部分将通过。也可以将其设置为严格"s"需要在SPF记录域和电子邮件之间进行完全匹配's from header.

DMARC记录中可以包含其他机制,包括:

  • 射频: 告诉接收服务器保单持有人想要什么样的报告
  • pct: 告诉接收服务器应将其多少邮件接受DMARC政策's specifications
  • sp: 告知接收服务器是否将DMARC策略应用于子域。  

DMARC为什么重要?

DMARC之所以重要,是因为它通过提供有关要传递哪些电子邮件以及应将哪些电子邮件发送到垃圾邮件或被彻底拒绝的信息,可以帮助最终用户和电子邮件提供商区分合法电子邮件和非法电子邮件。

组织通常是 网络钓鱼鱼叉式网络钓鱼 or other 社会工程学 代表重要的广告活动 网络安全风险

引入了几种方法来识别这些 网络威胁 however:

  • 这些机制是孤立运行的
  • 每个接收者都对如何评估结果做出独特的决定
  • 合法的域名所有者永远不会获得反馈

DMARC尝试将这些方法协调为:

  • 允许域所有者发信号通知他们正在使用电子邮件身份验证(SPF和DKIM),提供电子邮件地址以收集有关来自其域的电子邮件的反馈(合法的和非法的),并提供适用于认证失败的电子邮件的策略(报告,隔离,拒绝) )。
  • 允许电子邮件接收者确定给定的发送域正在使用电子邮件身份验证,评估SPF和DKIM以及最终用户在收件箱中看到的内容,确定域所有者'首选通过身份验证失败并向域所有者提供有关使用其域的电子邮件的反馈的电子邮件。

网络罪犯可能会使用 电子邮件欺骗 as part 的 a larger 网络攻击,例如一种 数据泄露 of 敏感数据 like 受保护的健康信息(PHI) and 个人身份信息(PII).   

除了身份验证外,还可以将DMARC配置为报告未经授权的活动,这有助于 数字取证 and IP归属.

DMARC有什么好处?

  • 发布DMARC记录可以保护您的组织'通过防止未经身份验证的各方欺骗您的域来提升其声誉和品牌,它甚至可以通过改善电子邮件信誉来提高电子邮件的可传递性。  
  • DMARC报告可以提供有关谁从您的域发送电子邮件的信息,从而可以提高电子邮件安全程序的可见性。 
  • 建立一致的策略来处理无法验证的消息,从而改善全局 网络弹性 and 网络安全.

DMARC可以防止网络钓鱼吗?

DMARC防止 网络钓鱼 that relies on 电子邮件欺骗。例如,如果exam​​ple.com的所有者使用DMARC保护其域,那么它将无济于事,无法阻止从example.net发送的网络钓鱼活动

也就是说,电子邮件欺骗很常见 攻击载体。但是,'重要的是要了解DMARC无法解决 抢注 (从与目标域类似的域发送,例如example.com与exampIe.com)或显示名称滥用(修改"From" field).

DMARC的历史是什么?

电子邮件验证技术SPF和DKIM于十年前开发,旨在为电子邮件发件人的身份提供更大的保证。虽然SPF和DKIM的采用稳步增加了欺骗性和欺诈性电子邮件的问题't abated.

尽管人们认为电子邮件接收者可以轻松地将欺诈性电子邮件与经过正确身份验证的电子邮件区分开,但由于多种原因,这种方法无法解决:

  • 发件人具有复杂的电子邮件环境,许多系统发送电子邮件,通常包括 第三方供应商。确保可以使用SPF和DKIM对每封电子邮件进行身份验证非常复杂,尤其是在环境不断变化的情况下。 
  • 域所有者可以发送混合消息,其中一些消息可以通过身份验证,并且电子邮件接收者被迫区分合法消息和欺诈性消息,这些消息可以'验证。垃圾邮件算法容易出错,并且会不断发展变化以响应网络钓鱼者和垃圾邮件发送者不断变化的策略,这导致一些欺诈性电子邮件到达收件箱。 
  • 发件人收到的有关电子邮件身份验证部署的反馈很差。如果没有邮件退回,就无法确定正在发送多少但未经身份验证的合法电子邮件,甚至无法确定发件人的电子邮件欺骗范围'的域。这使得在复杂的电子邮件环境中对电子邮件身份验证进行故障排除变得更加困难。 
  • 即使发件人能够验证所有合法电子邮件均已通过身份验证,电子邮件接收者仍会警惕拒绝未经身份验证的电子邮件,因为某些合法消息可能未签名。 

这导致了DMARC,它允许发送方和接收方彼此共享信息。收件人可以向发件人提供有关其电子邮件身份验证结构的信息,而发件人可以告诉收件人如何处理未经身份验证的邮件。 

2007年,贝宝(PayPal)与Yahoo! Mail和更高版本的Gmail可以构建这种方法。 

到2012年,第一个DMARC规范发布,以帮助防止 电子邮件欺骗.

2015年3月,IETF RFC编辑器发布了RFC 7489, 基于域的消息身份验证,报告和一致性(DMARC) 提交给IETF DMARC工作组作为正式输入。 

如今,许多行业领导者正在制定DMARC规范: 

  • 接收者:AOL,Comcast,Google,网易,微软,Yahoo,Mail.Ru,XS4ALL和Yandex
  • 发件人:American Greetings,美国银行,Facebook,Fidelity Investments,LinkedIn,PayPal,摩根大通和Twitter
  • 中介机构和供应商:DMARC分析仪,Varimail,Agari,EasyDMARC,Cloudmark,Netcraft,Mailreport,ReturnPath,Redsift OnDMARC,Trusted Domain Project和Symantec

DMARC常见的误解是什么?

使用DMARC,组织可以避免 勒索软件 and other 恶意软件类型 通过网络钓鱼电子邮件进行传递,并提高电子邮件的可传递性。

DMARC获胜'立即解决可交付性。放置DMARC记录(并强制执行)有助于提高电子邮件通道的安全性,并帮助电子邮件进入收件人的主收件箱,'s not a guarantee. 

另一个常见的错误是将DMARC设置为拒绝策略。如果您的组织正在与之打交道,这可能是一个好举动 网络钓鱼 and 电子邮件欺骗。但是,这也可能导致合法电子邮件被阻止。它'通常最好使用隔离或不选择选项并监视故障。

许多组织犯的最大错误是仅监视其自己的DMARC存在。缓解 第三方风险 and 第四方风险 应该是你整体的一部分 信息安全数据安全 and 网络安全. 如果你r 第三方供应商 are processing 敏感数据个人身份信息(PII) or 受保护的健康信息(PHI) 您需要监视它们的DMARC。 

否则,攻击者可能会使用 电子邮件欺骗 在他们的域上定位到您的组织,从而 数据泄露 and 恶意软件 感染。投资于 供应商风险管理 and develop a robust 第三方风险评估框架 and 网络安全风险评估 process. 

寻找供应商 SOC 2 保证,要求看看他们 信息安全政策 and think about 信息风险管理 holistically.

UpGuard如何帮助您监视您和您的供应商的DMARC

像这样的公司 洲际交流泰勒·弗莱纽约证券交易所,IAG,First State Super,Akamai,Morningstar和NASA使用UpGuard保护其数据, 防止数据泄露,监视 漏洞  and avoid 恶意软件.

We'我们是数据泄露方面的专家 数据泄露研究 已在 纽约时报彭博社华盛顿邮报福布斯路透社 and Techcrunch。

UpGuard BreachSight 可以帮助监控DMARC,打击 抢注, 避免 数据泄露 and 数据泄漏,避免监管罚款并保护您的客户's trust through 网络安全等级 和连续曝光检测。 

UpGuard供应商风险 通过自动化可以最大程度地减少组织花费在管理第三方关系上的时间 供应商问卷 并持续监控您的供应商'随着时间的流逝而形成的安全态势,同时将它们与行业进行比较 

每个供应商均根据50多个标准(例如是否存在 SSL协议 and 域名系统,以及 域名劫持中间人攻击 and 电子邮件欺骗 for 网络钓鱼.

每天,我们的平台都会通过 网络安全等级 out 的 950. We'如果他们的分数下降,我会提醒您。

如果你'd想看看您的组织如何堆叠, 获得免费的网络安全评级

立即预订演示。

自由

白色UpGuard徽标
可供下载的UpGuard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色UpGuard徽标
电子书,报告& Whitepapers
可供下载的UpGuard免费资源
UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

观看UpGuard的实际应用

与我们的一位网络安全专家预订免费的个性化入职电话。
抽象形状抽象形状

相关文章

了解有关网络安全的最新问题的更多信息。
传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  • 检查图标
    您可以立即采取行动的即时见解
  • 检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状
UpGuard徽标
UpGuard是一个完整的第三方风险和攻击面管理平台。我们的安全评级引擎每天监控数百万家公司。