揭秘 DMARC 记录

已发表: 2021-08-18

DMARC(基于域的消息认证,报告和符合性)标准是最好的工具品牌必须打击通过假冒他们拥有的域网络钓鱼的目标客户的攻击。 但是实施 DMARC 很快就会变得混乱。

在这篇文章中,我们将通过定义组成它的 DMARC 标签来揭开 DMARC 记录的神秘面纱。 我们将涵盖必需和可选标签,并讨论一些策略和用例,在这些策略和用例中,鲜为人知的 DMARC 标签可以为您的组织提供更高级别的电子邮件安全性。

什么是 DMARC 标签?
DMARC 标签是 DMARC 标准的语言。 它们告诉电子邮件接收者 (1) 检查 DMARC 和 (2) 如何处理未通过 DMARC 身份验证的邮件。

必需的 DMARC 标签
只有两个必需的 DMARC 标签:“v:”和“p:”

v:版本 此标记用于将 TXT 记录标识为 DMARC 记录,以便电子邮件接收者可以将其与其他 TXT 记录区分开来。 v: 标签的值必须为“DMARC1”,并且必须作为整个 DMARC 记录中的第一个标签列出。 如果该值与“DMARC1”不完全匹配或 v: 标记未首先列出,则接收方将忽略整个 DMARC 记录。

示例:v=DMARC1

p:请求的邮件接收策略。 此标记指示接收方针对未通过域所有者指定的 DMARC 身份验证和对齐检查的邮件制定的策略。 除非明确描述了单独的子域策略,否则此策略将适用于查询的域和所有子域(我们将在后面的文章中介绍)。 p: 标签有三个可能的值

  1. p=none:域所有者要求不对 DMARC 身份验证和对齐失败的邮件采取任何特定操作。
  2. p=quarantine:域所有者希望邮件接收者将未通过 DMARC 身份验证和对齐检查的邮件视为可疑邮件。 这可能意味着接收者会将电子邮件放入垃圾邮件/垃圾邮件文件夹,标记为可疑或更加仔细地检查此邮件。
  3. p=reject:域所有者请求邮件接收者拒绝未通过 DMARC 身份验证和对齐检查的电子邮件。 拒绝应该发生在 SMTP 事务期间。 这是最严格的政策,提供最高级别的保护。

鉴于上述信息,最基本的 DMARC 记录示例可能是: v=DMARC1; p=无。

可选的 DMARC 标签
下面的可选 DMARC 标签允许电子邮件发件人就如何处理未通过身份验证的邮件提供更具体的说明,从而消除收件人的猜测。

  • rua:指示应将汇总的 DMARC 报告发送到何处。 发件人按以下格式指定目标地址:rua=mailto:[email protected]
  • ruf:指示应将取证 DMARC 报告发送到何处。 发件人按以下格式指定目标地址:ruf=mailto:[email protected]

以下可选标签具有默认值,如果排除该标签,则将采用该默认值。 具有假定默认值的标签列表是:

  • adkim:表示严格或宽松的 DKIM 标识符对齐。 默认是宽松的。
  • aspf:表示严格或宽松的 SPF 标识符对齐。 默认是宽松的。
  • rf:消息失败报告的格式。 默认值为身份验证失败报告格式,或“AFRF”。
  • ri:向发送方发送汇总报告之间经过的秒数。 默认值为 86,400 秒或一天。
  • pct:要应用 DMARC 策略的邮件的百分比。 该参数提供了一种逐步实施和测试策略影响的方法。
  • fo :指示向域所有者报告何种类型的身份验证和/或对齐漏洞。
  • 后一个 fo: 标签有四个值:
  • 0:如果所有底层身份验证机制未能产生一致的“通过”结果,则生成 DMARC 失败报告。 (默认)
  • 1:如果任何底层身份验证机制产生的结果不是对齐的“通过”结果,则生成 DMARC 失败报告。
  • d:如果消息具有评估失败的签名,则生成 DKIM 失败报告,无论其对齐如何。
  • s:如果消息未通过 SPF 评估,则生成 SPF 失败报告,无论其对齐如何。

虽然默认值为“fo=0”,但 Return Path 建议客户使用fo:1 来生成最全面的故障报告,从而提供对电子邮件通道的更细粒度的可见性。

下面是一个示例 DMARC 记录。 根据您目前所学,尝试破译每个标签:

v=DMARC1; p=拒绝; fo=1; rua=mailto:[电子邮件保护]; ruf=mailto:[电子邮件保护]; rf = afrf; 百分比=100

子域呢?
我们今天要讨论的最后一个 DMARC 标记是sp: 标记,它用于指示所有子域的请求策略,其中邮件未通过 DMARC 身份验证和对齐检查。 此标签仅适用于顶级域(组织级域)。 当域所有者想要为顶级域和所有子域指定不同的策略时,这是最有效的。

对于以下场景,我们将使用“domain.com”的顶级域和“mail.domain.com”的子域来说明用例。

  1. 域所有者想要对“domain.com”实施拒绝策略,但对“mail.domain.com”(和所有其他子域)实施隔离策略。 “domain.com”的 DMARC 记录将包含“v=DMARC1; p=拒绝; sp=隔离。” 如果组织需要为顶级域和所有子域维护单独的 DMARC 策略,这是一种有效的策略。
  2. 域所有者希望对“mail.domain.com”(和所有其他子域)实施拒绝策略,不想对“domain.com”实施拒绝策略。 “domain.com”的 DMARC 记录将包含“v=DMARC1; p=无; sp=拒绝。” 如果顶级域尚未准备好执行策略,但欺诈者正在欺骗子域(如 mail.domain.com、abc.domain.com、123.domain),这将是对抗字典攻击的有效策略。 com、xyz.domain.com 等。将 sp: 标记设置为拒绝将保护组织免受这些针对子域的字典攻击,而不会影响从顶级域“domain.com”发送的任何邮件

既然您了解了 DMARC 记录的 DNA,请在电子邮件威胁情报报告中详细了解它阻止的攻击类型以及未阻止的攻击类型