揭秘 DMARC 記錄

已發表: 2021-08-18

DMARC(基於域的消息認證,報告和符合性)標準是最好的工具品牌必須打擊通過假冒他們擁有的域網絡釣魚的目標客戶的攻擊。 但是實施 DMARC 很快就會變得混亂。

在這篇文章中,我們將通過定義組成它的 DMARC 標籤來揭開 DMARC 記錄的神秘面紗。 我們將涵蓋必需和可選標籤,並討論一些策略和用例,其中鮮為人知的 DMARC 標籤可以為您的組織提供更高級別的電子郵件安全性。

什麼是 DMARC 標籤?
DMARC 標籤是 DMARC 標準的語言。 它們告訴電子郵件接收者 (1) 檢查 DMARC 和 (2) 如何處理未通過 DMARC 身份驗證的郵件。

必需的 DMARC 標籤
只有兩個必需的 DMARC 標籤:“v:”和“p:”

v:版本 此標記用於將 TXT 記錄標識為 DMARC 記錄,以便電子郵件接收者可以將其與其他 TXT 記錄區分開來。 v: 標籤的值必須為“DMARC1”,並且必須作為整個 DMARC 記錄中的第一個標籤列出。 如果該值與“DMARC1”不完全匹配或 v: 標記未首先列出,則接收方將忽略整個 DMARC 記錄。

示例:v=DMARC1

p:請求的郵件接收策略。 此標記指示接收方針對未通過域所有者指定的 DMARC 身份驗證和對齊檢查的郵件製定的策略。 除非明確描述了單獨的子域策略,否則此策略將適用於查詢的域和所有子域(我們將在後面的文章中介紹)。 p: 標籤有三個可能的值

  1. p=none:域所有者要求不對 DMARC 身份驗證和對齊失敗的郵件採取任何特定操作。
  2. p=quarantine:域所有者希望郵件接收者將未通過 DMARC 身份驗證和對齊檢查的郵件視為可疑郵件。 這可能意味著接收者會將電子郵件放入垃圾郵件/垃圾郵件文件夾,標記為可疑或更加仔細地檢查此郵件。
  3. p=reject:域所有者請求郵件接收者拒絕未通過 DMARC 身份驗證和對齊檢查的電子郵件。 拒絕應該發生在 SMTP 事務期間。 這是最嚴格的政策,提供最高級別的保護。

鑑於上述信息,最基本的 DMARC 記錄示例可能是: v=DMARC1; p=無。

可選的 DMARC 標籤
下面的可選 DMARC 標籤允許電子郵件發件人就如何處理未通過身份驗證的郵件提供更具體的說明,從而消除收件人的猜測。

  • rua:指示應將匯總的 DMARC 報告發送到何處。 發件人按以下格式指定目標地址:rua=mailto:[email protected]
  • ruf:指示應將取證 DMARC 報告發送到何處。 發件人按以下格式指定目標地址:ruf=mailto:[email protected]

以下可選標籤具有默認值,如果排除該標籤,則將採用該默認值。 具有假定默認值的標籤列表是:

  • adkim:表示嚴格或寬鬆的 DKIM 標識符對齊。 默認是寬鬆的。
  • aspf:表示嚴格或寬鬆的 SPF 標識符對齊。 默認是寬鬆的。
  • rf:消息失敗報告的格式。 默認值為身份驗證失敗報告格式,或“AFRF”。
  • ri:向發送方發送匯總報告之間經過的秒數。 默認值為 86,400 秒或一天。
  • pct:要應用 DMARC 策略的郵件的百分比。 該參數提供了一種逐步實施和測試策略影響的方法。
  • fo :指示向域所有者報告何種類型的身份驗證和/或對齊漏洞。
  • 後一個 fo: 標籤有四個值:
  • 0:如果所有底層身份驗證機制未能產生一致的“通過”結果,則生成 DMARC 失敗報告。 (默認)
  • 1:如果任何底層身份驗證機制產生的結果不是對齊的“通過”結果,則生成 DMARC 失敗報告。
  • d:如果消息具有評估失敗的簽名,則生成 DKIM 失敗報告,無論其對齊如何。
  • s:如果消息未通過 SPF 評估,則生成 SPF 失敗報告,無論其對齊如何。

雖然默認值為“fo=0”,但 Return Path 建議客戶使用fo:1 來生成最全面的故障報告,從而提供對電子郵件通道的更細粒度的可見性。

下面是一個示例 DMARC 記錄。 根據您目前所學,嘗試破譯每個標籤:

v=DMARC1; p=拒絕; fo=1; rua=mailto:[電子郵件保護]; ruf=mailto:[電子郵件保護]; rf = afrf; 百分比=100

子域呢?
我們今天要討論的最後一個 DMARC 標記是sp: 標記,它用於指示所有子域的請求策略,其中郵件未通過 DMARC 身份驗證和對齊檢查。 此標籤僅適用於頂級域(組織級域)。 當域所有者想要為頂級域和所有子域指定不同的策略時,這是最有效的。

對於以下場景,我們將使用“domain.com”的頂級域和“mail.domain.com”的子域來說明用例。

  1. 域所有者希望對“domain.com”實施拒絕策略,但對“mail.domain.com”(和所有其他子域)實施隔離策略。 “domain.com”的 DMARC 記錄將包含“v=DMARC1; p=拒絕; sp=隔離。” 如果組織需要為頂級域和所有子域維護單獨的 DMARC 策略,這是一種有效的策略。
  2. 域所有者希望對“mail.domain.com”(和所有其他子域)實施拒絕策略,不想對“domain.com”實施拒絕策略。 “domain.com”的 DMARC 記錄將包含“v=DMARC1; p=無; sp=拒絕。” 如果頂級域尚未準備好執行策略,但欺詐者正在欺騙子域(如 mail.domain.com、abc.domain.com、123.domain),這將是對抗字典攻擊的有效策略。 com、xyz.domain.com 等。將 sp: 標記設置為拒絕將保護組織免受這些針對子域的字典攻擊,而不會影響從頂級域“domain.com”發送的任何郵件

既然您了解了 DMARC 記錄的 DNA,請在電子郵件威脅情報報告中詳細了解它阻止的攻擊類型以及未阻止的攻擊類型