什么是DMARC?如何设置?

本文主要介绍什么是DMARC,以及如何设置DMARC记录。

一、DMARC

DMARC是(Domain-based Message Authentication, Reporting & Conformance)的缩写,设置DMARC记录,防止他人伪造贵司域名,还可以获取到他人尝试伪造贵司域名的情况。

当Mail Receiver方(其MTA需支持DMARC协议)收到该域发送过来的邮件时,则进行DMARC校验,若校验失败会发送一封report到DMARC设置的邮箱。

二、如何设置

  1. 在设置DMARC记录之前,贵司必须保证已经设置如下SPF记录: "v=spf1 include:spf.mxhichina.com -all”或者“v=spf1 include:spf.qiye.aliyun.com -all”(两者选其一配置即可)。

  2. 当设置了SPF记录后,推荐贵司设置如下DMARC记录:

操作解析的域名

解析记录类型

优先级

解析记录值

_dmarc

TXT

-

v=DMARC1; p=quarantine; rua=mailto:a***@example.net; ruf=mailto:a***@example.net

说明

解析记录值中“a***@example.net”代表需要填写一个正常收发信的同组织邮箱地址。

下图为添加DMARC记录示例:DMARC

三、关于退信攻击邮件

收到大量退信邮件或自动回复邮件,原因可能是坏人仿冒您的域名发信,导致退信邮件都退到您的邮箱。

建议采取以下措施:

1、检查spf解析是否配置正确。

2、建议您配置dmarc解析,并设置记录值的p参数为quarantine,观察返回的dmarc报告,若确认为有人伪造发信,再将p参数设置为reject。

3、报告邮件会较多,建议使用同组织的专用邮箱接收dmarc报告。

p参数说明:

  • none:放行所有来自您域名的邮件。即使邮件未通过dmarc验证。

示例:

v=DMARC1;p=none;rua=mailto:a***@example.net;ruf=mailto:a***@example.net

  • quarantine:拒绝一部分邮件。配合pct参数(默认为100),设置未通过DMARC验证的邮件中,拒绝的百分比。

示例:

v=DMARC1;p=quarantine;pct=15;rua=mailto:a***@example.net;ruf=mailto:a***@example.net

  • reject:执行严格拒绝。拒绝所有未通过身份验证的邮件。

示例:

v=DMARC1;p=reject;rua=mailto:a***@example.net;ruf=mailto:a***@example.net

阿里云首页 企业邮箱 相关技术圈