什么是 SPF、DKIM 和 DMARC 记录? 为什么需要它们?

已发表: 2022-04-06

SPF、DKIM、DMARC 不仅仅是技术电子邮件配置。 它们对电子邮件传递有不利影响。 他们一起工作以确保更好的电子邮件传递。

简而言之,互联网服务提供商 (ISP) 使用所有三种方法来验证电子邮件的真实性。 发件人真的是他们声称的那个人吗?

您必须证明您是有效的发件人才能通过 ISP 过滤器。 你怎么能证明你没有代表别人发送并且你的身份没有被盗? 通过使用 SPF DKIM DMARC。

明确证明和保护发件人真实性的文本记录称为 SPF DKIM DMARC 记录。

您可以使用以下方法在 Cyber​​Panel 上设置所有这些记录:使用 Cyber​​Panel 获得 10/10 的电子邮件分数!

目录

防晒指数

发件人策略框架(简称 SPF)是一种电子邮件验证协议,用于检测和阻止电子邮件伪造。 它使邮件中介能够验证来自某个域的传入邮件是否来自该域管理允许的 IP 地址。 SPF 记录是 DNS(域名系统)中的 TXT 记录,指示允许哪些 IP 地址和/或服务器“从”该域发送邮件。 这类似于在明信片上有一个可信赖且可识别的回信地址:如果回信地址可靠且可识别,大多数人更有可能打开一封信。

ISP 会在消息传输后检查消息的返回路径域。 然后将发送电子邮件的 IP 地址与返回路径域的 SPF 记录中所述的 IP 地址进行比较,以验证它们是否匹配。 如果是这样,ISP 会验证 SPF 验证并发送消息。

SPF 记录示例:

v=spf1 ip4:168.119.13.219 包括:mailgun.org 包括:zoho.com 包括:mxlogin.com ~all

它为什么如此重要?

SPF 是一个“提议的标准”,有助于保护电子邮件用户免受垃圾邮件发送者的侵害。 伪造的“发件人”地址和域经常用于垃圾邮件和网络钓鱼。 因此,大多数人认为发布和检查 SPF 记录是最有效和最直接的反垃圾邮件策略之一。 如果您有良好的发送图像,垃圾邮件发送者可能会尝试从您的域发送电子邮件,以便从您的 ISP 良好的发件人声誉中获益。 但是,正确配置的 SPF 身份验证会通知收件人 ISP,虽然域可能是您的,但不允许发送服务器代表您发送邮件。

即使子域没有自己的 SPF 记录,顶级域中的 SPF 记录也会自动对其进行身份验证。

优点

当垃圾邮件发送者控制您的域时,他们会尝试发送不需要的电子邮件。 这将损害您的信誉以及交付能力。 如果您尚未对域进行身份验证,则应将其作为优先事项。 SPF 通过以下方式确保您的可交付性很高:

• 通知第三方报价的接收者。
如果垃圾邮件发送者使用中继,则 SPF 记录可确保通知最终用户。

• 快速访问收件箱
由于 SPF 的实施,电子邮件收件人将获得对您品牌的信任,并且您未来的电子邮件将可以安全地访问他们的收件箱。

• 某些收件人需要
一些电子邮件收件人只想要一个 SPF 记录,如果他们没有,就会将电子邮件指定为垃圾邮件。 否则,您的电子邮件可能会被退回。

• 提高发件人的分数
每个外发邮件服务器的发件人分数都是使用传统的电子邮件指标计算的,例如退订和垃圾邮件文件。 SPF 提高了您的发件人分数,从而改善了电子邮件传递。

缺点

SPF 系统有几个限制。 以下是详细信息:

• 不适用于已转发的电子邮件
由于转发的电子邮件不包含原始发件人的标识并且看起来是垃圾邮件,因此它们经常无法通过发件人策略框架测试。

• 没有定期更新
许多域管理员可能无法定期更新其 SPF 记录。

• 尽管服务器已更改,您仍必须更新。
使用第三方电子邮件提供商时,每次服务提供商的服务器发生变化时,域都必须更新 SPF 记录,这会增加工作量。

它是如何工作的?

接收服务器通过在电子邮件标头中查找域的 Return-Path 值来检查 SPF。 收件人服务器使用此返回路径在发件人的 DNS 服务器中查找 TXT 记录。 如果启用了 SPF,它将显示可以发送邮件的所有已批准服务器的列表。 如果 IP 地址不在列表中,则 SPF 检查将失败。

SPF 记录分为两部分:限定符和机制。

  • 可以使用机制定义允许谁代表域传递邮件。 如果满足这些条件,则可以使用四个限定词之一。
  • 当一种机制匹配时,限定符是采取的行动。 如果未指定限定符,则使用默认 +。 下面列出了四种可用于配置 SPF 电子邮件策略的限定符。

DKIM

DKIM(DomainKeys Identified Mail)允许组织(或消息处理程序)在消息传输过程中对其负责。 DKIM 将新的域名标识符添加到消息中,并利用加密技术来验证其授权。 消息中的任何其他标识符,例如作者的 From: 字段,对标识没有影响。 DKIM 是一种 TXT 记录签名,也有助于在发送者和接收者之间建立信任。

它为什么如此重要?

虽然 DKIM 不是必需的,但它可以让您的电子邮件在收件人看来更加真实,并降低他们最终进入垃圾邮件或垃圾邮件文件夹的可能性。 来自可信域的欺骗电子邮件是危险垃圾邮件活动的常用策略,而 DKIM 使欺骗来自启用 DKIM 的域的电子邮件变得更加困难。

DKIM 与当前的电子邮件架构兼容,并与 SPF 和 DMARC 结合使用,为电子邮件发件人提供额外的安全层。 即使他们的邮件服务器不支持 DKIM 签名,他们仍然可以接收签名邮件。 这是一种可选的安全机制,而 DKIM 并不是一个广泛使用的标准。

优点

签名和验证是 DKIM 提供的两个独立动作。 它们中的任何一个都可以由邮件传输代理模块 (MTA) 处理。 私钥和公钥 DKIM 密钥是成对创建的。

DKIM 使用“非对称加密”,也称为“公钥加密”。 DKIM 使用“私钥”在收到消息之后和将其传输给预期的接收者之前建立签名。 该消息附有此签名。 当消息被发送给它的预期接收者时,目标服务器请求发送者的公钥以验证签名。 如果公钥允许目标服务器将给定的签名解密为它计算的与签名相同的值,则目标服务器可以假设发送者就是他们声称的那个人。

缺点

  • SPF 记录类型 - SPF 记录只能以 TXT 格式发布。 “SPF”类型记录不再受支持,应避免使用。
  • 多个记录 - 将多个 SPF 记录添加到域。 额外的记录必须被删除或与当前记录合并。
  • 使用包含技术来引用不存在的记录被称为包含不存在的记录。 包含的无效项目必须删除。
  • 如有疑问,请使用 -all。 在不完全包含所有可能来源的情况下使用它会增加真实电子邮件被拒绝的风险。
  • 记录过多 - 包括过多的记录,尤其是在 _spf.google.com 和 spf.protection.outlook.com 区域中的记录,可能会导致查找次数过多。 这些记录需要优化。

它是如何工作的?

DKIM 通过非对称加密生成公钥和私钥对。 在发送方域的 DNS 中,公钥作为特定的 TXT 记录发布。 私钥用于使每封电子邮件的签名独一无二。

一种隐私算法使用您的私钥和电子邮件内容分配随机签名作为电子邮件标题的一部分。

当出站邮件服务器发送邮件时,它会生成唯一的 DKIM 签名标头并将其附加到邮件中。 两个加密散列、一个已定义的标头和消息内容的至少某些部分之一都包含在此标头中。 DKIM 标头还包括有关如何创建签名的详细信息。

当 SMTP 服务器收到邮件头中包含此类签名的电子邮件时,它会在 DNS 中查询发送域的公钥 TXT 记录。 接收服务器将能够验证电子邮件是否是从该域发送的,并且在传输过程中没有使用公钥被篡改。

如果检查失败或签名不存在,收件人电子邮件服务提供商可能会将电子邮件归类为垃圾邮件或完全禁止发件人的 IP 地址。 这使诈骗者更难在电子邮件中冒充您的域地址。

DMARC

基于的消息验证报告和一致性( DMARC ) 是一个免费和开放的技术规范。 在 DMARC 实现中,核心是定义规则集的 DMARC 记录。 如果域启用了 DMARC,则此记录会通知电子邮件收件人。 这意味着域所有者可以在域的 DMARC 记录中指定他/她想要使用的策略。 DNS(域名服务)记录本质上是 DMARC 记录。 可以实现 DMARC DNS 记录以使用 DMARC。 已采用 DMARC 的电子邮件接收者的用户将能够使用此记录。 因此,您的 DMARC 策略将允许您跟踪发送到您的域的每封邮件。

因此,发布 DMARC 记录的组织将能够指定如何处理违规行为。 可以监视(和传递)消息、将它们移动到垃圾文件夹或拒绝它们。

它为什么如此重要?

任何不匹配的电子邮件都被认为是欺诈性的,将被忽略。 网络钓鱼是一种冒充他人发送恶意电子邮件以获取用户信用卡或其他个人信息的欺骗性活动。 因此,通过使用 DMARC,您可以保护自己。

成功的 DMARC 安装将逐渐从各种隔离级别上升到完全拒绝。 良好的做法还要求发件人定期监控 DMARC 报告。 这些报告会提醒您针对您的域进行的任何网络钓鱼活动,以及您自己的电子邮件是否因 DKIM 或 SPF 故障而被拒绝。

优点

如果您使用电子邮件,DMARC 是一个好主意。

当实施针对欺诈性电子邮件的有效安全控制时,交付会得到简化,品牌可靠性会提高,并且域所有者可以了解其域在 Internet 上的使用情况。

  • 安全性:为保护消费者免受垃圾邮件、欺诈和网络钓鱼的侵害,请勿允许非法使用您的电子邮件域。
  • 可见性:了解通过 Internet 从您的域发送电子邮件的人员和内容。
  • 交付:使用与大型企业分发电子邮件相同的尖端技术。
  • 身份:使您的电子邮件在具有 DMARC 功能的庞大且不断增加的接收器生态系统中易于识别。

缺点

在大多数情况下,DMARC 是有能力的。 由于技术进步,网络钓鱼变得更加困难。 然而,尽管这种方法解决了一个问题,但它会产生另一个问题:误报。 在两种情况下,合法邮件可能会被阻止或标记为垃圾邮件:

  • 已转发的邮件 无论邮件是从多个邮箱传输还是通过中间邮件节点转移,某些邮件系统在转发的邮件(中继)中都无法通过 SPF 和 DKIM 签名。
  • 设置不正确。 在配置 DKIM 和 SPF 时,邮件服务器管理员犯错误的情况并不少见。

它是如何工作的?

由于 DMARC 依赖于 SPF 和/或 DKIM 结果,因此电子邮件域必须至少存在其中之一。 您必须在 DNS 中发布 DMARC 条目才能使用 DMARC。

在验证 SPF 和 DKIM 状态后,DMARC 记录是 DNS 记录中的一个文本项,它告诉全世界您的电子邮件域的策略。 如果 SPF、DKIM 或两者都通过,则 DMARC 进行身份验证。 这称为标识符对齐或 DMARC 对齐。 根据标识符对齐,SPF 和 DKIM 可能会通过,但 DMARC 会失败。

DMARC 记录还指示电子邮件服务器将 XML 报告提交到 DMARC 记录的报告电子邮件地址。 这些报告向您展示您的电子邮件如何在生态系统中传播,并允许您查看还有谁在使用您的电子邮件域。

理解用 XML 编写的报告可能很困难,尤其是当它们有很多时。 DMARCIAN 平台可以接收这些数据并可视化您的电子邮件域的使用情况,从而允许您采取行动并将您的 DMARC 政策更改为 p=reject。

SPF DKIM DMARC

SPF和DKIM之间的区别

DKIM 是一组密钥,它告诉 IP 您是原始发件人并且您的电子邮件没有被篡改。 SPF 是一个白名单,其中包括有权代表您发送消息的所有人。 如果您渴望了解这一切是如何工作的,请查看电子邮件标头以查看电子邮件是否正确使用 DKIM 签名或通过 SPF。

为什么需要 SPF DKIM DMARC?

启用电子邮件验证不仅是发送电子邮件的好主意; 它也是保护您企业声誉的重要工具,可降低未经授权的发件人在未经您许可或不知情的情况下使用您的域的可能性。

SPF DKIM DMARC 一起使用?

由于互联网电子邮件协议的发展,我们需要三个。

邮件标头(例如收件人:、发件人:和密件抄送:地址)故意与邮件的实际内容隔离开来。 这是一个好处,但它给现代 IT 经理带来了新的痛苦世界。

如果您在电子邮件基础架构中正确实施所有三种协议,则可以确保消息不会被轻易伪造,并且它们永远不会到达用户的收件箱。

结论

在当今世界,对电子邮件进行电子邮件验证对于电子邮件传递至关重要。 由于多次电子邮件冒充和违规尝试,未来的规定只会变得更加严厉。 只要确保如果您通过某个 ISP 域发送电子邮件,您检查他们的验证策略以了解如何充分利用您的电子邮件传递。