MDaemon如何设置DMRAC验证

  • 2019-03-22 14:58:39
根据数据统计显示,全球范围内每天仍有约1亿的钓鱼邮件在投递着,每年因此而泄露的个人密码,银行卡/信用卡信息等资料更是不计其数,对受害人和社会造成的影响是在太大,太恶劣。或许您该为你的MDaemon邮件服务器设置DMARC验证和为您的域名设置DMARC记录来防止伪造邮件,还可以获取到他人尝试伪造贵公司域名的情况。  
何为DMARC: DMARC是Domain-based Message Authentication,Reporting and Conformance的英文首字母缩写。DMARC协议是有效解决信头From伪造而诞生的一种新的邮件来源验证手段,为邮件收件人地址提供强大保护,并在邮件收发双方之间建立起一个数据反馈机制。和其他电邮安全协议的美好初衷一样,DMARC协议的主要目的是识别并拦截钓鱼邮件,使钓鱼邮件不再进入用户邮箱中(收件箱或垃圾箱),减少邮箱用户打开/阅读到钓鱼邮件的可能性,从而保护用户的账号密码等个人安全信息。   原理: 由Mail Sender(邮件发送方)在自己的DNS里声明自己采用DMARC协议。当Mail Receiver方收到该域发送过来的邮件时,则进行DMARC校验,根据发送方的设置将校验报告发送到一个邮箱。
DMARC协议基于现有的DKIM和SPF两大主流电子邮件安全协议。所以开启DMARC之前必须先启用SPF或DKIM,否则DMARC记录不生效。(相关SPF设置可以参考:https://www.altn.com.cn/2179.html  
添加到DNS: 添加TXT记录,如果主域名是domain.com,则TXT记录的主机名将为:_dmarc.domain.com,记录的TXT值包含策略类型和可选的报告功能。  例子:记录值:v=DMARC1;p=reject;rua=me@example.com v=DMARC1 表示的是版本标签, 即使其他 DMARC 标签值不区分字母大小写,v= 标签的值必须是大写字母: DMARC1。 p=reject  这是“策略”标签,必须作为DMARC的第二个标签,紧接v=这个标签;p=reject表示您希望收件服务器拒收未通过DMARC验证的任何邮件。不过一些服务器仍然接收这些邮件,不过将其隔离或进行额外审核。 rua=me@example.com 收件方检测后,将一段时间的汇总报告发送到me@example.com这个邮箱  

其他示例:

example.com 的 DMARC 记录

_dmarc IN TXT "v=DMARC1;p=none"

该记录将应用于发自 user@example.com 或子域为 example.com 的电子邮件,例如 user@support.example.com、user@mail.support.example.com 等。

_dmarc.support.example.com IN TXT "v=DMARC1;p=none"

该记录仅应用于发自 user@support.example.com 的电子邮件,不应用于发自 user@example.com 的电子邮件。

_dmarc.support IN TXT "v=DMARC1;p=none"

该记录将应用于发自: user@support.example.com、user@a.support.example.com、user@a.b.support.example.com 等的电子邮件。

 

DMARC中的必须标签和可选标签说明:

必须标签:

可选标签:

 
在MDaemon中可以开启DMARC验证: 可以勾选【将未通过DMARC测试的邮件过滤到垃圾邮件文件夹】选项,这时会跳出窗口询问是否为所有用户创建IMAP过滤规则,以将DMARC验证失败的邮件路由到垃圾邮件文件夹。 **注意** 如果在DMARC产生“FAIL(失败)”时 DMARC记录中p=reject,则不会将邮件路由到垃圾邮件文件夹,因为会话在SMTP连接时终止。   开启验证后可以将报告发送至对应的收件人: