DMARC简记
DMARC
基于域的消息认证,报告和一致性(英语:Domain-based Message Authentication, Reporting and Conformance,简称DMARC)是一套以SPF 及DKIM 为基础的电子邮件 认证机制,可以检测及防止伪冒身份、对付网络钓鱼 或垃圾电邮 。
DMRAC三个级别,reject级别最严格。
- p=none - 即使认证失败的邮件也会被送到收件人的收件箱。
- p=quarantine - 未经认证的邮件会进入垃圾邮件文件夹。
- p=reject - 不通过DMARC的邮件不会交付给收件人。
DKIM记录
全称为DomainKeys Identified Message (DKIM)
伪造邮件来源域名
加密协议,使用密钥来验证邮件合理性
电子邮件服务商持有的私钥、域名所有者持有的公钥
是一种电子邮件验证方法,防止他人冒充合法域名。
在发送邮件时,将会携带一段由私钥加密的字段,接收者可以通过查询 DNS 获取 DKIM 记录中的公钥进行解密,这样就达到了验证邮件合法性的目的。
SPF 记录
全称为 Sender Policy Framework,即发件人策略框架,主要用于防止伪造邮件发送人。
假如你的邮箱服务器接收到了一封来自于 111.111.111.111 这个IP地址的邮件,并声称发件人是 [email protected]。这时候你的邮箱服务器就会去检索这个发件人是否是伪造的,具体来说就是通过查询 example.com 的SPF记录中是否包含并允许 111.111.111.111 这个IP地址。若允许则会正常收信;若不允许则会则通常会退信,或将其标记为垃圾/仿冒邮件
DMARC 缺点
易误报。
有些邮件系统在转发的消息中破坏了SPF和DKIM签名,无论消息是由邮箱转投还是在中间节点间互相转发,这种情况都可能发生。
补缺手段
当用户写邮件时,他们使用诸如微软Outlook之类的邮件用户代理(MUA),它负责生成消息并将其发送至邮件传输代理(MTA)进一步转发。除了用户填写的邮件内容、主题和收件人地址之外,邮件用户代理会添加必要的头部信息。攻击者往往使用他们自己的邮件用户代理来绕过安全系统,它们通常是攻击者自己编写的邮件引擎,基于一定的模板产生邮件消息并添加头部信息,每个这样的邮件用户代理都有它自己独特的”笔迹”。
对于DMARC未通过的邮件,现在主流的方式是使用机器学习技术,二次筛选。
- Title: DMARC简记
- Author: Aoi Komiya
- Created at: 2024-11-23 13:14:19
- Updated at: 2024-11-23 13:53:32
- Link: https://blog.komiya.monster/2024/11/23/DMARC/
- License: This work is licensed under CC BY-NC-SA 4.0.