随着数字化的快速发展，企业邮箱已成为企业和企业最有效的沟通工具之一。。然而，令人担忧的是，这些企业邮箱是不良行为者利用它们进行恶意攻击、冒充可信品牌和垃圾邮件天真的用户的主要途径。这就是 DMARC（基于域的消息身份验证、报告和一致性）发挥作用的地方！它是一个强大的企业邮箱身份验证协议，可以保护您的域以及 企业邮箱收件人 免受网络犯罪分子的窥探。

本指南解释了 面向初学者的 DMARC 政策— 在本文末尾，您将了解何时使用哪种 DMARC 策略来获得针对网络钓鱼和身份盗窃的最佳保护。

DMARC——基本定义

DMARC 是一种功能强大的企业邮箱身份验证协议，可检查从您的域发送的每封企业邮箱是否完全合法。使用 DMARC 的最终目标是防止不良行为者和未经授权的实体以您的名义发送恶意企业邮箱。 DMARC 的运作方式是 利用 两个现有协议：SPF（发件人策略框架）和 DKIM（域名密钥识别邮件）。

DMARC 的工作是确保：

1. 非法邮件被过滤 所有发出的企业邮箱。
2. 域所有者决定如何处理未经身份验证的企业邮箱（是否将其作为垃圾邮件发送、简单地拒绝或不对其采取任何操作）。

实施 DMARC 保护 您的域名可以防止任何类型的滥用，并有助于在您的域名之间建立信任 企业邮箱收件人。

DMARC 政策解释

DMARC 策略基本上是一组指令，您可以将其传输到接收服务器，了解如何 处理未经身份验证的企业邮箱 从您的域发送。域名所有者获得 三大政策 选择：无、隔离或拒绝。

无政策

也称为 监视政策，p=无 不会拦截代表您的域发送的未经授权的企业邮箱。普遍的想法是 p=none 是无效或不必要的 DMARC 策略。然而，事实是 p=none 在特定情况下可能是有益的。

“无”政策适用：

新域名

如果您的域是新的，从“无”策略开始可以帮助您密切监控企业邮箱性能。。该政策将简单地收集周围的数据使IP地址合法化 以及允许哪些企业邮箱服务器从您的域发送企业邮箱。

拥有多个团队、渠道或部门的公司

如果你的是 大型企业或企业 对于分散的企业邮箱流、多个团队和部门，p=none 是最佳选择。该策略将帮助您同时密切关注多个部门之间的企业邮箱通信。

使用交易企业邮箱维持或提高域的送达率

“无”策略也适用于以下域或子域： 发送交易企业邮箱 并使用第三方提供商，例如营销平台或 CRM 系统。

测试 DMARC 对内部和外部企业邮箱的影响

“无”策略允许您检查 DMARC 对从您的域发送的外部和内部企业邮箱的影响。。有时您可能需要测试 DMARC 对 内部和外部企业邮箱 分别地。 p=none 策略允许您单独检查内容，而无需 阻碍功能的发挥 任一类型的企业邮箱。

用于公共交互或大量通信的域

info@domains 和 基于通知的域 还应该使用“无”策略，因为这允许他们评估与公共地址通信的 IP 地址和源。仔细分析它们可以让您稍后应用拒绝或隔离政策。

逐步 DMARC 过渡

急于从“无”到“隔离”再到“拒绝”的转变可能会影响 企业邮箱流并破坏其送达率。因此，建议坚持 p=none 以确定和解决问题。

检疫政策

比“none”策略更严格，但比“reject”策略更宽松，p=quarantine 是 DMARC 策略，要求 目标服务器 将未经授权的企业邮箱返回到垃圾邮件文件夹。可疑企业邮箱会进入垃圾邮件文件夹，而不是被完全拒绝。他提供了一个 更大程度的保护 到您的域，p=none 策略。 同时，它还可以最大限度地减少重要/合法企业邮箱被彻底拒绝的可能性。。

以下是您应该使用 p=quarantine 策略的情况：

从“无”逐步过渡到“拒绝”

p=检疫政策弥合了“无”和“拒绝”政策之间的差距。从“无”到“隔离”，最后再到“拒绝”，真是太好了。这种逐步过渡允许域所有者识别真实用户。 不合规的托运人 并相应地解决问题。

尽量减少误报情况

具有复杂邮件流配置的组织应选择“隔离”策略。不同的单位和部门可以导致 SPF 和 DKIM 配置。 “隔离”策略允许您识别未通过 DMARC 测试的企业邮箱。

保存您的非必要子域

非必要子域是威胁行为者的主要目标之一。 域名所有者经常忽视他们的安全性，因为它不是必需的。然而，在这种情况下，应用 p=quarantine 可能会很有用。有了隔离政策，出行变得更加方便 识别不合规的消息 而不影响企业邮箱的送达率。

内部域名转移问题

那些领域 涉及多名实习生 企业邮箱转发或路由可能由于与 SPF 或 DKIM 不相符而无法通过 DMARC 测试。在这种情况下，“隔离”政策就派上用场了。它充当中介，帮助您分析情况而不拒绝企业邮箱。

高容量企业邮箱环境

如果您的域发送 大企业邮箱 例如自动通知或客户服务系统，那么建议使用 p=quarantine。大量数据提供了精确的信息，域名所有者可以根据这些信息 最后移动到 p = 拒绝。

拒绝政策

“拒绝”政策表明 目标服务器 完全拒绝从您的域发送的未经授权的企业邮箱。这是少数域所有者使用的一项严格的 DMARC 策略，因为没有人愿意冒合法企业邮箱被拒绝的风险。

以下是 p = 拒绝的用例:

VIP 企业邮箱地址

名人和高管经常被恶意行为者冒充，以欺骗客户、股东和员工进行大规模金融交易。。这就是为什么 应用 p = 拒绝 将是瓦解不良行为者恶意意图的合适选择。

电商巨头、政府机构和高价值品牌

人们普遍认为 部门必须高度可信。这正是不良行为者试图冒充他们并从这些域发送未经授权的企业邮箱的原因。因此，这些类型的 高附加值领域 坚持 p=reject 以消除不良行为者的恶意。

金融行业和高安全行业

这些行业往往是敏感数据的宝库。这正是他们不冒任何风险的原因 坚持p=拒绝 以增强其消息传递的安全性。

结论 ！

鉴于全球网络攻击案例不断增加，企业邮箱身份验证已成为当前的需要。 这份全面的 DMARC 策略指南将帮助您将企业邮箱身份验证过程简化为简单但有效的步骤。。选择它 良好的政策和保护 您的企业邮箱通信系统就像专业人士一样。