SPF、DKIM、DMARC 如何推動電子郵件交付和安全性

已發表: 2022-11-28

三個電子郵件身份驗證標準協同工作,以提高發件人的電子郵件送達率和收件人的電子郵件安全性。

發件人政策框架 (SPF)、域密鑰識別郵件 (DKIM) 和基於域的消息身份驗證、報告和一致性 (DMARC) 有助於確保從您的公司發送的電子郵件是真實的,並且惡意行為者不會欺騙或以其他方式篡改他們。

SPF、DKIM、DMARC

SPF、DKIM 和 DMARC 向接收電子郵件服務器表明給定郵件是從授權 IP 地址發送的,發件人是真實的,並且發件人對其身份是透明的。

讓我們依次來看每一個。

為您的域設置 SPF 記錄涉及向域名系統 (DNS) 添加一種包含授權的外發郵件服務器列表的 TXT 記錄。 SPF 驗證來自您企業域的電子郵件來自經過身份驗證的來源,而不是冒名頂替者。

DKIM 密鑰由兩部分組成:存儲在 DNS 中的公鑰和存儲在發送郵件服務器中的私鑰。 收件人的郵件服務器使用附加到每封外發電子郵件的 DKIM 簽名來驗證其真實性。 DKIM 還可以指示給定的電子郵件信息是否已被更改。

DMARC 是一種策略機制,允許公司控制在未通過 SPF 或 DKIM 身份驗證時應如何處理來自其域的傳入電子郵件。 選項是“拒絕”、“隔離”或“無”。 如果有不法行為者試圖使用您的域,這就像一個警鐘。

SPF 記錄

設置 SPF 記錄需要在註冊商處訪問您域的 DNS 記錄,例如 GoDaddy 或類似的。 如果您曾經不得不驗證您的域或將其移動到新服務器,您可能更新了它的 DNS 記錄。

Screenshot of an SPF record in a DNS settings interface

SPF 記錄只是您域的 DNS 中的 TXT 記錄。

SPF 記錄的類型為“TXT”。 它將從您使用的 SPF 版本開始。

 v=spf1

版本後跟授權的 IP4 或 IP6 地址列表,如下所示:

 v=spf1 ip4:192.168.0.1

此 SPF 記錄將授權來自 192.168.0.1 IP 地址的電子郵件。 要允許一定範圍的 IP 地址,您可以使用無類域間路由 (CIDR) 表示法(有時稱為“斜杠”表示法)。

 v=spf1 ip4:192.168.0.0 /16

上面的 SPF 記錄將授權從 192.168.0.0 到 192.168.255.255 的 IP 地址範圍——這就是“/16”所表示的。

使用前綴“a”,SPF 記錄可以按名稱授權域。 下面的記錄授權與 example.com 域關聯的服務器。

 v=spf1 a:example.com

同樣,前綴“mx”(“郵件交換”)授權特定的郵件服務器。

 v=spf1 mx:mail.example.com

要授權第三方發件人,請使用前綴“include”。 下面的示例同時允許 IP 範圍和 Google 服務器。

 v=spf1 ip4:192.168.0.0/16 include:_spf.google.com

還有兩個 SPF 限定符。 第一個是帶有波浪號 (~) 的 ~all。 第二個是 -all 帶有連字符 (-)。

波浪號版本 (~all) 是軟失敗限定符。 在大多數情況下,接收電子郵件服務器將接受來自不在相關 SPF 記錄中但認為可疑的發件人的郵件。

連字符版本 (-all) 是 hard-fail 限定符。 接收電子郵件服務器可能會將來自未在 SPF 記錄中授權的服務器發送的郵件標記為垃圾郵件並拒絕它們。

最後,所有這些都可以一起用於相對複雜的授權。

 v=spf1 ip4:192.168.0.0/16 a:example.com include:_spf.google.com

請記住,SPF 記錄可幫助接收電子郵件的服務器識別來自貴公司域的真實電子郵件。

DKIM 密鑰

DKIM 保護您的域並幫助防止任何人冒充您的公司。 這兩個 DKiM 密鑰允許收件人的電子郵件服務器驗證郵件是您的公司發送的,並且在您發送後沒有被更改。

設置 DKIM 的第一步是生成密鑰——一個公鑰和一個私鑰。 私鑰在用於從您的域發送電子郵件的服務器上是安全的。 公鑰作為 TXT 記錄添加到 DNS。

棘手的部分是生成密鑰,因為創建它們的確切過程因電子郵件服務提供商而異。 如果您的公司託管自己的郵件服務器,那就完全不同了。

電子郵件服務提供商提供說明。 這裡有幾個例子,排名不分先後。

  • Mailchimp:設置電子郵件域身份驗證,
  • Klaviyo:如何設置專用發送域,
  • Zoho Campaigns:如何驗證我的域,
  • MailerLite:電子郵件域身份驗證,
  • 活動家:DKIM、SPF 和 DMARC,
  • ConvertKit:使用經過驗證的域發送電子郵件,
  • MailUp:最大限度地提高電子郵件的送達率,
  • ActiveCampaign:SPF、DKIM 和 DMARC 身份驗證,
  • 基普:DKIM。

在每種情況下,當您將電子郵件提供商的 CNAME 記錄添加(複製並粘貼)到您域的 DNS 時,DKIM 就完成了。 此記錄代表用於驗證您公司的出站電子郵件營銷消息的公鑰。

DMARC

DMARC 提供了另一層保護,並指示電子郵件服務器如何處理未通過 SPF 或 DKIM 身份驗證的郵件。

DMARC 的基礎是放置在您域的 DNS 中的 TXT 記錄。 這將包含至少包含兩個元素的 DMARC 政策:

  • 用於接收電子郵件身份驗證匯總報告的電子郵件地址,以及
  • 對未通過身份驗證的電子郵件採取的操作(即拒絕或隔離)。

以下是 DNS 中的 DMARC TXT 記錄示例:

 v=DMARC1; p=隔離區; rua=mailto:armando@example.com; ruf=mailto:armando@example.com。

記錄以 DMARC 版本開頭。

 v=DMARC1;

“p”元素為未通過身份驗證的電子郵件分配操作。 在這種情況下,它被設置為“隔離區”,它指示接收服務器將此類郵件移至暫存區。 其他選項包括“無”——它不會停止電子郵件,但會監控 SPF 或 DKIM 故障——或“拒絕”。

 p=隔離區;

前綴“rua”和“ruf”告訴接收服務器將聚合報告(rua - 聚合數據的報告 URI)和取證報告(ruf - 失敗數據的報告 URI)發送到哪裡。 這些報告可以揭露試圖冒充您的企業的罪犯。

其他修飾符包括:

  • pct — 受 DMARC 策略約束的電子郵件的百分比。
  • sp — 子域的 DMARC 策略。
  • adkim — 為 DKIM 分配嚴格 (adkim:s) 或寬鬆 (adkim:r) 模式。
  • aspf — 為 SPF 分配嚴格 (adkim:s) 或寬鬆 (adkim:r) 模式。

第三方服務可以幫助生成基於官方標準的 DMARC 記錄。 這些服務包括:

  • MX工具箱,
  • 電源DMARC,
  • 馬克西恩,
  • 易DMARC。

保護髮件人和收件人

為您的域設置 SPF、DKIM 和 DMARC 記錄可確保電子郵件服務器將來自您公司的郵件識別為真實郵件並拒絕冒名頂替者。 結果可以保護您公司的聲譽,並保護客戶免受網絡釣魚攻擊和其他類型的電子郵件欺詐。