DMARC.

发件人策略框架（SPF）是一种电子邮件验证协议，允许组织指定可以从其域发送电子邮件的组织。组织可以在域名系统（DNS）中发布的SPF记录中授权发件人。此记录包括电子邮件发件人的已批准的IP地址，包括已授权在组织上发送电子邮件的服务提供商的IP地址。发布和检查SPF记录是停止网络钓鱼和其他基于电子邮件的基于电子邮件的威胁的可靠方法。

域键已识别邮件（DKIM）是一种电子邮件身份验证协议，允许接收器检查该域所有者是否真正授权来自特定域的电子邮件。它允许组织负责通过将数字签名附加到它来传输消息。验证是通过使用DNS中发布的签名者的公钥进行加密身份验证完成的。签名确保了电子邮件的某些部分，因为附加数字签名时尚未修改。

对于传递DMARC身份验证的消息，它必须通过SPF身份验证和SPF对齐和/或通过DKIM身份验证和DKIM对齐。如果消息失败DMARC，则发件人可以通过DMARC策略指示与该消息处理的接收器。域所有者有三个策略可以强制执行：无（邮件被传递给收件人，DMARC报告被发送到域所有者），隔离区（消息被移动到隔离文件夹）并拒绝（未传递消息）根本）。

“无”的DMARC政策是一个很好的第一步。这样，域名所有者可以确保所有合法的电子邮件都正常验证。域所有者接收DMARC报告以帮助他们确保识别所有合法的电子邮件并通过身份验证。一旦域所有者相信他们已经确定了所有合法的发件人并拥有固定的身份验证问题，他们可以转向“拒绝”和块网络钓鱼，商业电子邮件妥协以及其他电子邮件欺诈攻击的策略。作为电子邮件接收器，组织可以确保其安全电子邮件网关强制执行到域所有者实现的DMARC策略。这将保护员工免受入站电子邮件威胁。

SPF认证通过识别应该从给定域发送电子邮件的所有合法IP地址开始，然后在DNS中发布此列表。在提供邮件之前，通过查找电子邮件的隐藏技术标题中的“来自”地址中包含的“信封”地址中包含的域，将验证SPF记录。如果在域的SPF记录中未列出代表此域名发送电子邮件的IP地址，则该消息将失败SPF身份验证。

对于DKIM身份验证，发件人首先识别他们希望在其DKIM签名中包含的字段。这些字段可以包括“来自”地址，电子邮件正文，主题等。这些字段必须保持不变，或者消息将失败DKIM身份验证。其次，发件人的电子邮件平台将创建DKIM签名中包含的文本字段的哈希字段。生成哈希字符串后，它将使用私钥加密，只有发送方可以访问。发送电子邮件后，它由电子邮件网关或消费者邮箱提供商验证为DKIM签名。这是通过定位一个私钥的完全匹配的公钥来完成的。然后将DKIM签名解密回其原始哈希字符串。

• 由于DMARC报告的卷，即电子邮件发件人可以在DMARC报告中提供和缺乏清晰度，完全实现DMARC身份验证可能很困难。
• DMARC解析工具可以帮助组织对DMARC报告中包含的信息感。
• DMARC中包含的附加数据和洞察力在DMARC中报告帮助组织更快，更准确地识别电子邮件发件人。这有助于加快实现DMARC身份验证的过程，并降低阻止合法电子邮件的风险。
• 具有DMARC专业知识的专业服务顾问可以帮助组织DMARC实施。顾问可以帮助识别所有合法的发件人，修复身份验证问题，甚至可以使用电子邮件服务提供商，以确保它们正常进行身份验证。
• 组织可以在几分钟内创建DMARC记录，并通过执行“无”的DMARC策略来开始通过DMARC报告获得可见性。
• 通过适当地识别所有合法的电子邮件发件人 - 包括第三方电子邮件服务提供商 - 并修复任何身份验证问题，组织应在执行“拒绝”的DMARC策略之前达到高度置信水平。

相关项目：

• DMARC信息
• DMARC检查
• 使用dmarc入门
• DMARC创建向导
• BOD 18-01.