DMARC 基础
无术语地理解 DMARC
DMARC 只是您在 DNS 中发布的一条简短指令。它告诉收件邮件服务器如何处理冒充您的消息,以及当检测到异常时如何发送摘要报告。
它不会重新路由、延迟或公开您的邮件。DMARCFlow 配置完成后,邮件照常流转,同时您能全面掌握欺骗尝试。
- 1存在于 DNS 中——无需访问收件箱。
- 2报告是机器可读的摘要,而非消息内容。
- 3与您已在使用的 SPF & DKIM 协同工作。
DMARC 只是您在 DNS 中发布的一条简短指令。它告诉收件邮件服务器如何处理冒充您的消息,以及当检测到异常时如何发送摘要报告。
它不会重新路由、延迟或公开您的邮件。DMARCFlow 配置完成后,邮件照常流转,同时您能全面掌握欺骗尝试。
工作原理
将 DMARC 想象成在整个邮件生态系统中共享的策略备忘录。它将现有的 SPF 和 DKIM 检查串联起来,并明确指定如何处理可疑流量。
在 _dmarc.yourdomain.com 下添加一条 TXT 条目,其中包含策略(监控、隔离、拒绝)和报告发送地址。服务器不会移动。
Gmail、Microsoft 等服务商收到您的邮件时,会验证 SPF 发件人和 DKIM 签名是否与您的域名匹配。
这些系统会发送聚合 XML 报告。每行都是按发送来源 IP 的尝试次数计数,而非消息正文。
审查现有 DNS,以监控模式逐步引入 DMARC,只有在确认所有合法发件人都能通过后,才会收紧策略。
邮件已投递,但欺骗尝试未被察觉。没有报告,也没有强制执行。
以 p=none(监控)发布 DMARC。接收报告,无需接触内容即可修复 SPF/DKIM 缺陷。
一切认证完成后,切换到隔离/拒绝模式。合法流量继续流转,欺骗消息最终失败。
隐私承诺
我们收到的唯一数据是聚合 XML 行,例如「来自 203.0.113.10 的 250 条消息已通过」。其中没有主题、附件或正文。
将其想象成投递确认。足以证明真实性,但远不足以读取任何一条消息。
DMARC 报告按来源汇总消息。无法追踪到具体的员工或客户。
邮件不会经由 DMARCFlow 重新路由。所有消息仍从您的服务器直接发送给收件人。
如需暂停强制执行,只需更改 DNS 中的策略值即可。
记录所有变更供审计人员查阅,精确显示谁操作了哪条记录。