DMARC记录:谁在冒充你的域名发送邮件?

用过独立域名邮箱的人大都应该知道,添加完MX记录以后,通常需要再加一条SPF(TXT)记录,为的就是告诉收件方服务器,哪些IP是权威的发信来源,这样当有人伪造你的域名发信时,由于IP不对,就可能被拒收或者归为垃圾邮件。比如我的域名(qifu.me)的SPF(TXT)记录如下:

v=spf1 include:spf.mail.qq.com a -all
#第一段的v是版本;
#后面是我指定的规则,第二段是说spf.mail.qq.com这个域名下的SPF记录里允许的IP,我这里同样也允许;
#第三段的a是说该域名(qifu.me)的A记录所对应的IP也是我允许的发信来源,注意这两个规则前面都默认省略了“+”,“+”代表接受;
#而最后一段的“-”则代表拒绝,也就是说,除了前面规则里提到的那些,其余所有都不允许,收件方服务器看到这个减号,就可以把非法的邮件拒收。当然,如果你改为“~”,则通常会把非法邮件放入垃圾箱。
#(还有其他一些规则,比如ip4、ip6、mx、ptr、exists,这里不再详述,但是除了ip4和ip6外,其余记录都要再进行一次DNS查询,所以数量最好不要太多)

那么问题来了,虽然仿冒我域名的邮件被拦截或者进入垃圾箱了,但到底都是谁在冒充我呢?正解就是DMARC记录,比如我在域名的子域“_dmarc”下添加了如下的一条TXT记录:

v=DMARC1; p=reject; ruf=mailto:admin@qifu.me
#参数v指定版本;
#p代表规则,reject代表拒收伪造邮件,如果改为quarantine则标记为垃圾邮件,改为none则不处理;
#ruf则指定了一个邮箱地址,当收件方服务器检测到伪造邮件后,就会把伪造邮件的信息(比如时间、IP、主题等)发送到这个邮箱。
#(还有其它一些参数,不重要,此处亦不再详述)

收件方服务器首先根据你的SPF或者DKIM记录判定来信是否属于伪造邮件,然后再根据你的规则做相应处理和报告。目前据我测试,微软邮箱、Gmail、QQ邮箱、网易邮箱均支持该记录。

设置了DMARC记录后,我收到过十几个伪造报告,大部分都是来自湖北、广东、福建的IP,主要发往了网易邮箱,主要是一些主题包含销售、产品、业务等关键词的垃圾信息。

随便看看

本文共有16条评论

您好,#请填信息#填写

发表评论