Defaults.Exposed

Defaults.Exposed修復 › DMARC(郵件冒充防護)

如何修復 DMARC(郵件冒充防護)

DMARC 是唯一一個真正命令全世界郵件服務商攔截那些偽造你公司名義的郵件的設定。SPF 和 DKIM 負責檢查鎖;DMARC 決定當一封偽造郵件沒通過檢查時該怎麼辦——扔掉、標記,還是放行。設錯了,你的網域可被隨意偽造;設對了,冒充在抵達收件匣前就被攔下。

對您業務的關鍵影響: 沒有 DMARC 強制執行,罪犯就能發出看起來與你公司一模一樣的郵件——發給你的客戶、員工和供應商——而且它落進的是收件匣,不是垃圾箱。有人以你的名義被騙,罵的卻是你。

這會讓您付出什麼代價

為什麼它重要。 郵件從設計之初就無法證明發件人究竟是誰,所以偽造「發件人」地址輕而易舉。DMARC 是唯一一個把「我們能識別偽造」變成「偽造被攔下」的控制項——它還給你每日報告,揭示究竟有誰在以你的品牌名義發信。大型郵箱服務商如今會把缺失或未強制的 DMARC 策略當作對你不利的信任信號,所以這也影響你自己的郵件能否被送達。

別讓這個評級下滑

Domain Watch 會按計劃重新檢測 你的網域,一旦出現任何退步便立即向你發出警報。

使用 Domain Watch 監控 你的網域 →

DMARC 是什麼,大白話版

郵件有個見不得光的秘密:「發件人」那一行只是打上去的文字。任何人、在任何地方,都能把你的公司名字和地址填進一封郵件的「發件人」欄然後發出去。網際網路從一開始就沒設計成能阻止他們。

有三個設定,合在一起能修好這件事。把它們想像成一棟樓的安保:

你可以同時擁有名單(SPF)和封印(DKIM),卻仍然沒有保安。這正是最常見也最危險的處境:鎖存在,卻沒有任何東西去執行它們。DMARC 就是那個執行環節。 它是「我們能看出這封郵件是假的」和「這封假郵件永遠到不了你客戶手裡」之間的區別。

這會讓你付出什麼代價

這不是空談。下面是一個不受保護的網域如何變成真金白銀損失和真實傷害的具體方式:

  1. 假發票騙局。 罪犯給你的客戶發去一封看上去與你財務團隊真實發票一模一樣的郵件——同樣的名字、同樣的網域、專業的版式——只是換成了他自己的銀行帳戶。因為你的網域沒被強制執行,它落進收件匣,而不是垃圾箱。客戶付了款。幾週後他們來問貨在哪裡,你才發現。錢通常已經沒了,而客戶往往認定該為這次洩露負責。

  2. 冒充 CEO 的電匯詐騙。 一封看起來來自你這位老闆、發給財務的郵件:「能不能緊急把這筆款打出去,我在開會。」它看起來完全真實,因為它就是你的地址——只是被偽造了。款打出去了。這種套路——商業郵件欺詐——是衝擊中小企業最燒錢的騙局之一,恰恰因為郵件真的來自你自己的網域,所以一路繞過了所有懷疑。

  3. 丟掉的合約。 一個認真的客戶在簽約前做安全或採購檢查。他們的工具把你的網域報告為「可被偽造——無郵件身份驗證強制執行」。僅這一面紅旗,就足以讓合約花落於通過檢查的競爭對手。你甚至永遠不會聽到真正的原因。

  4. 無法挽回的名譽打擊。 你的網域被捲進一場釣魚活動。幾十個以你名義被騙的人發出警告和差評。攻擊持續一週;「這家公司到底安不安全?」的疑問卻縈繞數月。

  5. 你自己的郵件進垃圾箱。 Gmail 和 Yahoo 現在會主動不信任沒有強制 DMARC 的網域。你真正發出的報價、發票和回覆開始悄悄落進垃圾箱。生意停滯,你卻永遠查不出原因。

它到底是什麼(以及「好」長什麼樣)

DMARC 以一行文字的形式存在於你的網域設定裡——一條發布在特殊名稱 _dmarc.你的網域 上的 DNS「TXT」記錄。裡面是幾條簡短的指令。其中兩條最重要,也正是本次評估要檢查的那兩件事。

1. 策略(p=)——保安的命令。 這是檢查中權重很高的部分。它可以是三者之一:

「好」長什麼樣:p=reject 任何不及於此都留著缺口。

我們的檢查還看兩個技術細節,值得了解,免得你被坑:

2. 報告地址(rua=)——你的可見性。 這是本頁的第二項檢查。rua= 標籤請求全世界每一家郵件服務商,每天給你發一份彙總,列出有誰試圖以你的網域發信——你自己的系統以及任何冒充者。沒有它,你就是在盲飛:你壓根不知道誰在濫用你的名字。有了它,企業往往在頭一天就能發現 5 到 50 個未經授權的發件方。

報告的「好」長什麼樣:一個有效的 rua=mailto: 地址(或一個報告服務的 https: URL),並且確實能收到報告。我們的檢查會驗證格式——一個拼錯或格式錯誤的地址意味著報告悄悄發往無人之地,即便標籤技術上「存在」,也只會得到部分或失敗的結果。

如何修復(免費,約 30 分鐘,分攤在兩週內)

把這一節交給管理你網域、網站或 IT 的人——修復完全免費。 我們只對長期監控它是否保持正確、對管理一組網域、或對一次審計收費。改動本身分文不取。

黃金法則:永遠別一步跳到 reject 先打開監控,看報告,確認你真實的郵件都被識別,再收緊。按這個順序來很安全;急著來則可能把你自己的郵件扔進垃圾箱。

第 1 步——先確保 SPF 和 DKIM 已就位。 DMARC 依賴它們。如果缺了任何一個,先在強制 DMARC 之前搞定(見 SPF 和 DKIM 頁面)。

第 2 步——發布一條開啟報告的監控記錄。 添加一條 DNS TXT 記錄:

這會觀察並報告,但暫時不攔截任何東西。adkim=s; aspf=s 部分請求嚴格對齊——如果你拿不準,一開始可以先省略,等確認郵件乾淨後再加上。

第 3 步——讀約兩週的報告。 原始 DMARC 報告是密集的 XML。用一個免費報告服務(例如 dmarcian 或 Postmark 的免費 DMARC 工具)把它們變成可讀的儀表板。確認每一個合法發件方——你的郵箱服務商、郵件行銷工具、CRM、客服系統、開票應用——都通過了。修好任何沒通過的真實發件方。

第 4 步——切到 quarantine。 一旦你真實的郵件乾淨了,把 p=none 改成 p=quarantine。再觀察幾天。

第 5 步——切到 reject。 最後把 p=quarantine 改成 p=reject。你現在已受到完整保護。最終記錄長這樣:

v=DMARC1; p=reject; rua=mailto:dmarc@你的網域; adkim=s; aspf=s

第 6 步——別忘了子網域。 確保你沒把 sp=none 留在原地。如果你完全不發布 sp,子網域會繼承你的主 p= 策略,這正是你想要的。

常見平台說明:

常見錯誤

關於評分的說明

策略檢查(p=)是整個評估中權重最重的項目之一——因為它是你的公司能否被冒充的最大單一因素。reject 拿滿分;quarantine 約得半分;none 和缺失記錄都判為不通過。較弱的子網域策略或部分 pct= 上線,會把分數壓低到與你實際擁有的真實保護水平相符。

報告檢查(rua=)也確有分量,但與其把它當作一個要打勾的格子,不如把它看成讓你安全抵達 reject 的工具。在設定監控記錄的同時把它一起設好,它在第一天就以可見性回報你的投入。

在您的託管服務商上完成設置

熱門服務商的分步指引:

常見情況

常見問題

我完全不懂技術——這真的是我能處理的事嗎?

能,但你不必親自上手。修復就是往你的網域設定裡加幾行字,而且免費。最簡單的路徑是把下面的「如何修復」一節轉給管你網站或 IT 支援的人。他們通常遠不到一小時就能搞定,分攤在兩週左右的穩妥監控期裡。

打開 DMARC 會不會不小心讓我自己的郵件發不出去?

有可能——但只在你跳過穩妥上線流程時。從「僅監控」(p=none)並開啟報告起步,整個目的就是觀察兩週,在切換到攔截之前確認每一個合法發件方(你的郵箱、郵件行銷工具、開票應用)都被正確識別。按這個順序來,你真正的郵件毫髮無損。不看報告就直接衝到「reject」,是唯一會搞壞送達的常見錯誤。

我已經設好了 SPF 和 DKIM。這還不夠嗎?

不夠——這是最需要理解的一點。SPF 和 DKIM 是鎖;DMARC 是那句指令——「如果鎖對不上,就拒收這封郵件」。沒有設為「reject」的 DMARC,收件伺服器即便發現一封郵件是偽造的,仍可能照樣送達。SPF 和 DKIM 是 DMARC 生效的前提,但單靠它們自己,並不能阻止偽造郵件抵達收件匣。

「none」「quarantine」和「reject」有什麼區別?我需要哪個?

「none」只觀察並報告——它什麼都不攔,所以並不保護你。「quarantine」把偽造郵件送進垃圾箱。「reject」直接拒收,讓它們根本到不了。「reject」是目標,也是唯一能拿滿分的設定。「quarantine」是合理的過渡台階;「none」是頭兩週的起點,不是終點。

這個「rua」報告是什麼東西,我需要它嗎?

rua 標籤請求郵件服務商每天給你發一份彙總,列出所有試圖以你網域發信的系統——包括罪犯。企業正是靠它發現某個網域第一天通常就有 5 到 50 個未經授權的發件方在濫用。它單獨看權重不及策略,但它是你安全地走向「reject」、又不搞壞真實郵件的途徑,所以請同時設好它。

我們幾乎不發郵件,或者根本不用這個網域發郵件。還需要 DMARC 嗎?

尤其需要。一個很少或根本不發真實郵件的網域,正是罪犯冒充的完美低噪靶子,因為沒人盯著它。一個你從不用來發信的網域應當發布一條嚴格的 reject 策略——這是一個乾淨、低風險的勝利,把門徹底關死。