DMARC架构-标识符协调

下载选项

  • PDF     (356.1 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (78.4 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (63.9 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2018 年 12 月 11 日
文档 ID:213946

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍通用基于域的邮件身份验证、报告和一致性(DMARC)架构概念,以及与DMARC相关的发件人策略框架(SPF)和DomainKeys识别邮件(DKIM)对齐要求。 

      

    术语

    本节介绍并提供了本文档中使用的部分关键术语的定义。 

    • EHLO/HELO -在SMTP会话初始化期间(如RFC 5321所定义)提供SMTP客户端标识的命令。
    • From信头 - From:字段指定消息的作者。它通常包括显示名称(邮件客户端向最终用户显示的内容),以及包含RFC 5322中定义的本地部分和域名(例如,“John Doe”<johndoe@example.com>)的邮件地址。
    • MAIL FROM -从SMTP会话开始时的MAIL命令派生,并提供发件人标识,如RFC5321中所定义。它也称为信封发件人、返回路径或退回地址。

      

    DMARC -标识符对齐 

    DMARC将DKIM和SPF身份验证内容与From标题中列出的内容关联起来。这通过对齐来完成。  协调要求由SPF和DKIM验证的域身份与最终用户可见的邮件地址中的域匹配。

    我们先来看看标识符是什么,为什么它们在DMARC中很重要。

      

    标识符

    标识符标识要进行身份验证的域名。

    引用DMARC的标识符:

    • SPF:

      SPF验证出现在SMTP会话的MAIL FROM或EHLO/HELO部分或两者中的域。这些域可能是不同的域,最终用户通常看不到它们。
    • DKIM:

      DKIM验证附加到d=标记内的签名的签名域。 

      

    将根据From报头中派生的域标识符对这些(SPF和DKIM)标识符进行身份验证。之所以使用发件人信头域,是因为它是邮件发件人最常用的邮件用户代理(MUA)字段,也是最终用户用于识别邮件来源(发件人)的字段,这使“发件人”信头成为滥用的主要目标。 

      

    注意:DMARC只能针对有效的From信头保护滥用。

      

    DMARC不能对以下项目进行操作:

    • RFC 5322报头格式不正确、缺失或重复
    • 不合规信头,因为它们不会被验证
    • 当报头中有多个域标识时(*)

      

    因此,除DMARC外,还应采用一个流程来识别信头格式不合规的邮件,并实施一种方式来标记这些邮件并将其显示为不符合DMARC条件的信头。

      

    (*) DMARC需要从报头中提取单个域标识。如果报头中存在多个邮件地址,则大多数DMARC实施都会跳过此报头。处理具有多个域标识的报头在DMARC规范中声明为超出范围。 

      

    当Cisco ESA能够检测到多个域身份时,会在邮件日志中留下适当的邮件:

    (Machine esa.lab.local) (SERVICE)> grep -i "verification skipped" mail_logs

    Tue Oct 16 14:13:52 2018 Info: MID 2003 DMARC: Verification skipped (Sending domain could not be determined)

      

    标识符对齐

    标识符对齐定义了通过SPF和/或DKIM验证的域与From信头之间的关系。Alignment是一个匹配过程,在成功验证SPF和/或DKIM后需要额外满足该过程。DMARC身份验证过程要求SPF或DKIM使用的标识符(域标识)中至少有一个与From标头地址的域部分对齐。

      

    DMARC引入了两种对齐模式:

    • 严格模式要求域名之间完全匹配(对齐)
    • 放松模式允许同一域的子域

    由于邮件可以包含来自任何域(包括邮件列表使用的域,甚至是恶意行为者)的有效签名,因此需要标识符对齐。因此,仅凭一个有效的签名并不足以推断出作者域的真实性。

      

    DKIM对齐

    DKIM域标识符通过查看DKIM签名中的d=标记获取,并与From报头域进行比较,以成功验证DKIM签名。

      

    例如,可代表域d=blog.cisco.com对消息签名,该域将域blog.cisco.com标识为签名者。 DMARC使用此域,并将其与From报头(例如,noreply@cisco.com)的域部分进行比较。在严格模式下,这些标识符之间的对齐将失败,但使用松弛模式通过。

      

    注意:一封邮件可以包含多个DKIM签名,如果任何DKIM签名已对齐并已验证,则将其视为DMARC“通过”。

      

    SPF校准

      

    SPF (spfv1)机制验证从以下位置传送的域标识符:

    • MAIL FROM身份(MAIL FROM命令)
    • HELO/EHLO身份(HELO/EHLO命令)

      

    默认情况下,MAIL FROM域标识尝试进行身份验证。HELO域标识仅由DMARC针对具有空MAIL FROM标识的邮件(如退回邮件)进行身份验证。

      

    一个常见的例子是,与“发件人”(From)信头(noreply@blog.cisco.com)中邮件的发送方不同(noreply@cisco.com)。noreply@blog.cisco.com的MAIL FROM域标识部分将在轻松模式下与noreply@cisco.comFrom信头域一致,但会在严格模式下。 

      

    对齐模式标签

    可以使用adkimaspf 对齐模式标记在DMARC策略记录上定义DMARC对齐模式。 这些标签指示DKIM或SPF标识符对齐所需的模式。 

    模式可以设置为松弛或严格,如果没有标记,则缺省设置为松弛。可在tag-value下将此值设置为:

    • r: 松弛模式
    • s: 严格模式

    参考

    修订历史记录

    版本 发布日期 备注
    1.0
    11-Dec-2018
    初始版本
    TAC Authored

    由思科工程师提供

    • 巴尔托斯·科扎克
      思科TAC工程师
    • 小丹尼斯·麦凯比
      思科TAC工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品