DMARC架構-識別符號協調

下載選項

  • PDF     (379.9 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (78.5 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (64.1 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2018 年 12 月 11 日
文件 ID:213946

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本檔案說明一般網域型訊息驗證、報告和一致性(DMARC)架構概念,以及與DMARC相關的寄件者原則架構(SPF)和DomainKeys辨識郵件(DKIM)對齊需求。 

      

    技術

    本節說明並提供本檔案中使用之部分主要術語的定義。 

    • EHLO/HELO -在SMTP會話初始化期間(如RFC 5321中所定義)提供SMTP客戶端身份的命令。
    • From header - From:欄位指定消息的作者。它通常包括顯示名稱(郵件客戶端向終端使用者顯示的內容),以及包含RFC 5322中定義的本地部分和域名(例如,「John Doe」 <johndoe@example.com>)的電子郵件地址。
    • MAIL FROM -此關鍵字來自SMTP會話開始時的MAIL命令,提供RFC5321中所定義的發件人標識。它也被廣泛稱為信封發件人、返迴路徑或退回地址。

      

    DMARC -識別符號對齊 

    DMARC將DKIM和SPF驗證的內容與From報頭中列出的內容關聯。這透過對齊來完成。  校準要求經SPF和DKIM身份驗證的域標識與終端使用者可見的電子郵件地址中的域相匹配。

    讓我們從識別符號是什麼以及為什麼它們在DMARC中很重要。

      

    辨識碼

    識別符號標識要驗證的域名。

    參照DMARC的辨識碼:

    • SPF:

      SPF驗證出現在SMTP會話的MAIL FROM和/或EHLO/HELO部分中的域。這些域可能不同,終端使用者通常看不見它們。
    • DKIM:

      DKIM對附加在d=標籤內的簽名上的簽名域進行身份驗證。 

      

    這些(SPF和DKIM)識別符號根據From標頭中派生的域識別符號進行身份驗證。之所以使用From header域,是因為它是郵件發起方的最常見「郵件使用者代理」(MUA)欄位,也是終端使用者用於標識郵件來源(發件人)的域,這也使得From報頭成為濫用的主要目標。 

      

    注意:DMARC只能針對有效的From標頭保護濫用。

      

    DMARC無法在以下專案上操作:

    • RFC 5322報頭格式錯誤、缺失或重複
    • 不符合的標頭,因為它們不會被驗證
    • 標頭(*)中有多個域標識時

      

    因此,除DMARC外,還應有一個流程來辨識具有不符合的格式錯誤的報頭的郵件,並實施一種方法,將這些郵件標籤為非DMARC合格報頭並使其可見。

      

    (*) DMARC需要從報頭中提取單個域標識。如果標頭中有多個電子郵件地址,則大多數DMARC實施中將跳過此標頭。具有多個域標識的處理報頭在DMARC規範中宣告為超出範圍。 

      

    當Cisco ESA能夠檢測到多個域身份時,會在郵件日誌中保留一條正確的消息:

    (Machine esa.lab.local) (SERVICE)> grep -i "verification skipped" mail_logs

    Tue Oct 16 14:13:52 2018 Info: MID 2003 DMARC: Verification skipped (Sending domain could not be determined)

      

    識別符號對齊

    識別符號校準定義了由SPF和/或DKIM驗證的域與From報頭之間的關係。Alignment是在成功驗證SPF和/或DKIM之後需要額外滿足的匹配過程。DMARC身份驗證過程要求SPF或DKIM使用的識別符號(域標識)中至少有一個與From報頭地址的域部分對齊。

      

    DMARC引入了兩種對齊模式:

    • 嚴格模式要求域名之間完全匹配(對齊)
    • 放鬆模式允許同一域的子域

    需要標識對齊,因為郵件可以包含來自任何域(包括郵寄清單使用的域或甚至是不良操作者)的有效簽名。因此,僅憑有效簽名並不足以推斷作者領域的真實性。

      

    DKIM對齊

    DKIM域識別符號透過檢視DKIM簽名中的d=標籤獲得,並且將其與From報頭域進行比較以成功驗證DKIM簽名。

      

    例如,可以代表域d=blog.cisco.com簽署消息,該域將域blog.cisco.com辨識為簽署者。 DMARC會使用此網域,並將其與From標頭(例如,noreply@cisco.com)的網域部分進行比較。在嚴格模式下,這些識別符號之間的對齊將失敗,但使用鬆弛模式會通過。

      

    注意:一封電子郵件可以包含多個DKIM簽名,如果任何DKIM簽名已對齊並驗證,則將其視為DMARC「透過」。

      

    SPF校準

      

    SPF (spfv1)機制驗證從以下位置傳送的域識別符號:

    • 來自標識的郵件(來自命令的郵件)
    • HELO/EHLO身份(HELO/EHLO命令)

      

    預設情況下,MAIL FROM域標識嘗試進行身份驗證。HELO域標識僅透過DMARC驗證MAIL FROM標識為空的郵件,如退回郵件。

      

    一個常見的例子是,與From信頭(noreply@cisco.com)中的郵件相比,郵件傳送的MAIL FROM地址(noreply@blog.cisco.com)不同。noreply@blog.cisco.com 的MAIL FROM域標識部分將在鬆弛模式下與noreply@cisco.comFrom標頭域對齊,但在嚴格模式下不會對齊。 

      

    對齊模式標籤

    DMARC校準模式可使用adkimaspf 校準模式標籤在DMARC策略記錄上定義。 這些標籤指示DKIM或SPF識別符號對齊所需的模式。 

    模式可設定為鬆弛或嚴格,如果沒有標籤,則預設會使用鬆弛模式。您可以在標籤值下設定為:

    • r: 鬆弛模式
    • s: 嚴謹模式

    參考

    修訂記錄

    修訂 發佈日期 意見
    1.0
    11-Dec-2018
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Bartosz Kozak
      Cisco TAC Engineer
    • Dennis McCabe Jr
      Cisco TAC Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品