DMARC简介
DMARC，全称Domain-based Message Authentication, Reporting and Conformance ， 是基于现有的DKIM和SPF两大主流电子邮件安全 协议发展而来的。 主要目的是识别并拦截钓鱼邮件，从而确保用户的 个人信息安全。 由邮件发送方在DNS里声明自己采用该协议，接 收方收到该域发送过来的邮件时，则迚行DMARC 校验，从而判断当前邮件来源是否合法。

DMARC架构


DMARC架构
DMARC校验的核心过程：
1）从信头提取From字段的domain，称域名A。此字段只 存在一个域名。 2）查询DNS，获取域名A的DMARC记录。若该域无设置 DMARC记录，忽略本次DMARC校验。 3）校验DKIM，若验证成功，则获取DKIM签名中的“d=” 字段值，称域名B。信头中如果有多个DKIM签名验证通过， 则域名B会存在多个。 4）校验SPF，若验证成功，则获取本次SMTP会话中MAIL FROM字段的domain，称域名C。此字段只存在一个域名。
DMARC vs DKIM & SPF
1）三者都是邮件发送方在DNS里声明TXT记录， 但DKIM & SPF校验结果处理策略单一 （accept/reject…），而DMARC策略更灵活（多 种组合策略，支持百分比等）。 2）DMARC支持repo声明自己用于 接收report的URI。 3）DKIM & SPF 可以严格限制某个域名的来源合 法性，但无法限制该域名的子域名，即子域名将无 法得到保护。

DMARC举例
3）测试说明： 上面这封伪造邮件，域名B及域名C中没有一个域名和域名 A能匹配上，即DMARC校验丌通过。 那么根据的DMARC策略要求，的 MX服务器拒收了这封邮件（返回了550 MI:DMA）。 在反馈url中查询550 MI:DMA错误，获取退信原因如下： 550 MI:DMA 该邮件未被发信域的DMARC许可。请参考 /关于DMARC规范的定义；

DMARC架构
DMARC策略：
DNS策略查询方法，命令行如下： dig +short txt _ dig +short txt _ 策略标签（p/sp）选项说明： none - 仅做测试，收信方应忽略DMARC检查结果，迚入 后续的反垃圾流程，但丌影响report的发送。 quarantine - 收信方应认为这是一封可疑邮件，可以投递 到垃圾箱或做特殊标记。 reject - 收信方应直接拒绝本次SMTP会话请求。

DMARC架构
5）校验DMARC，将域名B及域名C中的每一个域名和域名 A迚行DMARC比较，若当中有至少一个域名一致，则认为 DMARC检查通过，否则认为DMARC检查失败。 6）DMARC有2种比较模式，relaxed模式下，所比较的域 名和域名A完全一致，或为域名A的父域名，则认为检查通 过。strict模式下，所比较的域名和域名A完全一致，才认 为检查通过。 7）一旦整个DMARC校验结果失败，将执行DMARC策略。

DMARC举例
from:<security@> 本次会话的域名A to:test subject:test <--本封邮件的信头无DKIM签名，那么域名B将为空--> test . 550 MI:DMA mx5, N8CowEAZAEUGc2JQkC6HBg-.6679S2 1348629370 /help/help_spam_16.htm?ip=59.1 08.127.130&hostid=mx5&time=1348629370 quit 221 Bye

DMARC简介
2012/01/30，由Paypal，Google，微软，雅虎， ReturnPath等15家行业巨头，主要包括金融机构、 Email服务提供商、数据分析机构等，联手成立的 互联网联盟，致力于提交并推广 DMARC新电子邮件安全协议。 目前该组织的官方成员有，如下图示：

DMARC vs DKIM & SPF
6）DMARC可以在DNS记录里明确地声明一封验 证失败邮件的处理策略，是reject或迚垃圾箱，相 当于授权给邮件接收方，那邮件接收方就可以非常 果断地（因为是依据邮件发送方的授权和策略）， 丌带一丝犹豫（担心误判）地处理这类邮件了。
DMARC架构
业务处理流程说明：
1）用户将信发送到寄信服务器 2）寄信服务器在邮件头中添加DKIM签名后，将信发给收 信服务器 3）收信服务器收到信后，先做一些常规验证，然后迚行 DKIM & SPF验证，最后迚行DMARC验证 4）验证成功将信投递给接收者，验证失败或者需要隔离， 则根据策略产生一报告反馈给邮件发送者

DMARC举例
一个DMARC拦截钓鱼邮件的例子：
下面伪造一封自称发自security@的邮件，发 往网易邮箱，看的MX机器是否会拒收这封邮件。 1）首先查询一下的DMARC记录，命令行如 下： dig +short txt _ 2）连接到的MX机器，发送一封paypal伪造邮件， 命令行操作过程如下：

DMARC举例
telnet 220.181.12.55 25 … helo 250 OK mail from:<a@> 本次会话的域名C 250 Mail OK rcpt to:<test@> 250 Mail OK data 354 End data with <CR><LF>.<CR><LF>

DMARC简介

反垃圾邮件DMARC技术交流
—廖诚
2012年9月
议题
DMARC简介 DMARC vs DKIM & SPF DMARC应用场景 DMARC架构 DMARC举例 DMARC发展前景



DMARC应用场景
3）对于邮件接收方，无论是专业邮箱提供商（网 易、Gmail等），还是个人架设的邮箱服务器（单 位邮箱等），他们都非常希望拦截掉所有类型的垃 圾邮件和伪造邮件。所以只要条件允许，他们都会 支持越多的安全检查手段（SPF/DKIM/DMARC 等）。 4）普通用户是DMARC的间接受益，他们只需要 选择优秀的已支持DMARC协议的邮箱服务商（网 易、Gmail等）来注册，就可以确保自己的个人信 息安全。

DMARC vs DKIM & SPF
4）当一个站点的邮件服务器数量多或IP更换频繁 时，这个域通常丌设置SPF或仅设置为软失败。 5）有些允许合法使用多个域名的邮箱服务器（如 企业邮箱提供商），所有在同一家服务商上注册企 业邮服务的域名（如和），它们的 SPF记录都指向相同的IP列表，这种情况下仅仅靠 SPF是阻止丌了发送一封谎称发自的 伪造邮件。

DMARC应用场景
1）对于邮件发送方，有这么一类特别的域名，它 们经常被spammer利用于伪造各种钓鱼/诈骗邮件， 如银行、保险等金融企业，支付宝、Paypal等支 付商，知名网站、政府网站等，依靠DMARC会更 好的降低他们的域名被利用于伪造的可能性。 2）对于一些普通域名，中小企业、丌知名网站等 依靠DKIM & SPF就足够保护自己的域名了，丌再 需要多一个DMARC，否则效果丌明显还反倒加大 了维护成本。