DMARC 的工作原理 - 更新版
Dmarc 在 Google 邮箱和 Office 365 中是如何工作的?(更新版)
我们再次测试了电子邮件认证对邮件送达
至Google Mail和Office 365邮箱(这两者是最受欢迎的企业邮箱服务商)的影响。
结果可分为两组:
电子邮件投递
(SPF、DKIM 和 DMARC 如何影响已发送邮件的投递)
#Google 邮箱:邮件总是被接受,似乎完全不考虑 SPF 认证
只有当 DKIM 签名与发件人邮箱地址一致,且DMARC 策略设置为“隔离”或“拒绝”时,才会对 DKIM 签名进行验证。
#Office 365:完全响应 SPF,当邮件通过 SPF 验证后,即可送达收件箱。
仅当 DKIM 签名与发件人邮箱地址一致时才会被考虑,否则无关紧要。
注:8 月最后一周,Office 365 出现了一种奇怪的行为:
只有同时满足以下条件的邮件才会被投递到收件箱:使用 DKIM 签名(签名域与发件人地址一致)
且已设置 DMARC 记录(无论采用何种策略)
防欺骗保护
(SPF、DKIM 和 DMARC 如何保护发件人的电子邮件地址免遭伪造*)
* = 使邮件看起来像是来自实际发件人以外的其他人
#Google 邮箱:启用 DMARC 后,伪造的发件人会被过滤到垃圾邮件文件夹(p=quarantine)或被拒收(p=reject)。
若策略设置为“none”(p=none),则不会触发任何操作,此时所有邮件均会进入收件箱。
#Office 365:出现“spf fail”或“spf softfail”结果时,足以将伪造发件人发送至垃圾邮件文件夹。
身份验证要求
建议的电子邮件认证要求总结如下:
| 电子邮件投递 | 防欺骗保护 | |
|---|---|---|
| Gmail | DKIM 密钥(域对齐) | 将 dmarc 设置为 p=quarantine 或 p=reject |
| Office 365 | SPF 通过和DKIM 通过(域名匹配) | 已启用 SPF和DMARC(以增强安全性) |
电子邮件投递测试结果
以下是已进行的全部测试
| Gmail | Google 邮箱 (已启用 DMARC) |
Office 365 | Office 365 (已启用 DMARC) |
||
|---|---|---|---|---|---|
| SPF 通过 | dkim 无 | 收件箱 | 收件箱 | 收件箱 | 收件箱 |
| SPF 验证失败 | dkim 无 | 收件箱 | 垃圾邮件 | 垃圾 | 垃圾 |
| spf SoftFail | dkim 无 | 收件箱 | 垃圾邮件 | 垃圾 | 垃圾 |
| SPF 未指定 | dkim 无 | 收件箱 | 垃圾邮件 | 垃圾 | 垃圾 |
| SPF 通过 | DKIM 差异 | 收件箱 | 收件箱 | 收件箱 | 收件箱 |
| SPF 验证失败 | DKIM 差异 | 收件箱 | 垃圾邮件 | 垃圾 | 垃圾 |
| spf SoftFail | DKIM 差异 | 收件箱 | 垃圾邮件 | 垃圾 | 垃圾 |
| SPF 未指定 | DKIM 差异 | 收件箱 | 垃圾邮件 | 垃圾 | 垃圾 |
| SPF 通过 | DKIM 密码 | 收件箱 | 收件箱 | 收件箱 | 收件箱 |
| SPF 验证失败 | DKIM 密码 | 收件箱 | 收件箱 | 收件箱 | 收件箱 |
| spf SoftFail | DKIM 密码 | 收件箱 | 收件箱 | 收件箱 | 收件箱 |
| SPF 未指定 | DKIM 密码 | 收件箱 | 收件箱 | 收件箱 | 收件箱 |
| SPF 通过 | DKIM 无效 | 收件箱 | 收件箱 | 收件箱 | 收件箱 |
| SPF 验证失败 | DKIM 无效 | 收件箱 | 垃圾邮件 | 垃圾 | 垃圾 |
| spf SoftFail | DKIM 无效 | 收件箱 | 垃圾邮件 | 垃圾 | 垃圾 |
| SPF 未指定 | DKIM 无效 | 收件箱 | 垃圾邮件 | 垃圾 | 垃圾 |
注:
- 如果“发件人地址”(可见发件人)和“Mail-from”(也称为“信封发件人”或“返回路径”)相同,则它们指向同一个域名
- “dkim pass”:DKIM签名域与发件人地址的域相同(域已对齐)
- “dkim diff”:DKIM签名域与发件人地址的域不一致(域未对齐)