3 - dmarc 对齐

dmarc 标志


DMARC(基于域的消息认证、报告和合规性),
是一项电子邮件认证标准,旨在防范伪造域名的邮件。

在“3.1. 标识符对齐”一章中提到:

   电子邮件认证技术用于验证单条邮件的各种(且
   各不相同)方面。例如,[DKIM]
   用于验证为邮件添加签名的域,
   而[SPF]则可验证[SMTP]中RFC5321.MailFrom(MAIL FROM)部分
   显示的域,或RFC5321.EHLO/
   HELO域,或两者兼有。这些可能是不同的域,且通常
   不会被最终用户所察觉。

   DMARC 通过要求 RFC5322.From 域必须与
   某个“经过认证的标识符”相匹配(保持一致)来验证其使用。
   
   -- https://tools.ietf.org/html/rfc7489#section-3.1

这只是意味着:

   当发件人使用 SPF 和/或 DKIM 对电子邮件进行身份验证时,  
   至少有一个域名必须与发件人域名一致

这种方法已被广泛接受,通常被视为
识别可信发件人域名的良好实践。


**RealSender MX Protect 会检查 dmarc-default 的“宽松”对齐规则:**

  • 对于 SPF 认证
    “Mail From” 地址的根域名必须与“From”地址的根域名一致。
    宽松对齐允许使用任何子域名,同时仍满足域名对齐要求。

  • 对于 DKIM 认证
    ,DKIM 签名域的根域必须与“发件人”域一致。
    宽松对齐允许使用任何子域,同时仍满足域对齐要求。


**可能的结果:**

  1. 两条规则均得到遵守
    发件人域是完全可信的,
    消息以原样到达

  2. 仅满足两条规则中的一条
    在主题中添加 ~(波浪号)符号
    在邮件头部插入以下说明之一

~ ... 主题 ...
X-RealSender: ~ | spf=通过 (域名未对齐) | dkim=通过 | ~
~ ... 主题 ...
X-RealSender: ~ | spf=通过 | dkim=通过(域名未对齐) | ~
  1. 完全没有对齐
    主题中显示了“:: spf-diff ::”和“:: dkim-diff ::”警告

请告诉我更多