如何保护不发送电子邮件的域

创建这些特定的 DNS 记录有助于保护不发送电子邮件的域不被用于域欺骗攻击。

学习目标

阅读本文后,您将能够:

  • 了解哪些 DNS 记录可以帮助保护不发送邮件的域
  • 描述这些类型的 DNS 记录如何工作
  • 了解这些类型的 DNS 记录的主要组成部分

复制文章链接

如何保护不发送邮件的域

不发送电子邮件的域仍然可以用于电子邮件欺骗网络钓鱼攻击,但有特定类型的 DNS 文本 (TXT) 记录可用于遏制攻击者。这些记录中的每一个都设置了邮件服务器应如何处理未经授权的电子邮件的规则,从而使攻击者更难利用这些域。

DNS TXT 记录允许域管理员在域名系统 (DNS) 中输入文本。DNS TXT 记录用于电子邮件身份验证等过程,因为它们可以存储服务器可以用来确认域是否已授权电子邮件发件人代表其发送消息的重要信息。

不发送电子邮件的域示例包括为保护品牌名称或未来业务而购买的域。已失效的遗留域也没有理由发送电子邮件,并且可以从这些类型的记录中受益。

用于电子邮件身份验证的 DNS TXT 记录有哪些不同类型?

有三种主要的 DNS TXT 记录用于电子邮件身份验证。它们中的每一种在工作方式上都略有不同:

  • 发送方策略框架 (SPF) 记录列出所有被授权代表该域发送电子邮件的 IP 地址和域名。
  • 域名密钥识别邮件 (DKIM) 记录提供一个数字签名,以验证发件人是否真的授权了该电子邮件。这种数字签名也有助于防止在途攻击,在此类攻击中,攻击者会拦截通信并出于邪恶的目的而改变信息。
  • 基于域的邮件身份验证、报告和一致性 (DMARC) 记录保存域的 DMARC 政策。DMARC 是一个通过检查域的 SPF 和 DKIM 记录来验证电子邮件的系统。DMARC 政策规定未能通过 SPF 或 DKIM 检查的电子邮件应被标记为垃圾邮件、被阻止还是允许通过。

这些 DNS 记录是什么样的?

因为这些 DNS 记录的功能都略有不同,它们的每个组成部分都是独特的。

SPF

可以对 SPF 记录进行格式设置,通过拒绝从域发送的任何电子邮件来保护域免受网络钓鱼攻击。为此,SPF 记录必须使用以下格式。

v=spf1 -all

*注意,SPF 记录是直接在域本身上设置的,这意味着它们不需要一个特殊的子域。

下面是这个记录的各个组成部分的含义:

  • v=spf1 让服务器知道这个记录包含一个 SPF 政策。所有 SPF 记录都必须以这个部分开头。
  • 指示器 -all 告诉服务器如何处理不合规的电子邮件或任何没有明确列在 SPF 记录中的发件人。对于这种类型的 SPF 记录,不允许有任何 IP 地址或域名,所以 -all 表示所有不合规的电子邮件都将被拒绝。对于这种类型的记录,所有的电子邮件都被视为不合规,因为没有被接受的 IP 地址或域名。

DKIM

DKIM 记录通过确保发件人使用公钥和私钥实际授权电子邮件来保护域。DKIM 记录存储电子邮件服务器随后用来验证电子邮件签名是否由发件人授权的公钥。对于不发送电子邮件的域,DKIM 记录应配置为没有关联的公钥。下面是一个示例:

名称 在提示下键入 内容
*._domainkey.example.com TXT v=DKIM1; p=

 

  • *._domainkey.example.com 是 DKIM 记录的专用名称(其中“example.com”应替换为您的域)。在此示例中,星号(称为通配符)用作选择器,这是电子邮件服务提供商为域生成和使用的专用值。选择器是 DKIM 标头的一部分,电子邮件服务器使用它在 DNS 中执行 DKIM 查找。通配符涵盖了选择器的所有可能值。
  • TXT 表示 DNS 记录类型。
  • v=DKIM1 设置版本号,并告诉服务器此记录引用了一个 DKIM 政策。
  • p 值通过将签名与其公钥相联系来帮助验证电子邮件。在这个 DKIM 记录中,p 值应该是空的,因为没有签名/公钥可供联系。
  • DMARC

    DMARC 政策还可以通过拒绝所有未通过 SPF 和 DKIM 的电子邮件来帮助保护不发送电子邮件的域。在这种情况下,从未配置为发送电子邮件的域发送的所有电子邮件都将无法通过 SPF 和 DKIM 检查。以下是如何设置此政策格式的一个示例:

    名称 在提示下键入 内容
    _dmarc.example.com TXT v=DMARC1;p=reject;sp=reject;adkim=s;aspf=s

     

    • 名称字段确保在名为 _dmarc.example.com 的子域上设置该记录,这是 DMARC 政策所要求的。
    • TXT 表示 DNS 记录类型。
    • v=DMARC1 告诉服务器,这个 DNS 记录包含一个 DMARC 政策。
    • p=reject 表示电子邮件服务器应该拒绝未能通过 DKIM 和 SPF 检查的电子邮件。
    • adkim=s 代表对齐模式。在本示例中,对齐模式被设置为“s”,表示严格。严格的对齐模式意味着包含 DMARC 记录的电子邮件域的服务器必须与电子邮件的 From 头中的域完全一致。如果不符合,则 DKIM 检查失败。
    • aspf=sadkim=s 的目的相同,但用于 SPF 的对齐。
    • Cloudflare 电子邮件安全 DNS 向导可简化设置正确 DNS TXT 记录和阻止垃圾邮件发送者使用域的过程。在此阅读有关该向导的更多信息