创建这些特定的 DNS 记录有助于保护不发送电子邮件的域不被用于域欺骗攻击。
阅读本文后,您将能够:
复制文章链接
不发送电子邮件的域仍然可以用于电子邮件欺骗或网络钓鱼攻击,但有特定类型的 DNS 文本 (TXT) 记录可用于遏制攻击者。这些记录中的每一个都设置了邮件服务器应如何处理未经授权的电子邮件的规则,从而使攻击者更难利用这些域。
DNS TXT 记录允许域管理员在域名系统 (DNS) 中输入文本。DNS TXT 记录用于电子邮件身份验证等过程,因为它们可以存储服务器可以用来确认域是否已授权电子邮件发件人代表其发送消息的重要信息。
不发送电子邮件的域示例包括为保护品牌名称或未来业务而购买的域。已失效的遗留域也没有理由发送电子邮件,并且可以从这些类型的记录中受益。
有三种主要的 DNS TXT 记录用于电子邮件身份验证。它们中的每一种在工作方式上都略有不同:
因为这些 DNS 记录的功能都略有不同,它们的每个组成部分都是独特的。
SPF
可以对 SPF 记录进行格式设置,通过拒绝从域发送的任何电子邮件来保护域免受网络钓鱼攻击。为此,SPF 记录必须使用以下格式。
v=spf1 -all
*注意,SPF 记录是直接在域本身上设置的,这意味着它们不需要一个特殊的子域。
下面是这个记录的各个组成部分的含义:
v=spf1
让服务器知道这个记录包含一个 SPF 政策。所有 SPF 记录都必须以这个部分开头。 -all
告诉服务器如何处理不合规的电子邮件或任何没有明确列在 SPF 记录中的发件人。对于这种类型的 SPF 记录,不允许有任何 IP 地址或域名,所以 -all
表示所有不合规的电子邮件都将被拒绝。对于这种类型的记录,所有的电子邮件都被视为不合规,因为没有被接受的 IP 地址或域名。 DKIM
DKIM 记录通过确保发件人使用公钥和私钥实际授权电子邮件来保护域。DKIM 记录存储电子邮件服务器随后用来验证电子邮件签名是否由发件人授权的公钥。对于不发送电子邮件的域,DKIM 记录应配置为没有关联的公钥。下面是一个示例:
名称 | 在提示下键入 | 内容 |
---|---|---|
*._domainkey.example.com |
TXT |
v=DKIM1; p= |
*._domainkey.example.com
是 DKIM 记录的专用名称(其中“example.com”应替换为您的域)。在此示例中,星号(称为通配符)用作选择器,这是电子邮件服务提供商为域生成和使用的专用值。选择器是 DKIM 标头的一部分,电子邮件服务器使用它在 DNS 中执行 DKIM 查找。通配符涵盖了选择器的所有可能值。 TXT
表示 DNS 记录类型。v=DKIM1 设置
版本号,并告诉服务器此记录引用了一个 DKIM 政策。 p
值通过将签名与其公钥相联系来帮助验证电子邮件。在这个 DKIM 记录中,p
值应该是空的,因为没有签名/公钥可供联系。 DMARC
DMARC 政策还可以通过拒绝所有未通过 SPF 和 DKIM 的电子邮件来帮助保护不发送电子邮件的域。在这种情况下,从未配置为发送电子邮件的域发送的所有电子邮件都将无法通过 SPF 和 DKIM 检查。以下是如何设置此政策格式的一个示例:
名称 | 在提示下键入 | 内容 |
---|---|---|
_dmarc.example.com |
TXT |
v=DMARC1;p=reject;sp=reject;adkim=s;aspf=s |
_dmarc.example.com
的子域上设置该记录,这是 DMARC 政策所要求的。TXT
表示 DNS 记录类型。v=DMARC1
告诉服务器,这个 DNS 记录包含一个 DMARC 政策。 p=reject
表示电子邮件服务器应该拒绝未能通过 DKIM 和 SPF 检查的电子邮件。 adkim=s
代表对齐模式。在本示例中,对齐模式被设置为“s”,表示严格。严格的对齐模式意味着包含 DMARC 记录的电子邮件域的服务器必须与电子邮件的 From
头中的域完全一致。如果不符合,则 DKIM 检查失败。 aspf=s
与 adkim=s
的目的相同,但用于 SPF 的对齐。 Cloudflare 电子邮件安全 DNS 向导可简化设置正确 DNS TXT 记录和阻止垃圾邮件发送者使用域的过程。在此阅读有关该向导的更多信息 。