如何保護不傳送電子郵件的網域

建立這些特定 DNS 記錄可協助保護不傳送電子郵件的網域,使其不被用於網域詐騙攻擊。

學習目標

閱讀本文後,您將能夠:

  • 瞭解哪些 DNS 記錄可協助保護不傳送電子郵件的網域
  • 說明這些 DNS 記錄類型的運作方式
  • 瞭解這些 DNS 記錄類型的主要元件

複製文章連結

如何保護不傳送電子郵件的網域

不傳送電子郵件的網域也可以用於電子郵件詐騙網路釣魚攻擊,但是可以使用特定類型的 DNS 文字 (TXT) 記錄來阻止攻擊者。這些記錄中的每一個都設定了規則,指示郵件伺服器應如何處理未經授權的電子郵件,從而使攻擊者更難利用這些網域。

DNS TXT 記錄可讓網域管理員在 Domain Name System (DNS) 中輸入文字。DNS TXT 記錄用於電子郵件驗證等程序,因為它們可以儲存重要資訊,伺服器可使用這些資訊來確認網域是否已授權電子郵件寄件者代表其傳送郵件。

不傳送電子郵件的網域範例包括為了保護品牌名稱或用於未來業務而購買的網域。不存在的舊網域也沒有理由傳送電子郵件,可以從這些類型的記錄中受益。

用於電子郵件驗證的 DNS TXT 記錄有哪些不同類型?

用於電子郵件驗證的 DNS TXT 記錄有三種主要類型。每種的運作方式略有不同:

  • 寄件者原則架構 (SPF) 記錄會列出授權代表網域傳送電子郵件的所有 IP 位址和網域名稱。
  • 網域金鑰識別郵件 (DKIM) 記錄提供數位簽章,以驗證寄件者是否實際授權電子郵件。此數位簽章也有助於防止中間人攻擊,在此類攻擊中,攻擊者會出於惡意目的攔截通訊並更改訊息。
  • 基於網域的郵件驗證、報告和一致性 (DMARC) 記錄會保留網域的 DMARC 原則。DMARC 是一種透過檢查網域的 SPF 和 DKIM 記錄來驗證電子郵件的系統。DMARC 原則會指出未通過 SPF 或 DKIM 檢查的電子郵件應標示為垃圾郵件、被封鎖還是允許通過。

這些 DNS 記錄看上去是什麼樣子的?

由於這些 DNS 記錄的運作方式略有不同,因此它們的每個元件都是唯一的。

SPF

可以對 SPF 記錄進行格式設定,透過拒絕從某個網域傳送的所有電子郵件來保護網域免受網路釣魚攻擊。為此,SPF 記錄必須使用以下格式。

v=spf1 -all

*請注意,SPF 記錄是直接在網域本身上設定的,這意味著它們不需要特殊的子網域。

以下是此記錄的各元件的含義:

  • v=spf1 可讓伺服器知道該記錄包含 SPF 原則。所有 SPF 記錄都必須以此元件開頭。
  • 指示器 -all 告訴伺服器如何處理不相容的電子郵件或 SPF 記錄中未明確列出的任何寄件者。使用這種類型的 SPF 記錄,不會允許任何 IP 位址或網域,因此 -all 表示所有不合規的電子郵件都將被拒絕。對於這種類型的記錄,所有電子郵件都被視為不合規,因為沒有接受的 IP 位址或網域。

DKIM

DKIM 記錄可確保電子郵件實際上是由寄件者使用公用金鑰和私密金鑰授權,從而保護網域。DKIM 記錄會儲存電子郵件伺服器隨後用來驗證電子郵件簽章是否由寄件者授權的公用金鑰。對於不傳送電子郵件的網域,應在沒有關聯公用金鑰的情況下設定 DKIM 記錄。下面是一個範例:

姓名 類型 目錄
*._domainkey.example.com TXT v=DKIM1; p=

 

  • *._domainkey.example.com 是 DKIM 記錄的專用名稱(其中「example.com」應該替換為您的網域)。在此範例中,星號(稱為萬用字元)會用作選取器,這是電子郵件服務提供者產生並用於網域的專用值。選取器是 DKIM 標頭的一部分,而電子郵件伺服器會使用它在 DNS 中執行 DKIM 查閱。萬用字元涵蓋選取器的所有可能值。
  • TXT 表示 DNS 記錄類型。
  • v=DKIM1 會設定版本號碼,並告知伺服器此記錄參照 DKIM 原則。
  • p 值透過將簽章與其公用金鑰相聯繫來幫助驗證電子郵件。在此 DKIM 記錄中,p 值應該是空的,因為沒有簽章/公用金鑰可供聯繫。
  • DMARC

    DMARC 原則也可以拒絕所有未通過 SPF 和 DKIM 的電子郵件,協助保護不傳送電子郵件的網域。在這種情況下,從未設定為傳送電子郵件的網域傳送的所有電子郵件都不會通過 SPF 和 DKIM 檢查。以下範例展示了如何以這種方式對原則進行格式設定:

    姓名 類型 目錄
    _dmarc.example.com TXT v=DMARC1;p=reject;sp=reject;adkim=s;aspf=s

     

    • 名稱欄位可確保記錄是在稱為 _dmarc.example.com 的子網域上設定, 這是 DMARC 原則的必要條件。
    • TXT 表示 DNS 記錄類型。
    • v=DMARC 1 會告訴伺服器此 DNS 記錄包含 DMARC 原則。
    • p=reject 表明電子郵件伺服器應拒絕未通過 DKIM 和 SPF 檢查的電子郵件。
    • adkim=s 代表對齊模式。在這種情況下,對齊模式設定為「s」,表示 strict(嚴格)。Strict(嚴格)對齊模式表示包含 DMARC 記錄的電子郵件網域伺服器必須與電子郵件寄件者標頭中的網域完全相符。如果不完全相符,則不會通過 DKIM 檢查。
    • aspf=s 的作用與 adkim=s 相同,但是用於 SPF 對齊a。
    • Cloudflare 電子郵件安全性 DNS 精靈可讓您輕鬆設定正確的 DNS TXT 記錄,並阻止垃圾郵件發信者使用網域。在這裡閱讀有關該精靈的更多資訊