Skip to main content

1. Introduction (简介)

发送方策略框架 (Sender Policy Framework, [SPF]) 和域名密钥识别邮件 (DomainKeys Identified Mail, [DKIM]) 提供域级别的认证。它们使协作的电子邮件接收方能够检测被授权使用域名的邮件,从而允许差异化处理。(关于这些系统试图解决的威胁的详细讨论可以在 [DKIM-THREATS] 中找到。) 然而,一直没有一个被广泛接受或公开可用的单一机制来传达针对接收方的域特定消息处理策略,或请求已接收邮件的认证和处置报告。在缺乏获取反馈报告能力的情况下,已实施电子邮件认证的发件人难以确定其认证的有效性。因此,使用认证失败来过滤邮件通常不会成功。

随着时间的推移,选定的发件人和接收方之间建立了一对一的关系,通过私下沟通的方式来断言策略并接收消息流量和认证处置报告。尽管这些临时做法总体上是成功的,但它们需要各方之间进行大量的手动协调,并且这种模式不适合在互联网上普遍使用。

本文档定义了基于域的消息认证、报告和一致性 (Domain-based Message Authentication, Reporting, and Conformance, DMARC),这是一种机制,电子邮件运营商通过它利用现有的认证和策略广告技术来实现消息流反馈和针对未认证电子邮件的策略执行。

DMARC 允许域所有者 (Domain Owners) 和接收方通过以下方式进行协作:

  1. 向接收方提供关于域所有者策略的断言

  2. 向发件人提供反馈,以便他们可以监控认证并判断威胁

DMARC 的基本概要如下:

  1. 域所有者通过 DNS 发布关于域的策略断言。

  2. 接收方将邮件中的 RFC5322.From 地址与 SPF 和 DKIM 结果 (如果存在) 以及 DNS 中的 DMARC 策略进行比较。

  3. 这些接收方可以使用这些结果来确定应如何处理邮件。

  4. 接收方向域所有者或其指定方发送关于声称来自其域的邮件的报告。

本文档中使用的安全术语在 [SEC-TERMS] 中定义。

DMARC 与以前的策略广告方法 (例如 [SPF] 和 [ADSP]) 的不同之处在于:

  • 认证技术:

    1. 与任何特定于技术的策略机制解耦,并且

    2. 仅用于建立可靠的每条消息的域级别标识符。

  • 使用多种认证技术来:

    1. 减少瞬态认证错误的影响

    2. 减少站点特定配置错误和部署差距的影响

    3. 支持比任何单一技术单独支持的更多用例

  • 支持接收方生成的反馈,允许发件人建立对认证实践的信心。

  • 从消息的 RFC5322.From 字段中提取的域名是 DMARC 机制中的主要标识符。该标识符与底层认证技术的结果结合使用,以评估 DMARC 下的结果。

使用 DMARC 的经验揭示了与一般电子邮件的一些互操作性问题,在部署之前需要适当考虑,特别是对于可能导致邮件被拒绝的配置。这些问题在第 10 节中讨论。

Last updated on