什么是 DMARC？一篇小白也能看懂的科普

最近看到 Jacob 👋 Build in Public（@javayhuwx）的一篇帖子提到：如果你在域名配置 DMARC 时设置了 p=none，可能会导致你的域名被滥用。作为一名第一次接触 DMARC 的小白，我觉得 Jacob 提到的问题非常重要，稍有疏忽，可能就会引发安全隐患！搜索了解后写了这篇文章，尽量用最简单的语言给大家科普一下 DMARC 是什么，以及如何正确配置。

DMARC 是什么？

DMARC 的全称是 Domain-based Message Authentication, Reporting, and Conformance，听起来很复杂，其实它的作用只有两点：

1. 防止伪造邮件：确保别人不能冒充你的域名给别人发邮件。
2. 接收报告：告诉你邮件是否通过验证，哪些邮件可能是伪造的。

简单来说，如果没有 DMARC，就像你的域名大门敞开，任何人都可以用你的名义发送垃圾邮件或钓鱼邮件。

为什么需要配置 DMARC？

Jacob 的帖子里提到，他的域名 DMARC 默认配置了 p=none，这其实只是监控，并不会限制伪造邮件的发送。这就像在你家门口贴了个“这里有监控”的标志，但根本没有锁门，任何人都可以随便进出。

• 如果 DMARC 设置不当，攻击者可能伪造你的域名，给别人发送垃圾邮件。即使你自己没有做坏事，收件人可能会认为你是“骗子”，从而损害你的品牌信誉。
• 没有 DMARC 的严格策略（如 quarantine 或 reject），即使你配置了 SPF 和 DKIM，邮件依然可能被伪造。

举个例子：如果攻击者伪造你的域名发送“钓鱼邮件”，比如“恭喜你中奖，请点击这个链接”，收件人会以为真的是你发的。这不仅会影响收件人，也可能导致你的域名被列入垃圾邮件黑名单。

DMARC 是怎么工作的？

DMARC 是基于 SPF 和 DKIM 验证的，如果你还不了解 SPF 和 DKIM，可以简单理解为：

• SPF：告诉收件人，哪些服务器有权发送来自你域名的邮件。
• DKIM：给邮件加上“电子签名”，验证邮件内容在传输中没有被篡改。
• DMARC：让收件人知道，如果邮件没有通过 SPF 或 DKIM 验证，应该怎么处理。

DMARC 的策略有三个：

• none：仅监控，不限制伪造邮件（Jacob 提到的默认配置）。
• quarantine：将未通过验证的邮件标记为垃圾邮件。
• reject：彻底拒绝未通过验证的邮件。

如何正确配置 DMARC？

如果你是第一次配置 DMARC，可以按照以下步骤操作：

1. 查看你的域名是否已有 DMARC 配置

使用 MXToolbox 或 DMARCian 检查域名的 DNS 设置，看看是否已经配置了 DMARC。

2. 添加基础 DMARC 记录

在你的域名 DNS 中添加一条 TXT 记录，内容如下：

3. 观察一段时间，确保合法邮件通过 SPF 和 DKIM 验证

DMARC 报告会以 XML 文件形式发送到 rua 指定的邮箱地址，可以使用 DMARCian 或类似工具解析报告。

4. 逐步加强策略，避免伪造邮件

• 从 p=none 过渡到 p=quarantine，将未通过验证的邮件标记为垃圾邮件。
• 最后切换到 p=reject，彻底拒绝伪造邮件。

示例：

pct=50 表示对 50% 的邮件应用策略，方便逐步测试。

配置 DMARC 后的好处

• 防止域名被滥用：伪造邮件会被拦截，保护你的品牌和信誉。
• 提升邮件投递率：通过验证的邮件更容易进入收件人收件箱，而不是垃圾邮件夹。
• 接收邮件流量报告：了解哪些邮件未通过验证，便于优化邮件发送。

Jacob 的帖子引发的思考

Jacob 提到的情况非常真实，如果你的 DMARC 配置是默认的 p=none，伪造邮件的问题确实会存在。建议大家尽快检查自己的域名是否配置了 DMARC，并逐步切换到更严格的策略（quarantine 或 reject）。

结论

DMARC 是保护你域名安全的关键措施，但它需要正确配置才能生效。如果你和我一样是小白，建议从基础配置（p=none）开始，通过 DMARC 报告逐步优化邮件流，并最终设置为严格的策略（p=reject）。希望这篇文章对你有所帮助，也非常感谢 Jacob 的提醒，让我们意识到 DMARC 配置的重要性！