關於DMARC協議

    據統計，全球範圍內被投遞的釣魚郵件天天約達到1億封，常常會遇到一些郵件發送方，被spammer利用於僞造各類釣魚/詐騙郵件，如：僞造銀行、保險等金融企業，支付寶、Paypal等支付商，知名網站、政府網站等發送釣魚郵件、詐騙郵件，威脅着用戶的信息和財產安全。DMARC協議會更好的下降他們的域名被僞造的可能性。MDaemon企業郵箱從14.x版本開始支持先進反垃圾協議DMARC。

什麼是DMARC？

    DMARC，全稱Domain-based Message Authentication, Reporting and Conformance ，是基於現有的DKIM和SPF兩大主流電子郵件安全協議發展而來的。

目的：主要是識別並攔截釣魚郵件，從而確保用戶的我的信息安全。

原理：由發送方在DNS裏聲明本身採用該協議，接收方收到該域發送過來的郵件時，則進行DMARC校驗，從而判斷當前郵件來源是否合法。

DMARC校驗的核心過程：

    1）從信頭提取From字段的domain，稱域名A。此字段只存在一個域名。

    2）查詢DNS，獲取域名A的DMARC記錄。若該域無設置DMARC記錄，忽略本次DMARC校驗。

    3）校驗DKIM，若驗證成功，則獲取DKIM簽名中的「d=」字段值，稱域名B。信頭中若是有多個DKIM簽名驗證經過，則域名B會存在多個。

    4）校驗SPF，若驗證成功，則獲取本次SMTP會話中MAIL FROM字段的domain，稱域名C。此字段只存在一個域名。

注意：DMARC是基於DKIM和SPF的，因此開啓DMARC必須先開啓DKIM或SPF任意一種。

實際操做：DMARC 和 DKIM & SPF 類似，都須要發件方在DNS裏聲明TXT記錄，只是DKIM & SPF校驗結果處理策略比較單一（accept/reject…），而DMARC策略更靈活（多種組合策略，支持百分比等），DMARC 支持report功能。

例如：v=DMARC1; p=none; fo=1; ruf=mailto:dmarc@qiye.com; rua=mailto:dmarc_report@qiye.com

p：用於告知收件方，當檢測到某郵件存在僞造我（發件人）的狀況，收件方要作出什麼處理，處理方式從輕到重依次爲：none爲不做任何處理；quarantine爲將郵件標記爲垃圾郵件；reject爲拒絕該郵件。初期建議設置爲none。

sp：DMARC記錄對子域名生效，同時聲明子域名在有被僞造時，收件方須作出的處理方式。

rua：用於在收件方檢測後，將一段時間的彙總報告，發送到哪一個郵箱地址。

ruf：用於當檢測到僞造郵件時，收件方須將該僞造信息的報告發送到哪一個郵箱地址。