你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

有关 Azure 通信服务电子邮件中发件人身份验证支持的最佳做法

本文提供了有关 DNS 记录的电子邮件发送最佳做法,以及如何使用发件人身份验证方法,帮助防止攻击者发送看起来像来自域的邮件。

电子邮件身份验证和 DNS 设置

发送电子邮件需要完成多个步骤,包括验证电子邮件的发件人是否实际拥有发送域、检查域信誉、病毒扫描、筛选垃圾邮件、网络钓鱼企图、恶意软件等。配置正确的电子邮件身份验证是建立电子邮件信任和保护域的信誉的基本原则。 如果电子邮件通过了身份验证检查,则接收域可将策略应用于该电子邮件,以保持已经为这些身份验证检查关联的标识建立的信誉,并且可以向收件人保证这些标识有效。

MX (邮件交换) 记录

MX(邮件交换)记录用于将电子邮件路由到正确的服务器。 它指定负责代表域接受电子邮件的邮件服务器。 DNS 需要使用电子邮件域的 MX 记录的最新信息进行更新,否则会导致某些传递失败。

SPF(发件人策略框架)

SPF RFC 7208 是允许域所有者通过标准 DNS TXT 记录发布和维护有权代表他们发送电子邮件的系统列表的一种机制。 此记录用于指定哪些邮件服务器有权代表域发送电子邮件。 这有助于防止电子邮件欺骗并提高电子邮件交付能力。

DKIM(域密钥标识的邮件)

DKIM RFC 6376 允许组织以收件人可验证的方式声明传输邮件的责任。 此记录还用于对电子邮件发送的域进行身份验证,并帮助防止电子邮件欺骗并提高电子邮件传递能力。

DMARC(基于域的邮件身份验证、报告和遵从性)

DMARC RFC 7489 是一种可缩放机制,通过该机制,邮件发起组织可以表达域级别的策略,而邮件接收组织可以使用有关邮件验证、处置和报告的首选项来改善邮件处理。 它还用于指定电子邮件接收方如何处理 SPF 和 DKIM 检查失败的邮件。 这提高了电子邮件可交付性,有助于防止电子邮件欺骗。

ARC(经过身份验证的接收链)

ARC 协议 RFC 8617 为邮件提供经过身份验证的监管链,允许处理邮件的每个实体识别以前处理了该邮件的实体,并在每个跃点上处理邮件的身份验证评估。 ARC 尚未发展成为 Internet 标准,但越来越普及。

电子邮件身份验证的工作原理

电子邮件身份验证将验证来自发件人(例如 notification@contoso.com)的电子邮件是否合法,以及是否来自该电子邮件域(例如 contoso.com)的预期来源。一封电子邮件可能包含多个发起人或发件人地址。 这些地址用于不同用途。 例如,以下列地址为例:

  • 邮件的“发件人”地址标识发件人,并指定在邮件传递出现任何问题时,要将退件通知(例如未送达通知)发送到何处。 它显示在电子邮件的信封部分,而不会由电子邮件应用程序显示。 这有时称为 5321.MailFrom 地址或反向路径地址。

  • 发件人地址是邮件应用程序显示为“发件人”地址的地址。 此地址标识电子邮件的作者。 即,负责编写邮件的人员或系统的邮箱。 这有时称为 5322.From 地址。

  • 发件人策略框架 (SPF) 有助于验证从邮件从域发送的出站电子邮件(来自邮件中声明的人员)。

  • 域密钥标识的邮件 (DKIM) 有助于确保目标电子邮件系统信任域中邮件发送的出站邮件。

  • 基于域的邮件身份验证、报告和遵从性 (DMARC) 与发件人策略框架 (SPF) 和域密钥标识的邮件 (DKIM) 配合工作,以便对邮件发件人进行身份验证,并确保目标电子邮件系统信任从域发送的邮件。

实现 DMARC

结合 SPF 和 DKIM 实现 DMARC 可以针对欺骗和网络钓鱼电子邮件提供多重保护。 SPF 使用 DNS TXT 记录为给定的域提供获得授权的发送 IP 地址的列表。 通常情况下,仅会针对 5321.MailFrom 地址执行 SPF 检查。 这意味着,当你单独使用 SPF 时,不会对 5322.From 地址进行身份验证。 这样,用户可能会收到一封通过了 SPF 检查、但使用了欺骗性 5322.From 发件人地址的邮件。

像 SPF 的 DNS 记录一样,DMARC 的记录是一个 DNS 文本 (TXT) 记录,有助于防止欺骗和钓鱼。 在 DNS 中发布 DMARC TXT 记录。 DMARC TXT 记录根据发送域的申明所有者验证电子邮件创建者的 IP 地址,以此验证电子邮件的来源。 DMARC TXT 记录可以标识得到授权的出站电子邮件服务器。 然后,目标电子邮件系统可以验证接收的邮件是否来自得到授权的出站电子邮件服务器。 这会强制从域发送的所有电子邮件中的 5321.MailFrom 与 5322.From 地址之间不匹配,对于该电子邮件,DMARC 将会失败。 若要避免这种情况,需要为域设置 DKIM。

DMARC 策略记录允许域声明其电子邮件使用身份验证;提供电子邮件地址以收集有关其域用途的反馈;指定用于处理未通过身份验证检查的邮件的已请求策略。 我们建议

  • 在可能的情况下,在针对发布 DMARC 记录的域的策略陈述中指定“p=reject”,否则指定“p=quarantine”。
  • 仅将策略陈述“p=none”、“sp=none”和“pct<100”视为过渡状态,应尽快将其删除。
  • 任何已发布的 DMARC 策略记录应至少包含一个“rua”标记,该标记指向接收 DMARC 聚合报告的邮箱,由于隐私考虑而收到报告时,它不应发送任何回复。

后续步骤

你可能会对下列文档感兴趣: