邮件域名防止伪造的三种方式

在进行垃圾邮件投放时，经常会伪造知名平台的邮件来作为发送方，来提高用户对邮件的信任度，提高钓鱼邮件的成功率，但是作为知名公司，要尽量避免自家的域名成为黑客利用的目标，从而降低公司信誉，所以要对自家的域名进行加固，防止被恶意利用，造成不必要的损失。

0x01 SPF（发送方策略框架）

SPF 是为了防范垃圾邮件而提出来的一种 DNS 记录类型，它是一种 TXT 类型的记录，它用于登记某个域名拥有的用来外发邮件的所有 IP 地址。

按照 SPF 的格式在 DNS 记录中增加一条 TXT 类型的记录，将提高该域名的信誉度，同时可以防止垃圾邮件伪造该域的发件人发送垃圾邮件，案例如图：

红框中的内容就是一条典型的 spf 记录，其中指定了被允许的域名，下面一一介绍各字段的意义：

• v=spf1 是 SPF 记录的标志，其后 1 表示 SPF 的版本，如果使用 “Sender ID” 的话，该字段应该是 v=spf2
• include:a.spf.jd.com 表示有哪些第三方组织可以代替该域发送电子邮件
• ip:1.1.1.1 SPF 还可以配置 IP 地址
• -all 则表示 SPF 中未列出的地址就是没有被授权的

0x02 DKIM（域名密钥识别邮件）

DKIM 是一种身份验证方法，它使用公钥/私钥加密来验证电子邮件是否是由授权服务器发送，由发送邮件域管理员识别和配置。

这种技术允许发件人通过使用数字签名来证明邮件确实是由其声称的发件域名所发送，并且邮件的内容没有在传输过程中被篡改。

关于是否配置 DKIM，需要去邮件的内容中查看，比如：

DKIM在每封电子邮件上增加加密的数字标志，然后与合法的互联网地址数据库中的记录进行比较，只有加密信息与数据库中记录匹配的邮件才能够进入用户收件箱。DKIM还能检查邮件的完整性，避免黑客等未授权者的修改。

由于数字签名是无法仿造的，因此DKIM可对垃圾邮件制造者带来致命打击，他们很难再像过去一样，通过盗用发件人姓名、改变附件属性等小伎俩达到目的。

0x03 DMARC（基于域的消息身份验证、报告和一致性）

DMARC 是一种邮件验证协议，用于防止电子邮件欺诈和钓鱼攻击，设置 DMARC 可以防止域名被冒充，还可以提供有关域名被滥用情况的实时反馈，帮助域名所有者识别和应对潜在的油价欺诈问题。

配置 DMARC 需要配置域名前缀为 _dmarc的域名 TXT 记录，配置的前提条件是必须先配置 SPF 记录，如图：

• v=DMARC1 表示该记录是一个 DMARC 记录
• p=none 表示对所有来自该域名的邮件放行，即使没有通过 DMARC 验证，其他配置比如：quarantine（隔离一部分）、reject（执行严格拒绝）
• rua=mailto:dmarc@jd.com 用于接受收信服务商的汇总报告
• ruf 用于接受收信服务商拒信的详细信息

0x04 总结

以上三种方式，都是为了防止自家域名被黑客利用，用于伪造发送方而设计的安全规则，配置起来并不复杂，可以很好的解决自家域名成为垃圾邮件发送方的伪造目标，文中提到了检测是否配置的方法，对于如何配置，可以前往云服务商，查看帮助文档，一一配置。