为MDaemon开启DMARC验证

根据数据统计显示，全球范围内每天仍有约1亿的钓鱼邮件在投递着，每年因此而泄露的个人密码，银行卡/信用卡信息等资料更是不计其数，对受害人和社会造成的影响是在太大、太恶劣。或许您该为你的MDaemon邮件服务器启用DMARC验证和为您的域名设置DMARC记录来防止伪造邮件，还可以获取到他人尝试伪造贵公司域名的情况。

何为DMARC：DMARC是Domain-based Message Authentication，Reporting and Conformance的英文首字母缩写。DMARC协议是有效解决信头From伪造而诞生的一种新的邮件来源验证手段，为邮件收件人地址提供强大保护，并在邮件收发双方之间建立起一个数据反馈机制。和其他电邮安全协议的美好初衷一样，DMARC协议的主要目的是识别并拦截钓鱼邮件，使钓鱼邮件不再进入用户邮箱中（收件箱或垃圾箱），减少邮箱用户打开/阅读到钓鱼邮件的可能性，从而保护用户的账号密码等个人安全信息。

原理：由Mail Sender（邮件发送方）在自己的DNS里声明自己采用DMARC协议。当Mail Receiver方收到该域发送过来的邮件时，则进行DMARC校验，根据发送方的设置将校验报告发送到一个邮箱。

DMARC协议基于现有的DKIM和SPF两大主流电子邮件安全协议。所以开启DMARC之前必须先启用SPF或DKIM，否则DMARC记录不生效。

DMARC记录中常用的参数解释

p：用于告知收件方，当检测到某邮件存在伪造我（发件人）的情况，收件方要做出什么处理，处理方式从轻到重依次为：none为不作任何处理；quarantine为将邮件标记为垃圾邮件；reject为拒绝该邮件。初期建议设置为none。

rua：用于在收件方检测后，将一段时间的汇总报告，发送到哪个邮箱地址。

ruf：用于当检测到伪造邮件时，收件方须将该伪造信息的报告发送到哪个邮箱地址。

 

添加到DNS

添加TXT记录，如果主域名是domain.com，则TXT记录的主机名将为：_dmarc.domain.com，记录的TXT值包含策略类型和可选的报告功能。

例子：记录值：v=DMARC1;p=reject;[email protected]

v=DMARC1 表示的是版本标签， 即使其他 DMARC 标签值不区分字母大小写，v= 标签的值必须是大写字母： DMARC1。

p=reject  这是“策略”标签，必须作为DMARC的第二个标签，紧接v=这个标签;p=reject表示您希望收件服务器拒收未通过DMARC验证的任何邮件。不过一些服务器仍然接收这些邮件，不过将其隔离或进行额外审核。

[email protected] 收件方检测后，将一段时间的汇总报告发送到[email protected]这个邮箱

 

在MDaemon中=开启DMARC验证：

可以勾选【将未通过DMARC测试的邮件过滤到垃圾邮件文件夹】选项，这时会跳出窗口询问是否为所有用户创建IMAP过滤规则，以将DMARC验证失败的邮件路由到垃圾邮件文件夹。

 

**注意** 如果在DMARC产生“FAIL(失败)”时 DMARC记录中p=reject，则不会将邮件路由到垃圾邮件文件夹，因为会话在SMTP连接时终止。

 

开启验证后可以将报告发送至对应的收件人：