检查并评估您的 DMARC 策略
DNS 与记录
DNS 查询 查询任意域名的全部 DNS 记录 A 记录查询 域名的 IPv4 地址 AAAA 记录查询 域名的 IPv6 地址 MX 查询 域名的邮件服务器 NS 查询 权威名称服务器 TXT 查询 TXT 记录、SPF、验证 CNAME 查询 规范名称(别名)记录 SOA 查询 起始授权机构记录 SRV 查询 服务位置记录 CAA 查询 哪些 CA 可以签发证书 反向 DNS(PTR) IP 地址到主机名 DNSSEC 检测 该域名是否已签名并通过验证? DNS 健康检测 完整的委派与 DNS 诊断报告电子邮件送达率
SPF 检测 验证您的发件人策略框架记录 DMARC 检测 检查并评估您的 DMARC 策略 DKIM 检测 查找并验证您的 DKIM 公钥 黑名单检测 对照电子邮件黑名单(DNSBL)检测 IP SMTP 测试 连接邮件服务器并检测 STARTTLS MTA-STS 检测 入站邮件的强制 TLS 策略 BIMI 检测 电子邮件的品牌徽标记录 TLS-RPT 检测 SMTP TLS 报告策略网络与网站
SSL 证书检测 检查网站的 TLS 证书和到期情况 HTTP 标头检测 检查响应标头、重定向和安全性 Ping(TCP) 通过 TCP 检测可达性和延迟 端口检测 哪些常用端口处于开放状态域名
WHOIS 查询 域名、IP 和 ASN 的注册数据DMARC 在 SPF 和 DKIM 之上,告诉接收方该如何处理验证失败的邮件,以及把报告发往何处。p=none 策略仅作监控;quarantine 和 reject 才能真正保护你的域名免遭冒用。IPeek 会读取 _dmarc.your-domain 上的记录,解析每个标签,并对策略强度进行评级。
DMARC 是位于 _dmarc.your-domain 的 TXT 记录,以 v=DMARC1 开头。当一封邮件通过 SPF 或 DKIM,且通过验证的域名与可见的 From 域名对齐时,DMARC 即通过。对齐是关键:伪造者可以在自己的域名上让原始 SPF 或 DKIM 通过,却无法让它与你的域名对齐。像 v=DMARC1; p=reject; rua=mailto:reports@your-domain; adkim=s; aspf=s 这样的记录会强制拒收,并对 DKIM 和 SPF 都要求严格对齐。
p 标签设定你的策略。p=none 仅作监控——邮件照常投递,但你会收集报告以了解谁在以你的名义发件。p=quarantine 将失败邮件投入垃圾箱,p=reject 则直接拦截,是抵御冒用最强的保护。pct 标签可逐步提升强制比例(例如 pct=25),sp 则为子域名设定单独的策略。先从 none 开始收集数据,待确认合法发件人都能通过后,再收紧到 quarantine 和 reject。IPeek 会为你当前策略的强度评级。
DMARC 的报告机制是它真正可落地的关键。rua 标签指定一个邮箱,用于接收每日的汇总 XML 报告,报告会概括哪些来源以你的域名发件,以及它们是否通过 SPF、DKIM 和对齐。利用这些报告,在收紧策略前找出那些你遗漏授权的合法发件人。可选的 ruf 标签用于请求取证(逐封失败)报告,不过出于隐私原因,多数接收方已不再发送。没有 rua,你就是在盲目地强制执行策略。
p=none 是仅监控策略。它告诉接收方对验证失败的邮件不采取特殊处理,因此邮件照常投递,但你仍会收到汇总报告,了解谁在以你的域名发件。用 p=none 收集数据、识别合法发件人,然后切换到 quarantine 或 reject 以获得真正的防冒用保护。
两者都强制执行策略,但方式不同。p=quarantine 告诉接收方把失败邮件投递到垃圾箱或 junk 文件夹,而 p=reject 告诉接收方彻底拦截,使其永远到不了收件人。reject 是抵御冒用最强的保护,quarantine 通常是在完全拒收之前的一个过渡步骤。
对齐要求由 SPF 或 DKIM 验证通过的域名,与可见 From 头中的域名相匹配。只有当两者中至少有一项对齐时,DMARC 才通过。宽松对齐(默认)允许子域名与组织域名匹配;严格对齐(adkim=s、aspf=s)则要求完全一致。对齐正是阻止攻击者在自己域名上通过验证的手段。
DMARC 记录是发布在你域名 _dmarc 子域上的 TXT 记录——例如 _dmarc.example.com。它必须以 v=DMARC1 开头,每个组织域名只发布一条。接收方会查询这个确切位置来获取你的策略。IPeek 会自动读取 _dmarc.your-domain 上的记录,并解析其中的每个标签。
不需要。只要 SPF 或 DKIM 其中之一通过并与你的 From 域名对齐,DMARC 即可通过,因此并非严格需要两者。不过强烈建议同时配置:这能增加冗余,而且 DKIM 在邮件转发后仍然有效,SPF 往往在转发时失效。两种验证方式都对齐,能让你获得最可靠的 DMARC 结果。