什么是 DMARC Identifier Alignment (domain alignment)?

Home 什么是 DMARC Identifier Alignment (domain alignment)?

什么是 DMARC Identifier Alignment (domain alignment)?

20th Feb 2024 DMARC Identifier Alignment

Email 用户通过在邮件终端中检查 from 域来得知邮件来自何处。但是，SPF 并不验证该域，DKIM 也一样。这意味着"你所看到的并没有得到验证"。这就是为什么要在 DMARC 中引进 identifier alignment 机制。

SPF 中的安全漏洞

在电子邮件中有两个 from 地址：信封上的 from 地址，由 SMTP 会话中的 mail from 命令指定，以及头域中的 from 地址，由 SMTP data 命令指定。

SPF 的设计使得它只验证信封上的 from 地址，而它并不检查头域中的 from 地址。这意味着攻击者仍然能够从白名单上面的服务器来使用假冒的头域 from 地址发送邮件。换句话说，用户在邮件终端中看到的 from 域可能和 SPF 验证过的值不同。

DKIM 中的安全漏洞

类似地，DKIM 仅仅验证 DKIM 签名中的 d= 值，该值可能和头域 from 地址中的域名值不同。结果是显然的：用户在邮件终端中看到的 from 域可能和 DKIM 验证过的值不同。

什么是 central identity，为什么需要它？

邮件的 central identity 作用是帮助用户确定邮件的发送者。DMARC 选择头域 from 地址中的域名作为 central identity，基于以下的理由：

用户把头域 from 地址当成是邮件的发送者；
头域 from 地址一定存在。

这里核心的想法是把用户认为的邮件发送者和 SPF 和 DKIM 所验证的值联系起来。这样，"你所看到的已经得到验证"。这样 SPF 和 DKIM 中的安全漏洞就被堵上了！

组织域名 (Organizational Domains)

组织域名指的是域名中的"根部"。比如说，mail.domain.com 的组织域名是 domain.com。

在 DMARC 的 relaxed 模式中，组织域名被用来检查 identifier alignment。

什么是 DMARC identifier alignment？

DMARC identifier alignment, 也叫 DMARC alignment/domain alignment, 是在 DMARC 中引入的机制，被用来确保被 SPF 或者 DKIM 验证的域名中，至少有一个和头域 from 地址中的域名对齐 (align with)，即 central identity。Identifier alignment 有时也被称为 domain alignment。

DMARC 有两种对齐模式：strict 和 relaxed。在 strict 对齐模式中，两个域名要完全一样才能对齐；在 relaxed 对齐模式中，只要两个域名的组织域名一样，就算对齐。

SPF 中的 identifier alignment

在 SPF 中，identifier alignment 意味着信封上的 from 地址的域名部分和头域 from 地址中的域名对齐。如果信封 from 地址为空的话，检查 EHLO 域名。

下面是几个例子。

例子 A: SPF 对齐

信封 from 地址

<[email protected]>

头域

From: [email protected]
Date: Fri, Feb 25 2019 03:14:20 -1200
To: [email protected]
Subject: Hi!

信封 from 地址和头域 from 地址的域名完全一样。因此，两者对齐。

例子 B: SPF 对齐 (组织域名)

信封 from 地址

<[email protected]>

头域

From: [email protected]
Date: Fri, Feb 17 2019 15:14:10 -1200
To: [email protected]
Subject: Hello!

信封 from 域名是头域 from 域名的子域名。因此，在 relaxed 模式下，两者对齐；而在 strict 模式下，两者不对齐。

例子 C: SPF 不对齐

信封 from 地址

<[email protected]>

头域

From: [email protected]
Date: Fri, Feb 15 2019 13:14:20 -1200
To: [email protected]
Subject: Hello!

信封 from 地址和头域 from 地址既不相同，也没有共同的组织域名。因此，两者不对齐。

DKIM 中的 identifier alignment

在 DKIM 中，identifier alignment 意味着邮件头域中的 DKIM 签名的 d= 的域名值必须和头域 from 地址中的域名对齐。

下面是几个例子。

例子 A: DKIM 对齐

d= domain

business.com

头域

From: [email protected]
Date: Fri, Feb 25 2019 03:14:20 -1200
To: [email protected]
Subject: Hi!

头域 from 地址中的域名和 d= 域名一样。因此，两者对齐。

例子 B: DKIM 对齐 (组织域名)

d= 域名

mail.business.com

头域

From: [email protected]
Date: Fri, Feb 17 2019 15:14:10 -1200
To: [email protected]
Subject: Hello!

d= 值是头域 from 域名的一个子域名。因此，在 relaxed 模式下，两者对齐；而在 strict 模式下，两者不对齐。

例子 C: DKIM 不对齐

d= 域名

business.com

头域

From: [email protected]
Date: Fri, Feb 15 2019 13:14:20 -1200
To: [email protected]
Subject: Hello!

d= 值和头域 from 地址不同。因此，两者不对齐。

Previous Post Next Post

Protect Business Email & Improve Email Deliverability

Get a 14 day trial. No credit card required.

Create Account

Need to fix "SPF PermError: too many DNS lookups" issue? Check out this post:

How to fix "SPF PermError: too many DNS lookups"?

Want to get the ultimate DMARC guide? Click the link below:

The Ultimate Guide to DMARC/DKIM/SPF