温馨提示×

登 录 注册有礼
云服务器 香港服务器 高防服务器
最新更新 网站标签 地图导航
产品

Ubuntu邮件服务器DMARC策略

小樊
38
2025-12-26 16:39:11
栏目: 云计算

Ubuntu邮件服务器DMARC策略设计与落地

一、策略目标与原则

  • 使用DMARC(Domain-based Message Authentication, Reporting & Conformance)统一对齐SPFDKIM,提升域名的发信可信度并降低钓鱼风险。
  • 采用渐进式部署:先观察、再收紧、最后强制,避免业务中断。
  • 建议为所有对外发信域名统一配置对齐策略(Alignment)报告接收地址,便于集中治理。

二、DNS记录与参数要点

  • 必要DNS记录一览(示例域名为example.com):
记录类型 主机名 值/示例 作用
TXT _dmarc v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-failures@example.com; fo=1; pct=100; adkim=r; aspf=r 发布DMARC策略、聚合与失败报告、对齐方式、生效比例
TXT @ v=spf1 mx a ip4:203.0.113.10 -all SPF记录,限定合法发信来源
TXT mail._domainkey v=DKIM1; k=rsa; p=… DKIM公钥,用于签名校验
  • 关键参数说明:
    • p(Policy):策略动作,建议路径为none → quarantine → reject
    • rua / ruf:分别接收聚合报告失败明细,便于发现问题与取证。
    • fo(Failure reporting options):建议设为1(SPF或DKIM任一失败时均报告),也可按需使用d(仅DKIM失败)、s(仅SPF失败)。
    • pct(Percentage):策略生效比例,100表示全量生效,先期可逐步提升。
    • adkim / aspf(Alignment):建议设为r(relaxed),更易通过别名、子域等常见场景的对齐检查。
  • 示例记录(观察期):
    • _dmarc TXT: v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-failures@example.com; fo=1; pct=100; adkim=r; aspf=r
  • 示例记录(强制期):
    • _dmarc TXT: v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-failures@example.com; fo=1; pct=100; adkim=r; aspf=r
  • 提示:SPF与DKIM需先行正确发布并通过校验,再启用DMARC的quarantine/reject策略,否则可能导致合法邮件被处置。

三、Postfix与DKIM的协同配置

  • 启用DKIM签名(OpenDKIM)并与Postfix集成,确保邮件具备DKIM-Signature头以便DMARC对齐校验:
    • 安装与基础配置(/etc/opendkim.conf 等),生成密钥对并在DNS发布mail._domainkey记录;
    • Postfix启用milter:在**/etc/postfix/main.cf**中设置
      • milter_protocol = 6
      • milter_default_action = accept
      • smtpd_milters = inet:localhost:12301
      • non_smtpd_milters = inet:localhost:12301
    • 重启服务:systemctl restart opendkim postfix
  • 说明:DMARC本身不需要在Postfix中配置策略记录,策略通过DNS的_dmarc TXT发布;但DMARC的对齐与处置依赖邮件已具备有效的SPFDKIM结果。

四、部署流程与验收清单

  • 步骤建议:
    1. 发布SPFDKIM,确认外发邮件头包含SPF=passDKIM=pass
    2. 发布DMARC p=none,开启rua/ruf收集报告,观察1–2周
    3. 分析聚合与失败报告,修正第三方发信、转发、签名覆盖等对齐问题;
    4. 将策略提升至p=quarantine(如pct=10→50→100),继续观察;
    5. 最终切换为p=reject,保持pct=100并持续监控。
  • 验收要点:
    • 外发邮件头中SPF与DKIM均应为pass,且d=From域对齐(adkim/aspf=r时允许子域对齐);
    • 公共收件箱(如Gmail、Outlook)查看原始邮件头,确认Authentication-Results包含dmarc=pass
    • 定期查收rua聚合报告,关注source_ip、count、policy_evaluated等关键字段;
    • 如存在代发/转发场景,确保SPF对齐DKIM对齐其一成立,或使用ARC(第三方转发时尤需)。

五、常见问题与优化建议

  • 第三方发信未对齐:将adkim/aspf设为r,或为第三方配置专用子域并单独发布SPF/DKIM/DMARC;
  • 邮件列表转发导致失败:启用ARC或要求列表服务器对出站邮件进行DKIM签名SPF对齐
  • 报告过多或过大:在DMARC中仅保留rua(聚合报告),或将pct阶段性提升以减轻初期压力;
  • 误判处置:在p=quarantine阶段观察ruf失败明细,修正签名选择器、发信路径与From一致性后再升级到reject

0

最新问答

相关问答

相关标签

ubuntu云服务器 ubuntu18.04 ubuntu端口 Ubuntu14 ubuntu16.04 Ubuntu14.04 ubuntu20.04 ubuntu18 ubuntu20 ubuntu20.4 ubuntu16 ubuntu代理 ubuntu连接服务器 ubuntu中文输入法 ubuntu安装gcc ubuntu手机系统 ubuntu关机 ubuntu关闭防火墙 ubuntu安装jdk Ubuntu免费云主机
产品服务
地区划分
专题活动
帮助支持
关于我们
售后咨询
7*24小时在线电话:400-100-2938
7*24小时在线 QQ:800811969
关注亿速云

亿速云公众号

手机网站二维码

Copyright © Yisu Cloud Ltd. All Rights Reserved. 2018 版权所有

广州亿速云计算有限公司粤ICP备17096448号-1 粤公网安备 44010402001142号增值电信业务经营许可证编号:B1-20181529