BIMI 对 DMARC p=reject 要求的详解
BIMI 对 DMARC p=reject 要求的详解
大多数 BIMI 部署失败都可以追溯到一个原因:DMARC 策略配置错误。许多组织专注于生成 SVG 徽标文件,却忽视了决定徽标能否显示的身份验证要求。
BIMI 是一项安全协议,而非品牌展示功能。只有在邮箱服务商通过加密方式验证邮件确实来自您的域名后,才会显示您的徽标 [1]。
本文将介绍 BIMI 的 DMARC 前提条件,比较三种执行策略,并说明如何准备您的域名。
什么是 DMARC?
基于域的消息认证、报告和一致性(DMARC)是一种电子邮件身份验证标准,可防止未经授权的发件人在 From 标头中使用您的域名。
DMARC 建立在两个底层协议之上:
- SPF(发件人策略框架): 验证发送邮件的 IP 地址是否获得域名所有者的授权。
- DKIM(域名密钥识别邮件): 为每封邮件添加加密签名,以便接收方确认邮件在传输过程中未被篡改。
DMARC 记录指示接收服务器(如 Gmail 和 Yahoo)如何处理 SPF 和 DKIM 验证均失败的邮件。
三种 DMARC 策略
您需要在 DNS 区域中发布 TXT 记录形式的 DMARC 记录。p= 标签定义执行策略。
1. p=none(监控模式)
接收服务器将验证失败的邮件正常投递到收件箱,并向您指定的地址发送汇总报告。在转向强制执行之前,可使用此策略来识别合法的发送来源。
BIMI 状态: ❌ 不接受。 邮箱服务商不会为设置 p=none 的域名显示 BIMI 徽标。
2. p=quarantine(执行模式)
接收服务器将验证失败的邮件路由到垃圾邮件或垃圾箱文件夹。
BIMI 状态: ✅ 接受。 这是符合 BIMI 资格的最低策略要求。该策略必须适用于 100% 的邮件。请包含 pct=100 或省略 pct 标签(默认值为 100)。
3. p=reject(严格执行模式)
接收服务器直接拒绝验证失败的邮件,不予投递。 BIMI 状态: ✅ 接受。 这是 BIMI 的推荐策略。
为什么 BIMI 要求强制执行
此要求旨在防止视觉欺骗。当邮箱服务商在邮件旁边显示您的徽标时,实际上是向收件人保证该邮件是真实可信的 [2]。
如果 BIMI 接受 p=none,攻击者就可以伪造您的域名,导致邮箱服务商在钓鱼邮件旁边显示您的徽标。要求 p=quarantine 或 p=reject 可确保域名所有者在获得徽标显示权限之前已阻止未经验证的邮件。
子域名注意事项
企业通常会为不同的邮件流使用子域名,例如 marketing.company.com 或 receipts.company.com。BIMI 要求组织域名处于强制执行状态。
如果您的组织域名发布了 p=reject,但通过 sp=none 覆盖了子域名的策略,那么从这些子域名发送的邮件将无法通过 BIMI 验证。强制执行必须同时适用于组织域名及其子域名。
如何审核您的基础设施
在生成 SVG 文件或申请验证标志证书(VMC)之前,请先确认您的 DMARC 状态。
使用 makeBIMI 审核您的域名。该工具会查询您的 DNS 记录,评估您的 SPF 和 DMARC 配置,并报告您的域名是否满足 BIMI 的强制执行要求。
域名通过审核后,生成符合规范的 SVG 文件,并联系证书代理机构(如 veriBIMI)获取您的证书。
参考文献
[1] M. Blank 等. "Brand Indicators for Message Identification (BIMI)." IETF Datatracker, RFC 9091, https://datatracker.ietf.org/doc/html/rfc9091 [2] DMARC.org. "Overview." DMARC, https://dmarc.org/overview/