跳至內容

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=email-message-authentication

訊息驗證

郵件驗證可讓您驗證電子郵件的原始來源是否與宣稱的來源一致。Sophos Email Security 使用 DMARC、SPF 和 DKIM 執行此操作。

郵件驗證檢查按照在 UI 中顯示的順序執行。如果電子郵件未能通過第一個寄件者驗證,則不會執行其他驗證。請參閱郵件驗證的運作方式

有關不同情況下驗證執行順序的詳細資訊,請參閱 郵件驗證的順序

建議您將每個郵件驗證類別設定為隔離

您可以透過在內送允許清單中允許網域和電子郵件地址來覆寫郵件驗證。

對於每個郵件驗證,您可以選擇將未通過檢查的郵件傳送到終端使用者隔離區

DMARC

基於網域的郵件驗證、報告和一致性 (DMARC) 是一項電子郵件驗證原則和報告通訊協定。它基於 DKIM 和 SPF 協定,偵測並防止電子郵件欺詐。您可以控制未通過 DMARC 檢查的訊息的處理方式。

選項:

  • 符合寄件者原則:訊息的處理方式取決於寄件者在其 DMARC 策略中所陳述的內容。這是預設值。
  • 標記主旨行:電子郵件安全性會將標記新增到訊息的主旨列,表示這是欺騙訊息。
  • 隔離:訊息被隔離。
  • 拒絕:訊息已被拒絕。
  • 傳送:郵件會傳送到下一個階段。

SPF

寄件者原則架構 (SPF) 能讓您驗證內送電子郵件是否來自經由寄件網域管理員授權的 IP 位址。垃圾郵件和網路詐騙郵件通常使用偽造地址。

當寄件者的 IP 位址未列為授權寄件者時,就會發生硬失敗。為確保只有授權的 IP 位址才能傳送電子郵件,寄件者必須在 SPF 記錄中新增 -all。此選項是預設的 SPF 檢查,您可以為其設定失敗動作。

您也可以為其他 SPF 失敗選項設定動作,例如:

  • 軟失敗:當寄件者的 IP 位址可能未授權時發生。這可能是因為網域擁有者未設定更明確的限制,這將導致更強烈的「失敗」。為確保只有授權的 IP 位址才能傳送電子郵件,但並非絕對,寄件者必須在 SPF 記錄中新增 ~all
  • 中性:當寄件者的網域透過在 SPF 記錄中指定 ?all 來明確聲明其不主張寄件者的 IP 位址是否經過授權時發生。在這種情況下,來自任何寄件者 IP 位址的電子郵件都會產生中性結果。
  • 不受支援:當寄件者尚未設定 SPF 記錄時發生。
  • 暫時失敗:由於執行檢查時出現臨時錯誤(通常由於 DNS(網域名稱伺服器))而發生。此錯誤可能無需 DNS 操作員的任何干預就會自行解決。
  • 永久性失敗:當無法正確解釋網域的已發佈記錄時發生。這表示出現了需要 DNS 操作員干預的錯誤。

選項:

  • 標記主旨行:電子郵件安全性會將標記新增到訊息的主旨列,表示這是欺騙訊息。這是預設值。
  • 隔離:訊息被隔離。
  • 拒絕:訊息已被拒絕。
  • 傳送:郵件會傳送到下一個階段。

DKIM

網域名稱金鑰識別郵件 (DKIM) 是一種驗證框架,用於根據寄件者的網域對郵件進行簽署和驗證。您可以控制未通過 DKIM 檢查的訊息的處理方式。

DKIM 設定完畢後,DKIM 簽名出現在電子郵件中,DNS 回應正常,但 DKIM 檢查未通過時,會出現硬失敗。此選項是預設的 DKIM 檢查,您可以為其設定失敗動作。

您也可以為其他 DKIM 失敗選項設定動作,例如:

  • 不受支援:當寄件者尚未設定 DKIM 或寄件者在 DNS 記錄中發佈的 DKIM 金鑰無效時發生。
  • 暫時失敗:由於執行檢查時出現臨時錯誤(通常由於 DNS)而發生。此錯誤可能無需 DNS 操作員的任何干預就會自行解決。
  • 永久性失敗:當無法正確解釋網域的已發佈記錄時發生。這表示出現了需要 DNS 操作員干預的錯誤。

選項:

  • 標記主旨行:電子郵件安全性會將標記新增到訊息的主旨列,表示這是欺騙訊息。這是預設值。
  • 隔離:訊息被隔離。
  • 拒絕:訊息已被拒絕。
  • 傳送:郵件會傳送到下一個階段。