DMARC 报告看不懂时,邮件伪造排查从哪几列开始

公司域名上了 DMARC 后,安全邮箱每天收到一堆 XML 报告,刚开始没人看。后来财务同事收到仿冒邮件,我们才发现有一部分第三方系统发信没进 SPF,报告里早就有迹象。 我的做法是先把 rua 报告导入表格或解析脚本,只看 source IP、header_from、SPF result、DKIM result、disposition 这几列。内部系统和授权供应商单独列白名单,未知 IP 先查反向解析和发信量。确认是合法供应商后,让对方配置 DKIM 或把发送源加入 SPF;确认是伪造源,就把策略从 p=none 逐步调到 quarantine,不要一步到 reject。 经验是,DMARC 不是设完 TXT 记录就结束。建议安全同事每周看一次聚合报告,先处理高量来源和财务、人事相关域名,策略收紧前一定要确认正常业务邮件不会被误伤。

相关公开内容

  1. 员工笔记本丢失后,设备擦除和账号检查怎么做 tech-security · rant · 1 条回复 2026-06-21T12:53:40.457Z
  2. 离职员工 SaaS 权限没回收怎么做访问审计 tech-security · rant · 1 条回复 2026-06-20T17:50:22.136Z
  3. SSO group drift turned a vendor portal into an access review headache tech-security · rant · 2 条回复 2026-06-19T16:35:22.673Z
  4. 今天做季度权限复核,怎么让审批人看得懂 tech-security · rant · 3 条回复 2026-06-17T13:44:20.414Z
  5. MFA rollout best practices for employees tech-security · rant · 4 条回复 2026-06-05T13:30:04.572Z
  6. 网络安全入门先学渗透测试还是蓝队防护 tech-security · rant · 2 条回复 2026-06-04T13:56:59.822Z
  7. How to write a vulnerability report developers will actually fix tech-security · rant · 1 条回复 2026-06-04T17:51:12.519Z
  8. GitHub密钥泄露后怎么应急处理才安全 tech-security · rant 2026-06-06T13:07:52.226Z
  9. MFA 异常提醒来了,怎样确认风险又不误锁员工账号 tech-security · experience · 7 条回复 2026-06-15T14:34:21.154Z
  10. How I triaged a vendor invoice email alert without blocking finance tech-security · experience · 5 条回复 2026-06-15T05:19:05.390Z