Definiera DMARC-posten

Skydda mot identitetsförfalskning och nätfiske och bidra till att förhindra att meddelanden markeras som skräppost

DMARC-policyn (Domain-based Message Authentication, Reporting, and Conformance) definieras i en textrad som kallas en DMARC-post. Posten definierar:

Hur strikt DMARC ska kontrollera meddelanden
Rekommenderade åtgärder för den mottagande servern när den får meddelanden som underkänns i autentiseringskontroller

Alternativ för DMARC-policy

DMARC-policyn rekommenderar den mottagande e-postservern vilken åtgärd som ska vidtas när ett meddelande från din domän inte godkänns i DMARC-autentiseringen.

Detta är ett exempel på en DMARC-policypost. Taggarna v och p måste anges först. Andra taggar kan vara i valfri ordning:

v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s

Definitioner och värden för DMARC-posttaggar

Märke	Beskrivning och värden
v	DMARC-version. Måste vara DMARC1. Denna tagg är obligatorisk.
p	Anger för den mottagande e-postservern vad som ska göras med meddelanden som inte godkänns i autentisering. none – Vidta inga åtgärder för meddelandet och leverera det till den avsedda mottagaren. Logga meddelanden i en daglig rapport. Rapporten skickas till den e-postadress som har angetts med alternativet rua i posten. quarantine—Markera meddelandena som skräppost och skicka dem till mottagarens skräppostmapp. Mottagarna kan kontrollera skräpposten och identifiera legitima meddelanden. reject—Avvisa meddelandet. Med det här alternativet skickar den mottagande servern vanligtvis ett avvisningsmeddelande till den avsändande servern. Denna tagg är obligatorisk. Tänk på följande om BIMI: Om din domän använder BIMI måste DMARC-alternativet p vara inställt på quarantine (karantän) eller reject (avvisa). BIMI har inte stöd för DMARC-policyer när alternativ p är inställt på none (inget).
pct	Anger procentandelen av oautentiserade meddelanden som omfattas av DMARC-policyn. När du gradvis implementerar DMARC kan du börja med en liten procentandel av dina meddelanden. I takt med att fler meddelanden från domänen godkänns i autentiseringen med mottagande servrar uppdaterar du posten med en högre procentandel tills du når 100 procent. Måste vara ett heltal från 1 till 100. Om du inte använder det här alternativet i posten tillämpas DMARC-policyn på 100 % av meddelanden som skickas från din domän. Den här taggen är valfri. Tänk på följande om BIMI: Om din domän använder BIMI måste DMARC-policyn ha ett pct-värde på 100. BIMI har inte stöd för DMARC-policyer med pct-värdet inställt på mindre än 100.
rua	E-postadress för att få rapporter om DMARC-aktivitet för domänen. E-postadressen måste innehålla mailto: Till exempel: `mailto:dmarc-reports@solarmora.com` Om du vill skicka DMARC-rapporter till flera e-postadresser avgränsar du varje e-postadress med ett kommatecken och lägger till prefixet mailto: före varje adress. Till exempel: `mailto:dmarc-reports@solarmora.com, mailto:dmarc-admin@solarmora.com` Det här alternativet kan leda till ett stort antal e-postmeddelanden med rapporter. Vi rekommenderar inte att du använder din egen e-postadress. Använd en dedikerad postlåda, en grupp eller en extern tjänst som är specialiserad på DMARC-rapporter. Den här taggen är valfri.
ruf	Stöds inte. Gmail har inte stöd för taggen ruf, som används för att skicka felrapporter. Felrapporter kallas även forensiska rapporter.
sp	Konfigurerar policyn för meddelanden från underdomäner på din primära domän. Använd det här alternativet om du vill ha en annan DMARC-policy för dina underdomäner. none—Take no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy. quarantine—Markera meddelandena som skräppost och skicka dem till mottagarens skräppostmapp. Mottagarna kan kontrollera skräpposten och identifiera legitima meddelanden. reject—Avvisa meddelandet. Med det här alternativet skickar den mottagande servern ett studsmeddelande till den avsändande servern Om du inte använder det här alternativet i posten ärver underdomäner den DMARC-policy som angetts för den överordnade domänen. Den här taggen är valfri.
adkim	Konfigurerar justeringspolicyn för DKIM, som definierar hur strikt meddelandeinformation måste matcha DKIM-signaturer. Läs mer om hur justering fungerar. s—Strikt justering. Avsändarens domännamn måste exakt matcha motsvarande d=domännamn i e-postens DKIM-huvud. r—Relaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted. Den här taggen är valfri.
aspf	Konfigurerar justeringspolicyn för SPF, som anger hur strikt meddelandeinformation måste matcha SPF-signaturer. Läs mer om hur justering fungerar. s—Strikt justering. Meddelandets from:-huvud måste exakt matcha domain.name i kommandot SMTP MAIL FROM r—Mindre strikt justering (standard). Tillåter partiella matchningar. Alla giltiga underdomäner av domännamnet godkänns. Den här taggen är valfri.

När du börjar använda DMARC rekommenderar vi en policy med tillämpningen inställd på none. När du får kännedom om hur meddelanden från din domän autentiseras av mottagande servrar uppdaterar du policyn. Över tid ändrar du mottagarpolicyn till quarantine och slutligen till reject. Om du vill se ett exempel på en DMARC-policy som har uppdaterats under en DMARC-lansering går du till Vägledning: Rekommenderad DMARC-lansering.

Tillämpningspolicy	Rekommenderad åtgärd	Mer information
none	Ingen åtgärd vidtas på meddelanden som inte godkänns i DMARC-kontrollerna av den mottagande servern. Meddelanden levereras på normalt sätt till mottagaren.	Vi rekommenderar att du använder det här alternativet när du konfigurerar DMARC för första gången. Med alternativet ingen levereras meddelanden från din domän på normalt sätt. Granska DMARC-rapporterna regelbundet för att ta reda på hur din e-post autentiseras och levereras medan din policy är inställd på ingen. DMARC-rapporter som skickas till dig av mottagande servrar har information om meddelanden som inte kan autentiseras av SPF eller DKIM. Kontrollera SPF- och DKIM-konfigurationen om många meddelanden från din domän hamnar i skräpposten. Läs mer om felsökning av DMARC. Ändra inte alternativet för policytillämpning till quarantine eller reject innan du vet vilka meddelanden som inte autentiseras av mottagande servrar. BIMI-anteckning: Om din domän använder BIMI måste din DMARC-tillämpningspolicy (p) vara inställd på quarantine (karantän) eller reject (avvisa). BIMI har inte stöd för DMARC-policyer när alternativ p är inställt på none (inget).
quarantine	Meddelanden som inte autentiseras med DMARC av den mottagande servern skickas till mottagarens skräppostmapp. Om den mottagande e-postservern har en karantän konfigurerad, skickas meddelanden kanske till karantänen och inte direkt till mottagarens skräppostmapp.	Du fortsätter att få DMARC-rapporter med det här alternativet.
reject	Meddelanden som inte autentiseras med DMARC av den mottagande servern avvisas och levereras aldrig till mottagaren. Den mottagande servern skickar vanligen ett avvisningsmeddelande till avsändaren.	Vi rekommenderar att du avvisar som ett permanent alternativ för alla DMARC-policyer. Du fortsätter att få DMARC-rapporter med det här alternativet. Uppdatera policyn till det här alternativet när DMARC-rapporter visar att alla giltiga meddelanden autentiseras och levereras normalt. Om du avvisar oautentiserade meddelanden skyddas mottagarna från skräppost, identitetsförfalskning och nätfiske.

Alternativ för DMARC-anpassning

DMARC godkänner eller avvisar ett meddelande baserat på hur nära meddelandets Från-huvud matchar den avsändande domän som anges av SPF eller DKIM. Detta kallas anpassning.

Du kan välja mellan två anpassningslägen: strikt och mindre strikt. Ställ in anpassningsläget för SPF och DKIM i DMARC-posten. Taggarna spfer och adkim för DMARC-poster anger anpassningsläget.

I följande fall rekommenderar vi att du överväger att ändra till strikt anpassning för ökat skydd mot identitetsförfalskning:

E-post som skickas till din domän kommer från en underdomän utanför din kontroll
Du har underdomäner som hanteras av en annan enhet

För att godkännas i DMARC måste ett meddelande godkännas i minst en av dessa kontroller:

SPF-autentisering och SPF-anpassning
DKIM-autentisering och DKIM-anpassning

Ett meddelande godkänns inte i DMARC-kontrollen om det underkänns i både:

SPF (eller SPF-anpassning)
DKIM (eller DKIM-anpassning)

Viktigt! En mindre strikt anpassning ger vanligen tillräckligt skydd mot identitetsförfalskning. Strikt anpassning kan leda till att meddelanden från kopplade underdomäner kan avvisas eller skickas till skräpposten.

Autentiseringsmetod	Strikt anpassning	Mindre strikt anpassning
SPF	En exakt matchning mellan den SPF-autentiserade domänen och domänen i Från-huvudadressen.	Domänen i Från-rubrikadressen måste matcha eller vara en underdomän till den SPF-autentiserade domänen.
DKIM	En exakt matchning mellan den relevanta DKIM-domänen och domänen i Från-huvudadressen.	Domänen i Från-huvudadressen måste matcha eller vara en underdomän till domänen som anges i DKIM-signaturens d=-tagg.

Förstå kuvertavsändare och Från-adresser

E-postmeddelanden har två typer av adresser som anger avsändaren. Det är viktigt att förstå skillnaden mellan dessa adresser när du konfigurerar SPF, DKIM och DMARC.

Adressen för kuvertavsändaren och Från-adressen för ett meddelande kan vara olika eller samma.

Adress för kuvertavsändare – den e-postadress som anger var meddelandet kommer ifrån. Meddelanden som inte kan levereras, eller avvisas, skickas till denna adress. Adressen för kuvertavsändare kallas även Return-Path-adress eller avvisningsadress. Meddelandets mottagare ser inte kuvertavsändaradressen.

SPF använder vanligen meddelandets kuvertavsändaradress för autentisering.

Från-adress – e-postadressen i meddelanderubriken. Meddelanden består av två delar: meddelanderubrik och meddelandetext. Rubriken innehåller information om meddelandet, inklusive: avsändarens namn och e-postadress, meddelandets ämne och sändningsdatum. Från-rubriken innehåller e-postadressen och är vanligtvis namnet på personen som skickade meddelandet.

DKIM använder meddelandets Från-adress för autentisering.

Exempel på SPF-anpassning

Med SPF jämförs domänen som autentiseras av SPF (vanligtvis kuvertavsändaradressen) med domänen i meddelanderubriken Från-adress. Här är några exempel på anpassningar med SPF-kontrollresultat.

Adress för kuvertavsändare	Från-adress i rubrik	Strikt anpassning	Mindre strikt anpassning
`jon@solarmora.com`	`jon@solarmora.com`	Godkänd	Godkänd
`jon@mail.solarmora.com`	`jon@solarmora.com`	Underkänd	Godkänd
`jon@solarmora.org`	`jon@solarmora.com`	Underkänd	Underkänd

Exempel på DKIM-anpassning

Med DKIM jämförs värdet i fältet DKIM-signaturdomän (d=) i brevhuvudet med domänen i meddelandets Från-huvud.

Här är några exempel på anpassningar med DKIM-kontrollresultat:

Från-rubrik	DKIM d=domain	Strikt anpassning	Mindre strikt anpassning
`jon@solarmora.com`	`solarmora.com`	Godkänd	Godkänd
`jon@mail.solarmora.com`	`solarmora.com`	Underkänd	Godkänd
`jon@solarmora.org`	`solarmora.com`	Underkänd	Underkänd

Alternativ för DMARC-rapport

Du kan konfigurera DMARC för att få regelbundna rapporter från e-postservrar som får e-post från din domän.

DMARC-rapporter visar:

vilka servrar eller avsändare från tredje part som skickar e-post för din domän
hur stor andel av meddelandena från domänen som godkänns i DMARC
vilka servrar eller tjänster som skickar meddelanden som inte fungerar i DMARC
vilka DMARC-åtgärder den mottagande servern utför på oautentiserade meddelanden från din domän: none, quarantine eller reject.

Om du vill börja få DMARC-rapporter använder du rua DMARC-posttaggen i DMARC-posten.

Läs mer om DMARC-rapporter.

Var det här till hjälp?

Hur kan vi förbättra den?