DMARC-policyn (Domain-based Message Authentication, Reporting, and Conformance) definieras i en textrad som kallas en DMARC-post. Posten definierar:
- Hur strikt DMARC ska kontrollera meddelanden
- Rekommenderade åtgärder för den mottagande servern när den får meddelanden som underkänns i autentiseringskontroller
Alternativ för DMARC-policy
DMARC-policyn rekommenderar den mottagande e-postservern vilken åtgärd som ska vidtas när ett meddelande från din domän inte godkänns i DMARC-autentiseringen.
Detta är ett exempel på en DMARC-policypost. Taggarna v och p måste anges först. Andra taggar kan vara i valfri ordning:
v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s
Definitioner och värden för DMARC-posttaggar
Märke | Beskrivning och värden |
v |
DMARC-version. Måste vara DMARC1. Denna tagg är obligatorisk. |
p | Anger för den mottagande e-postservern vad som ska göras med meddelanden som inte godkänns i autentisering.
Denna tagg är obligatorisk. Tänk på följande om BIMI: Om din domän använder BIMI måste DMARC-alternativet p vara inställt på quarantine (karantän) eller reject (avvisa). BIMI har inte stöd för DMARC-policyer när alternativ p är inställt på none (inget). |
pct |
Anger procentandelen av oautentiserade meddelanden som omfattas av DMARC-policyn. När du gradvis implementerar DMARC kan du börja med en liten procentandel av dina meddelanden. I takt med att fler meddelanden från domänen godkänns i autentiseringen med mottagande servrar uppdaterar du posten med en högre procentandel tills du når 100 procent. Måste vara ett heltal från 1 till 100. Om du inte använder det här alternativet i posten tillämpas DMARC-policyn på 100 % av meddelanden som skickas från din domän. Den här taggen är valfri. Tänk på följande om BIMI: Om din domän använder BIMI måste DMARC-policyn ha ett pct-värde på 100. BIMI har inte stöd för DMARC-policyer med pct-värdet inställt på mindre än 100. |
rua |
E-postadress för att få rapporter om DMARC-aktivitet för domänen. E-postadressen måste innehålla mailto: Om du vill skicka DMARC-rapporter till flera e-postadresser avgränsar du varje e-postadress med ett kommatecken och lägger till prefixet mailto: före varje adress. Till exempel: Det här alternativet kan leda till ett stort antal e-postmeddelanden med rapporter. Vi rekommenderar inte att du använder din egen e-postadress. Använd en dedikerad postlåda, en grupp eller en extern tjänst som är specialiserad på DMARC-rapporter. Den här taggen är valfri. |
ruf |
Stöds inte. Gmail har inte stöd för taggen ruf, som används för att skicka felrapporter. Felrapporter kallas även forensiska rapporter. |
sp | Konfigurerar policyn för meddelanden från underdomäner på din primära domän. Använd det här alternativet om du vill ha en annan DMARC-policy för dina underdomäner.
Om du inte använder det här alternativet i posten ärver underdomäner den DMARC-policy som angetts för den överordnade domänen. Den här taggen är valfri. |
adkim | Konfigurerar justeringspolicyn för DKIM, som definierar hur strikt meddelandeinformation måste matcha DKIM-signaturer. Läs mer om hur justering fungerar.
Den här taggen är valfri. |
aspf | Konfigurerar justeringspolicyn för SPF, som anger hur strikt meddelandeinformation måste matcha SPF-signaturer. Läs mer om hur justering fungerar.
Den här taggen är valfri. |
När du börjar använda DMARC rekommenderar vi en policy med tillämpningen inställd på none. När du får kännedom om hur meddelanden från din domän autentiseras av mottagande servrar uppdaterar du policyn. Över tid ändrar du mottagarpolicyn till quarantine och slutligen till reject. Om du vill se ett exempel på en DMARC-policy som har uppdaterats under en DMARC-lansering går du till Vägledning: Rekommenderad DMARC-lansering.
Tillämpningspolicy | Rekommenderad åtgärd | Mer information |
none | Ingen åtgärd vidtas på meddelanden som inte godkänns i DMARC-kontrollerna av den mottagande servern. Meddelanden levereras på normalt sätt till mottagaren. |
Vi rekommenderar att du använder det här alternativet när du konfigurerar DMARC för första gången. Med alternativet ingen levereras meddelanden från din domän på normalt sätt. Granska DMARC-rapporterna regelbundet för att ta reda på hur din e-post autentiseras och levereras medan din policy är inställd på ingen. DMARC-rapporter som skickas till dig av mottagande servrar har information om meddelanden som inte kan autentiseras av SPF eller DKIM. Kontrollera SPF- och DKIM-konfigurationen om många meddelanden från din domän hamnar i skräpposten. Läs mer om felsökning av DMARC. Ändra inte alternativet för policytillämpning till quarantine eller reject innan du vet vilka meddelanden som inte autentiseras av mottagande servrar. BIMI-anteckning: Om din domän använder BIMI måste din DMARC-tillämpningspolicy (p) vara inställd på quarantine (karantän) eller reject (avvisa). BIMI har inte stöd för DMARC-policyer när alternativ p är inställt på none (inget). |
quarantine | Meddelanden som inte autentiseras med DMARC av den mottagande servern skickas till mottagarens skräppostmapp. Om den mottagande e-postservern har en karantän konfigurerad, skickas meddelanden kanske till karantänen och inte direkt till mottagarens skräppostmapp. | Du fortsätter att få DMARC-rapporter med det här alternativet. |
reject | Meddelanden som inte autentiseras med DMARC av den mottagande servern avvisas och levereras aldrig till mottagaren. Den mottagande servern skickar vanligen ett avvisningsmeddelande till avsändaren. |
Vi rekommenderar att du avvisar som ett permanent alternativ för alla DMARC-policyer. Du fortsätter att få DMARC-rapporter med det här alternativet. Uppdatera policyn till det här alternativet när DMARC-rapporter visar att alla giltiga meddelanden autentiseras och levereras normalt. Om du avvisar oautentiserade meddelanden skyddas mottagarna från skräppost, identitetsförfalskning och nätfiske. |
Alternativ för DMARC-anpassning
DMARC godkänner eller avvisar ett meddelande baserat på hur nära meddelandets Från-huvud matchar den avsändande domän som anges av SPF eller DKIM. Detta kallas anpassning.
Du kan välja mellan två anpassningslägen: strikt och mindre strikt. Ställ in anpassningsläget för SPF och DKIM i DMARC-posten. Taggarna spfer och adkim för DMARC-poster anger anpassningsläget.
I följande fall rekommenderar vi att du överväger att ändra till strikt anpassning för ökat skydd mot identitetsförfalskning:
- E-post som skickas till din domän kommer från en underdomän utanför din kontroll
- Du har underdomäner som hanteras av en annan enhet
För att godkännas i DMARC måste ett meddelande godkännas i minst en av dessa kontroller:
- SPF-autentisering och SPF-anpassning
- DKIM-autentisering och DKIM-anpassning
Ett meddelande godkänns inte i DMARC-kontrollen om det underkänns i både:
- SPF (eller SPF-anpassning)
- DKIM (eller DKIM-anpassning)
Förstå kuvertavsändare och Från-adresser
E-postmeddelanden har två typer av adresser som anger avsändaren. Det är viktigt att förstå skillnaden mellan dessa adresser när du konfigurerar SPF, DKIM och DMARC.
Adressen för kuvertavsändaren och Från-adressen för ett meddelande kan vara olika eller samma.
Adress för kuvertavsändare – den e-postadress som anger var meddelandet kommer ifrån. Meddelanden som inte kan levereras, eller avvisas, skickas till denna adress. Adressen för kuvertavsändare kallas även Return-Path-adress eller avvisningsadress. Meddelandets mottagare ser inte kuvertavsändaradressen.
SPF använder vanligen meddelandets kuvertavsändaradress för autentisering.
Från-adress – e-postadressen i meddelanderubriken. Meddelanden består av två delar: meddelanderubrik och meddelandetext. Rubriken innehåller information om meddelandet, inklusive: avsändarens namn och e-postadress, meddelandets ämne och sändningsdatum. Från-rubriken innehåller e-postadressen och är vanligtvis namnet på personen som skickade meddelandet.
DKIM använder meddelandets Från-adress för autentisering.
Exempel på SPF-anpassning
Med SPF jämförs domänen som autentiseras av SPF (vanligtvis kuvertavsändaradressen) med domänen i meddelanderubriken Från-adress. Här är några exempel på anpassningar med SPF-kontrollresultat.
Adress för kuvertavsändare | Från-adress i rubrik | Strikt anpassning | Mindre strikt anpassning |
jon@solarmora.com |
jon@solarmora.com |
Godkänd | Godkänd |
jon@mail.solarmora.com |
jon@solarmora.com |
Underkänd | Godkänd |
jon@solarmora.org |
jon@solarmora.com |
Underkänd | Underkänd |
Exempel på DKIM-anpassning
Med DKIM jämförs värdet i fältet DKIM-signaturdomän (d=) i brevhuvudet med domänen i meddelandets Från-huvud.
Här är några exempel på anpassningar med DKIM-kontrollresultat:
Från-rubrik | DKIM d=domain | Strikt anpassning | Mindre strikt anpassning |
jon@solarmora.com |
solarmora.com |
Godkänd | Godkänd |
jon@mail.solarmora.com |
solarmora.com |
Underkänd | Godkänd |
jon@solarmora.org |
solarmora.com |
Underkänd | Underkänd |
Alternativ för DMARC-rapport
Du kan konfigurera DMARC för att få regelbundna rapporter från e-postservrar som får e-post från din domän.
DMARC-rapporter visar:
- vilka servrar eller avsändare från tredje part som skickar e-post för din domän
- hur stor andel av meddelandena från domänen som godkänns i DMARC
- vilka servrar eller tjänster som skickar meddelanden som inte fungerar i DMARC
- vilka DMARC-åtgärder den mottagande servern utför på oautentiserade meddelanden från din domän: none, quarantine eller reject.
Om du vill börja få DMARC-rapporter använder du rua DMARC-posttaggen i DMARC-posten.
Läs mer om DMARC-rapporter.