「網域型郵件驗證、報告與一致性 (DMARC)」政策是由一行文字值所定義,稱為 DMARC 「記錄」。該記錄定義了以下內容:
- DMARC 執行郵件檢查的嚴格程度
- 當收件伺服器收到未通過驗證檢查的郵件時,建議採取何種行動
DMARC 政策選項
您的 DMARC 政策會提供建議給收件伺服器,說明如何處理由您網域寄出但未通過 DMARC 驗證的郵件。
以下是 DMARC 政策記錄的範例。開頭必須是 v 和 p 標記,其他標記則不限次序:
v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s
DMARC 記錄標記的定義和值
標記 | 說明和值 |
v |
DMARC 版本。必須為 DMARC1。 這是必要標記。 |
p | 指示收件伺服器如何處理未通過驗證的郵件。
這是必要標記。 BIMI 注意事項:如果所屬網域採用 BIMI,DMARC 的 p 選項必須設為 quarantine 或 reject。如果將 p 選項設為 none,BIMI 就不支援 DMARC 政策。 |
pct |
指定須依 DMARC 政策處理的未經驗證郵件比例。您在逐步部署 DMARC 時,可能會先從少量郵件開始。如果有越來越多通過收件伺服器驗證的郵件從您的網域寄出,這時就可以逐步調高記錄中的比例,直到達到百分之百。 這個值必須是介於 1 至 100 之間的整數。如果不在記錄中使用這個標記,DMARC 政策就會適用於來自您網域的所有郵件。 這個標記為選用項目。 BIMI 注意事項:如果所屬網域採用 BIMI,DMARC 政策的 pct 值必須設為 100,BIMI 不支援 pct 值低於 100 的 DMARC 政策。 |
rua |
會收到您網域 DMARC 活動報表的電子郵件地址。 這個電子郵件地址必須包含 mailto:, 如要將 DMARC 報表傳送到多個電子郵件地址,請以半形逗號分隔每個電子郵件地址,並在每個地址前加上 mailto: 前置字元。例如: 使用這個標記可能導致系統傳送大量報表電子郵件。我們不建議您使用自己的電子郵件地址,請考慮指定專門處理 DMARC 報表的信箱、群組或第三方服務。 這個標記為選用項目。 |
ruf |
不支援。 Gmail 不支援用於傳送失敗報表的 ruf 標記。失敗報表又名鑑識報表。 |
sp | 為來自主網域底下子網域的郵件設定政策。如果您想為子網域設定不同的 DMARC 政策,請使用這個標記。
如果不在記錄中使用這個標記,子網域就會沿用為上層網域設定的 DMARC 政策。 這個標記為選用項目。 |
adkim | 設定 DKIM 校驗政策,定義郵件資訊與 DKIM 簽名的相符程度。瞭解校驗方式。
這個標記為選用項目。 |
aspf | 設定 SPF 校驗政策,定義郵件資訊與 SPF 簽名的相符程度。瞭解校驗方式。
這個標記為選用項目。 |
如果您剛開始使用 DMARC,我們建議將強制執行政策設為 none,等您瞭解收件伺服器如何驗證來自您網域的郵件後,再更新政策,您可以逐步將接收方政策變更為 quarantine,最後再改成 reject。如要查看 DMARC 實施時的 DMARC 政策更新範例,請參閱「教學課程:建議的 DMARC 實施方式」。
強制執行政策 | 建議採取的行動 | 更多資訊 |
none | 即使郵件未通過收件伺服器的 DMARC 檢查,也不採取任何行動。這些郵件都會照常傳送給收件者。 |
我們建議在首次設定 DMARC 時使用這個選項。none 選項可確保您網域寄出的郵件都能照常傳送。在政策設為 none 的狀態下,建議您定期檢閱 DMARC 報表,以便瞭解郵件的驗證與傳送情況。 收件伺服器傳送給您的 DMARC 報表會針對未通過 SPF 或 DKIM 驗證的郵件提供詳細資料。如果發現有大量來自您網域的郵件被歸類為垃圾郵件,請檢查 SPF 和 DKIM 設定。進一步瞭解如何排解 DMARC 相關問題。 如果您不瞭解有哪些郵件未通過收件伺服器驗證,請勿將政策強制執行選項改成 quarantine 或 reject。 BIMI 注意事項:如果所屬網域採用 BIMI,DMARC 強制執行政策 (p) 就須設為 quarantine 或 reject。BIMI 不支援 p 選項設為 none 的 DMARC 政策。 |
quarantine | 如果郵件未通過收件伺服器的 DMARC 驗證,系統就會將其傳送到收件者的垃圾郵件資料夾。如果收件伺服器已設定隔離區,系統可能會將郵件傳送到隔離區,而非直接傳送到收件者的垃圾郵件資料夾。 | 使用這個選項時,您會繼續收到 DMARC 報表。 |
reject | 如果郵件未通過收件伺服器的 DMARC 驗證,就會遭到拒絕,不會傳送給收件者。收件伺服器通常會傳送退件通知給寄件者。 |
我們建議最後再將所有 DMARC 政策都設為「reject」,而且不再更改。 使用這個選項時,您會繼續收到 DMARC 報表。 如果 DMARC 報表顯示有效郵件均通過驗證並照常傳送,請將政策更新為這個選項。拒絕未經驗證的郵件有助於避免收件者收到垃圾郵件、假冒郵件和網路詐騙郵件。 |
DMARC 校驗選項
DMARC 會根據郵件的「寄件者:」標頭與 SPF 或 DKIM 所指定寄件網域的相似程度,決定是否讓郵件通過檢查。這就是所謂的「校驗」程序。
您可以選擇下列其中一種校驗模式:嚴格模式或寬鬆模式。SPF 和 DKIM 的校驗模式需要在 DMARC 記錄中設定。aspf 和 adkim 這兩個 DMARC 記錄標記設定的就是校驗模式。
在下列情況中,我們會建議您改用嚴格校驗模式,藉此提高對於假冒攻擊的防禦力:
- 由不受您控制的子網域為您的網域寄出郵件
- 您有受到其他實體管理的子網域
DMARC 檢查的最低通過門檻是至少通過下列其中一項檢查:
- SPF 驗證和 SPF 校驗
- DKIM 驗證和 DKIM 校驗
郵件如果未能通過下列任一校驗,也將不能通過 DMARC 檢查:
- SPF (或 SPF 校驗)
- DKIM (或 DKIM 校驗)
驗證方式 | 嚴格校驗 | 寬鬆校驗 |
SPF | 將經 SPF 驗證的網域和標頭「寄件者:」地址中的網域進行完全比對。 | 標頭「寄件者:」地址中的網域必須與經 SPF 驗證的網域完全相符,或為後者的子網域。 |
DKIM | 將相關 DKIM 網域與標頭「寄件者:」地址中的網域進行完全比對。 | 標頭「寄件者:」地址中的網域必須與 DKIM 簽名的 d= 標記中指定的網域完全相符,或為後者的子網域。 |
認識郵件寄件者地址和「寄件者:」地址
電子郵件有兩種代表寄件者的地址。如要設定 SPF、DKIM 和 DMARC,請務必先瞭解這些地址的差別。
郵件寄件者地址和郵件的「寄件者:」地址可能一致,也可能不同。
郵件寄件者地址:代表郵件來源的電子郵件地址。如果郵件無法送達,這個地址就會收到相關通知 (即「退信」通知)。郵件寄件者地址又稱為回覆路徑地址或退信地址。郵件收件者不會看到這個地址。
SPF 通常會根據郵件寄件者地址進行驗證。
「寄件者:」地址:郵件標頭中的電子郵件地址。郵件包含標頭和內文兩個部分。標頭含有郵件相關資訊,包括:寄件者的名稱和電子郵件地址、郵件主旨和傳送日期。「寄件者:」標頭含有電子郵件地址,通常也會包含寄件者的名稱。
DKIM 會根據郵件的「寄件者:」地址進行驗證。
SPF 校驗範例
使用 SPF 時,校驗程序會將經 SPF 驗證的網域 (通常是郵件寄件者地址) 與標頭「寄件者:」地址中的網域進行比對。以下是一些校驗範例與相關的 SPF 檢查結果。
郵件寄件者地址 | 標頭「寄件者:」地址 | 嚴格校驗 | 寬鬆校驗 |
jon@solarmora.com |
jon@solarmora.com |
通過 | 通過 |
jon@mail.solarmora.com |
jon@solarmora.com |
不通過 | 通過 |
jon@solarmora.org |
jon@solarmora.com |
不通過 | 不通過 |
DKIM 校驗範例
使用 DKIM 時,校驗程序會將郵件標頭 DKIM 簽名網域欄位 (d=) 中的值與郵件「寄件者:」標頭中的網域進行比對。
以下是一些校驗範例與相關的 DKIM 檢查結果:
「寄件者:」標頭 | DKIM d=domain | 嚴格校驗 | 寬鬆校驗 |
jon@solarmora.com |
solarmora.com |
通過 | 通過 |
jon@mail.solarmora.com |
solarmora.com |
不通過 | 通過 |
jon@solarmora.org |
solarmora.com |
不通過 | 不通過 |
DMARC 報表選項
您可以設定 DMARC,讓收到您網域郵件的電子郵件伺服器定期傳送報表給您。
DMARC 報表含有下列資訊:
- 哪些伺服器或第三方寄件者會以您網域的名義傳送郵件
- 您網域寄出的郵件通過 DMARC 檢查的百分比
- 哪些傳送郵件的伺服器或服務未通過 DMARC 檢查
- 收件伺服器如何依 DMARC 政策處理來自您網域的未經驗證郵件:none、quarantine 或 reject。
如要開始接收 DMARC 報表,請在您的 DMARC 記錄中使用 rua DMARC 記錄標記。
進一步瞭解 DMARC 報表。