定義 DMARC 記錄

您的 DMARC 政策是由名為「DMARC 記錄」的一行文字值所定義。該記錄定義了以下內容:

  • DMARC 執行郵件檢查的嚴格程度
  • 當收件伺服器收到未通過驗證檢查的郵件時,建議採取何種行動

DMARC 政策選項

您的 DMARC 政策會提供建議給收件伺服器,說明如何處理由您網域寄出但未通過 DMARC 驗證的郵件。

以下是 DMARC 政策記錄的範例。開頭必須是 vp 標記,其他標記則不限次序:

v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s

如要查看這些標記的定義和允許的值,請前往 DMARC 記錄標記

如果您剛開始使用 DMARC,我們建議將強制執行政策設為 none,等您瞭解收件伺服器如何驗證來自您網域的郵件後,再更新政策,您可以逐步將接收方政策變更為 quarantine,最後再改成 reject。如要查看 DMARC 實施時的 DMARC 政策更新範例,請參閱教學課程:建議的 DMARC 實施方式

強制執行政策 建議採取的行動 更多資訊
none 即使郵件未通過收件伺服器的 DMARC 檢查,也不採取任何行動。這些郵件都會照常傳送給收件者。

我們建議在首次設定 DMARC 時使用這個選項。none 選項可確保您網域寄出的郵件都能照常傳送。在政策設為 none 的狀態下,請定期檢閱 DMARC 報表,以便瞭解郵件的驗證與傳送情況。

收件伺服器傳送給您的 DMARC 報表會針對未通過 SPF 或 DKIM 驗證的郵件提供詳細資料。如果發現有大量來自您網域的郵件被歸類為垃圾郵件,請檢查 SPF 和 DKIM 設定。進一步瞭解如何排解 DMARC 相關問題

如果您不瞭解有哪些郵件未通過收件伺服器驗證,請勿將政策強制執行選項改成 quarantinereject

BIMI 的注意事項:如果所屬網域採用 BIMI,您必須將 p 選項設為 quarantinereject。如果將 p 選項設為 none,BIMI 就不支援 DMARC 政策。

quarantine 如果郵件未通過收件伺服器的 DMARC 驗證,系統就會將其傳送到收件者的垃圾郵件資料夾。如果收件伺服器已設定隔離區,系統可能會將郵件傳送到隔離區,而非直接傳送到收件者的垃圾郵件資料夾。 使用這個選項時,您會繼續收到 DMARC 報表。
reject 如果郵件未通過收件伺服器的 DMARC 驗證,就會遭到拒絕,不會傳送給收件者。收件伺服器通常會傳送退件通知給寄件者。

我們建議最後再將所有 DMARC 政策都設為「reject」,而且不再更改。

使用這個選項時,您會繼續收到 DMARC 報表。

如果 DMARC 報表顯示有效郵件均通過驗證並照常傳送,請將政策更新為這個選項。拒絕未經驗證的郵件有助於避免收件者收到垃圾郵件、假冒郵件和網路詐騙郵件。

DMARC 校驗選項

DMARC 會根據郵件的「寄件者:」標頭與 SPF 或 DKIM 所指定寄件網域的相似程度,決定是否讓郵件通過檢查。這就是所謂的「校驗」程序。

您可以選擇下列其中一種校驗模式:嚴格模式或寬鬆模式。SPF 和 DKIM 的校驗模式需要在 DMARC 記錄中設定。aspfadkim 這兩個 DMARC 記錄標記可設定校驗模式。

在下列情況中,我們會建議您改用嚴格校驗模式,藉此提高對於假冒攻擊的防禦力:

  • 由不受您控制的子網域為您的網域寄出郵件
  • 您有受到其他實體管理的子網域

DMARC 檢查的最低通過門檻是至少通過下列其中一項檢查:

  • SPF 驗證和 SPF 校驗
  • DKIM 驗證和 DKIM 校驗

郵件如果未能通過下列任一校驗,也將不能通過 DMARC 檢查:

  • SPF (或 SPF 校驗)
  • DKIM (或 DKIM 校驗)
重要須知:寬鬆校驗通常足以抵禦假冒攻擊。如果採用嚴格校驗,來自關聯子網域的郵件可能會遭拒或歸類為垃圾郵件。
驗證方式 嚴格校驗 寬鬆校驗
SPF 將經 SPF 驗證的網域和標頭「寄件者:」地址中的網域進行完全比對。 標頭「寄件者:」地址中的網域必須與經 SPF 驗證的網域完全相符,或為後者的子網域。
DKIM 將相關 DKIM 網域與標頭「寄件者:」地址中的網域進行完全比對。 標頭「寄件者:」地址中的網域必須與 DKIM 簽名的 d= 標記中指定的網域完全相符,或為後者的子網域。

認識郵件寄件者地址和「寄件者:」地址

電子郵件有兩種代表寄件者的地址。如要設定 SPF、DKIM 和 DMARC,請務必先瞭解這些地址的差別。

郵件寄件者地址和郵件的「寄件者:」地址可能一致,也可能不同。

郵件寄件者地址:代表郵件來源的電子郵件地址。如果郵件無法送達,這個地址就會收到相關通知 (即「退信」通知)。郵件寄件者地址又稱為回覆路徑地址或退信地址。郵件收件者不會看到這個地址。

SPF 通常會根據郵件寄件者地址進行驗證。

「寄件者:」地址:郵件標頭中的電子郵件地址。郵件包含標頭和內文兩個部分。標頭含有郵件相關資訊,包括:寄件者的名稱和電子郵件地址、郵件主旨和傳送日期。「寄件者:」標頭含有電子郵件地址,通常也會包含寄件者的名稱。

DKIM 會根據郵件的「寄件者:」地址進行驗證。

SPF 校驗範例

使用 SPF 時,校驗程序會將經 SPF 驗證的網域 (通常是郵件寄件者地址) 與標頭「寄件者:」地址進行比對。以下是一些校驗範例與相關的 SPF 檢查結果。

郵件寄件者地址 標頭「寄件者:」地址 嚴格校驗 寬鬆校驗
jon@solarmora.com jon@solarmora.com 通過 通過
jon@mail.solarmora.com jon@solarmora.com 不通過 通過
jon@solarmora.org jon@solarmora.com 不通過 不通過

DKIM 校驗範例

使用 DKIM 時,校驗程序會比對郵件標頭 DKIM 簽名網域欄位 (d=) 中的值與郵件「寄件者:」標頭中的網域。

以下是一些校驗範例與相關的 DKIM 檢查結果:

「寄件者:」標頭 DKIM d=domain 嚴格校驗 寬鬆校驗
jon@solarmora.com solarmora.com 通過 通過
jon@mail.solarmora.com solarmora.com 不通過 通過
jon@solarmora.org solarmora.com 不通過 不通過

DMARC 報表選項

您可以設定 DMARC,讓收到您網域郵件的電子郵件伺服器定期傳送報表給您。

DMARC 報表含有下列資訊:

  • 哪些伺服器或第三方寄件者會以您網域的名義傳送郵件
  • 您網域寄出的郵件通過 DMARC 檢查的百分比
  • 哪些傳送郵件的伺服器或服務未通過 DMARC 檢查
  • 收件伺服器如何依 DMARC 政策處理來自您網域的未經驗證郵件:nonequarantinereject

如要開始接收 DMARC 報表,請在您的 DMARC 記錄中使用 rua DMARC 記錄標記

進一步瞭解 DMARC 報表

這對您有幫助嗎?
我們應如何改進呢?

還有其他問題嗎?

登入即可獲得其他支援選項,快速解決您的問題

搜尋
清除搜尋內容
關閉搜尋
Google 應用程式
主選單
搜尋說明中心
true
73010
false