เราได้ออกแบบ Domain-based Message Authentication, Reporting and Conformance (DMARC) มาเพื่อการทยอยเปิดตัว โดยเริ่มต้นด้วยการเปิดตัวนโยบาย none ที่จะดำเนินการเพียงตรวจสอบการรับส่งอีเมลก่อน จากนั้นจึงค่อยๆ เปลี่ยนไปใช้นโยบายที่ปฏิเสธอีเมลที่ไม่ผ่านการตรวจสอบสิทธิ์ทั้งหมด
นโยบาย none จะช่วยให้คุณเริ่มต้นรับรายงานโดยไม่ต้องเสี่ยงว่าเซิร์ฟเวอร์ในฝั่งผู้รับจะปฏิเสธอีเมลของคุณหรือส่งอีเมลไปไว้ในโฟลเดอร์สแปม และคุณยังกำหนดสัดส่วนอีเมลที่ส่งจากองค์กรของคุณที่ต้องการให้ระบบใช้นโยบาย DMARC ได้อีกด้วย ซึ่งฟีเจอร์ทั้งสองจะช่วยทำให้ DMARC ทยอยใช้งานได้โดยที่ยังควบคุมการรับส่งอีเมลของคุณได้
ข้อสำคัญ: โปรดกำหนดค่า DomainKeys Identified Mail (DKIM) และ Sender Policy Framework (SPF) ก่อนที่จะกำหนดค่า DMARC โดยควรให้ DKIM และ SPF เริ่มตรวจสอบสิทธิ์อีเมลเป็นเวลาอย่างน้อย 48 ชั่วโมง ก่อนที่จะเปิดใช้ DMARC โปรดดูขั้นตอนการตั้งค่า SPF และ DKIM อย่างละเอียดที่หัวข้อช่วยป้องกันการปลอมแปลง ฟิชชิง และสแปม
1. เริ่มต้นจากการใช้งานนโยบาย DMARC ที่ไม่เข้มงวด
เริ่มต้นจากการใช้ระเบียน DMARC ที่ตั้งค่าการบังคับใช้ไว้เป็น none และกำหนดค่าอีเมลไว้สำหรับรับรายงานประจำวันของ DMARC วิธีนี้จะช่วยให้คุณเริ่มต้นรับรายงานได้โดยไม่ต้องเสี่ยงว่าเซิร์ฟเวอร์ในฝั่งผู้รับจะปฏิเสธหรือทำเครื่องหมายอีเมลที่ส่งจากโดเมนของคุณว่าเป็นสแปม เราขอแนะนำให้ใช้ระเบียนนี้เป็นเวลาอย่างน้อย 1 สัปดาห์ ซึ่งนานพอที่จะให้รายงานประจำวันรวบรวมข้อมูลที่แสดงถึงการรับส่งอีเมลทั้งหมดของคุณ
ตรวจสอบรายงานประจำวันของ DMARC เพื่อยืนยันว่าอีเมลจากโดเมนของคุณนั้นส่งโดยเซิร์ฟเวอร์อีเมลที่รู้จักซึ่งได้รับอนุญาต และยืนยันว่าอีเมลผ่านการตรวจสอบสิทธิ์
เราขอแนะนำให้คุณเริ่มต้นจากการใช้งานนโยบาย DMARC ที่ไม่เข้มงวดจนเกินไปหรือที่มีผลกับการรับส่งอีเมลในสัดส่วนที่ไม่มากก่อน ตัวอย่างเช่น
- ลงชื่อเข้าใช้โฮสต์ของโดเมนเพื่ออัปเดตระเบียน TXT สำหรับ DNS ใน DMARC ในระบบของผู้ให้บริการโดเมน
- ป้อนนโยบายที่มีผลกับอีเมล 100% แต่ตั้งค่าการบังคับใช้เป็น none:
v=DMARC1; p=none; rua=mailto:dmarc@solarmora.com
2. ตรวจสอบรายงาน DMARC
ตรวจสอบรายงานที่ได้รับทุกวันเพื่อดูข้อมูลดังต่อไปนี้
- เซิร์ฟเวอร์หรือผู้ส่งบุคคลที่สามที่ส่งอีเมลในนามโดเมนของคุณ
- เปอร์เซ็นต์ของอีเมลจากโดเมนของคุณที่ผ่านการตรวจสอบ DMARC
- เซิร์ฟเวอร์หรือบริการที่ส่งอีเมลที่ไม่ผ่านการตรวจสอบ DMARC
มองหาแนวโน้มของปัญหา เช่น
- ผู้รับได้รับอีเมลที่ถูกต้องจากคุณ แต่อีเมลอยู่ในโฟลเดอร์สแปม
- คุณได้รับข้อความตีกลับหรือข้อความแสดงข้อผิดพลาดจากผู้รับ
ดูวิธีแก้ปัญหาที่อีเมลจากโดเมนของคุณถูกปฏิเสธหรือส่งไปยังโฟลเดอร์สแปมที่หัวข้อแก้ปัญหาเกี่ยวกับ DMARC
รับรายงานประจำวันอย่างต่อเนื่องโดยการยืนยันว่าระเบียนที่อัปเดตยังคงมีแท็ก rua พร้อมอีเมลหรือกล่องจดหมายของคุณ เราขอแนะนำให้คุณดำเนินการในขั้นนี้เป็นเวลาอย่างน้อย 7 วันก่อนจะไปยังขั้นถัดไป ทั้งนี้ระยะเวลาที่ใช้ในขั้นนี้จะแตกต่างกันไปตามขนาดและปริมาณการรับส่งอีเมลขององค์กร
โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับการอ่านรายงาน DMARC
3. กักบริเวณอีเมลในปริมาณไม่มาก
หลังจากที่ตรวจสอบรายงาน DMARC โดยไม่พบปัญหาใดเป็นเวลาอย่างน้อย 1 สัปดาห์ ให้อัปเดตนโยบายเป็น quarantine และเพิ่มแท็ก pct เพื่อใช้นโยบายกับอีเมลของคุณเพียงบางส่วน เช่น
- ลงชื่อเข้าใช้โฮสต์ของโดเมนเพื่ออัปเดตระเบียน TXT สำหรับ DNS ใน DMARC ในระบบของผู้ให้บริการโดเมน
- เพิ่มนโยบายที่ใช้กับ 5% ของอีเมลและตั้งค่าการบังคับใช้เป็น quarantine โดยระบบจะส่งอีเมลในจำนวน 5% ที่ไม่ผ่านการตรวจสอบ DMARC ไปยังโฟลเดอร์สแปมของผู้รับ ดังนี้
v=DMARC1; p=quarantine; pct=5; rua=mailto:dmarc@solarmora.com
องค์กรขนาดเล็กอาจเข้าใจกระบวนการรับส่งอีเมลทั้งหมดและจึงสามารถใช้นโยบายกับอีเมลในสัดส่วนที่มากกว่าองค์กรขนาดใหญ่ได้ ในขณะที่องค์กรขนาดใหญ่มักมีการรับส่งอีเมลหลายเส้นทางซึ่งอาจประกอบไปด้วยผู้ส่งในเซิร์ฟเวอร์เดิมและบุคคลที่สาม
เราขอแนะนำให้องค์กรขนาดใหญ่ทยอยเพิ่มเปอร์เซ็นต์ของอีเมลที่นโยบายจะมีผลบังคับใช้เพื่อลดความเสี่ยงที่อีเมลจำนวนมากอาจถูกปฏิเสธหรือทำเครื่องหมายว่าเป็นสแปม องค์กรขนาดเล็กอาจเริ่มด้วยการกักบริเวณอีเมลเป็นจำนวน 10% ส่วนองค์กรขนาดใหญ่อาจเริ่มที่ 1%4. ปฏิเสธทุกอีเมลที่ไม่ผ่านการตรวจสอบสิทธิ์
ขั้นตอนนี้เป็นขั้นตอนสุดท้ายในการทำให้ DMARC ใช้งานได้ เมื่อแน่ใจแล้วว่าอีเมลส่วนใหญ่หรืออีเมลทั้งหมดที่ส่งจากโดเมนของคุณมีความสอดคล้องกับนโยบายและจะผ่านการตรวจสอบสิทธิ์ (SPF และ DKIM) แล้ว ให้บังคับใช้นโยบาย DMARC ที่เข้มงวดขึ้น
หาก DMARC ทำงานตามที่คาดไว้ ให้อัปเดตนโยบายเพื่อตั้งนโยบายระเบียน DMARC เป็น reject สำหรับอีเมลที่ส่งจากองค์กรของคุณทั้งหมด 100% ตัวอย่างเช่น
- ลงชื่อเข้าใช้โฮสต์ของโดเมนเพื่ออัปเดตระเบียน TXT สำหรับ DNS ใน DMARC ในระบบของผู้ให้บริการโดเมน
- อัปเดตระเบียนให้เข้มงวดมากขึ้น เช่น
v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com,dmarc@solarmora.com