教程:DMARC 部署建议

防范仿冒邮件和钓鱼邮件,帮助避免邮件被标记为垃圾邮件

基于网域的邮件身份验证、报告和一致性协议 (DMARC) 适合逐步部署。您可以先使用 none 政策仅监控电子邮件流,然后逐步改为使用更严格的政策,拒绝所有未通过身份验证的邮件。

借助 none 政策,您可以开始接收 DMARC 报告,同时避免邮件被接收服务器拒绝或被发送到“垃圾邮件”文件夹。您也可以将 DMARC 政策设为仅应用于从您单位发出的一部分邮件。借助这两种政策,您可以逐步部署 DMARC,同时继续控制邮件流。

重要提示:在配置 DMARC 之前,请先配置域名密钥识别邮件 (DKIM) 和发件人政策框架 (SPF)。在启用 DMARC 前,DKIM 和 SPF 应提前至少 48 小时对邮件进行身份验证。关于设置 SPF 和 DKIM 的详细步骤,请参阅帮助防范仿冒邮件、网上诱骗邮件和垃圾邮件

1. 先设置宽松的 DMARC 政策

开始使用 DMARC 记录时,可以先将强制执行选项设为 none,同时配置电子邮件地址以接收每日 DMARC 报告。这样您就可以开始接收 DMARC 报告,同时避免来自您网域的邮件被接收服务器拒绝或被标记为垃圾邮件。建议使用此记录的时间至少达到一周。通常只需要一周时间,每日报告就能生成可反映您所有邮件流情况的数据。

请查看每日 DMARC 报告,以便确认来自您网域的邮件是否由已知的授权服务器发出,且通过了身份验证检查。

建议您先使用比较宽松的 DMARC 政策,或者仅将政策应用于您的一小部分邮件流量,例如:

  1. 登录您的域名托管服务商网站,更新您在域名提供商处的 DMARC DNS TXT 记录
  2. 输入适用于所有邮件但强制执行选项设为 none: 的政策

    v=DMARC1; p=none; rua=mailto:dmarc@solarmora.com

该政策适用于邮件服务器收到的所有邮件。不过,由于强制执行选项设为 none,因此即使邮件未通过 DMARC 身份验证,也会正常递送。凡是收到来自您网域的邮件的邮件服务器,都会向 dmarc@solarmora.com 发送每日报告。

2. 查看 DMARC 报告

您可以每天查看收到的报告,以了解:

  • 为您的网域发送邮件的服务器或第三方发件人有哪些
  • 来自您网域的邮件通过 DMARC 检查的比例
  • 哪些服务器或服务发送的邮件未通过 DMARC 检查

查看是否存在任何问题,例如:

  • 收件人收到了您发出的有效邮件,但却将它们放入“垃圾邮件”文件夹中。
  • 您收到收件人发来的系统退信或错误消息。

要解决发自您网域的邮件遭拒或被放入垃圾邮件文件夹的问题,请参阅排查 DMARC 相关问题

确保更新后的记录仍然包含您电子邮件或邮箱地址的 rua 标记,以便继续接收每日报告。我们建议您监控报告至少 7 天,然后再进入下一阶段。报告监控阶段的持续时间会因贵单位的规模和邮件流而异。

有关详情,请参阅阅读 DMARC 报告

3.隔离一小部分邮件

如果您监控 DMARC 报告至少一周且未发现不良结果,请将您的政策更新为 quarantine 并添加 pct 标记,以便将政策应用于一小部分邮件。例如:

  1. 登录您的域名托管服务商网站,更新您在域名提供商处的 DMARC DNS TXT 记录
  2. 添加应用于 5% 的邮件的政策,并将强制执行选项设为 quarantine。在这 5% 中的邮件中,凡是未通过 DMARC 检查的邮件,都会被发送至收件人的垃圾邮件文件夹:

    v=DMARC1; p=quarantine; pct=5; rua=mailto:dmarc@solarmora.com

此政策仅应用于邮件服务器收到的 5% 的邮件。未通过 DMARC 检查的邮件会被递送到收件人的垃圾邮件文件夹。只有少数邮件会受到影响,而且收件人可以查看发送到垃圾邮件文件夹的邮件。凡是收到来自您网域的邮件的邮件服务器,都会向 dmarc@solarmora.com 发送每日报告。

相较于大型单位,小型单位可能更了解其邮件流,而且可以将政策应用于更大一部分邮件。大型单位通常拥有多个邮件流,其中可能涉及旧服务器和第三方发件人。

我们建议大型单位逐步提高政策所涵盖邮件的比例,从而降低大量邮件被拒或被标记为垃圾邮件的风险。小型单位可以先从隔离 10% 的邮件做起,而大型单位可以先从 1% 开始。

4:拒绝所有未通过身份验证的邮件

这是部署 DMARC 的最后一步。如果您确定从您网域发出的大部分或所有邮件都通过匹配和身份验证(SPF 和 DKIM),则可以强制执行更严格的 DMARC 政策。

如果 DMARC 的工作符合预期,则可以将 DMARC 记录政策更新为 reject,并应用于所有由贵单位发出的邮件。例如:

  1. 登录您的域名托管服务商网站,更新您在域名提供商处的 DMARC DNS TXT 记录
  2. 更新该记录,使之更为严格。例如:

    v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com,dmarc@solarmora.com

此政策适用于邮件服务器收到的所有邮件。如果记录不包含 pct 标记,则政策将应用于从您的网域发出的所有邮件。所有未通过 DMARC 身份验证的邮件都会被拒。每当有邮件被拒,发件人都会收到系统退信。凡是收到来自您网域的邮件的服务器,都会向以下两个电子邮件地址发送每日报告:postmaster@solarmora.com 和 dmarc@solarmora.com。

该内容对您有帮助吗?

您有什么改进建议?
搜索
清除搜索内容
关闭搜索框
Google 应用
主菜单