建議您採用漸進式的方式推出「網域型郵件驗證、報告與一致性 (DMARC)」。您可以先設定「none」政策,從僅監控電子郵件收發情形開始,最後再採用拒絕所有未驗證郵件的政策。
「none」政策可讓您開始接收報告,而且不必擔心郵件遭收件伺服器拒絕或歸類為垃圾郵件。您也可以設定 DMARC 政策,讓系統僅為您網域傳送的特定比例郵件套用政策。這兩項功能可讓您逐步部署 DMARC,同時掌握郵件收發情形。
重要事項:設定 DMARC 前,請先設定 DomainKeys Identified Mail (DKIM) 和寄件者政策架構 (SPF)。請等 DKIM 和 SPF 開始驗證郵件至少 48 小時之後,再啟用 DMARC。如需設定 SPF 和 DKIM 的詳細步驟,請參閱協助防範假冒郵件、網路詐騙郵件和垃圾郵件
1. 先實施寬鬆的 DMARC 政策
將 DMARC 記錄的強制執行政策設為「none」,並將電子郵件地址設為接收 DMARC 每日報告。這麼做可以讓您開始接收報告,且不必擔心由您網域寄出的郵件會遭收件伺服器拒絕或歸類為垃圾郵件。建議您至少採用這個記錄一週的時間。通常經過一週後,每日報告中所含的資料量就足以代表您所有郵件串的資料。
請檢閱 DMARC 每日報告,確認由您網域寄出的郵件是否透過已知的授權伺服器傳送,以及是否通過驗證檢查。
建議您先從設定較寬鬆的 DMARC 政策開始,或是僅將政策套用於少部分的郵件流量。舉例來說,您可以:
- 登入您的網域代管商網站,更新 DMARC DNS TXT 記錄。
- 輸入套用至所有郵件的政策,但將強制執行設定設為「none:」:
v=DMARC1; p=none; rua=mailto:dmarc@solarmora.com
2. 檢閱 DMARC 報告
每天檢閱收到的報告,瞭解下列資訊:
- 哪些伺服器或第三方寄件者會以您網域的名義傳送郵件
- 您網域寄出的郵件通過 DMARC 檢查的百分比
- 哪些伺服器或服務傳送的郵件未通過 DMARC 檢查
找出問題的趨勢,舉例來說:
- 收件者是否收到您寄出的正常郵件,但卻遭系統放入垃圾郵件資料夾。
- 您是否收到來自收件者的退回郵件或錯誤訊息。
如要修正您網域寄出的郵件遭拒或被誤歸類為垃圾郵件的問題,請參閱排解 DMARC 相關問題。
請確認更新後的記錄是否仍含有包含您電子郵件或信箱地址的「rua」標記,藉此持續接收每日報告。建議您執行這個階段至少 7 天,再進入下一個階段。這個階段所需要的時間會因貴機構的規模和郵件收發情形而異。
進一步瞭解如何解讀 DMARC 報告。
3. 隔離少部分郵件
如果監控 DMARC 報告已至少一週,而且並未發現不良結果,請將政策更新為「quarantine 」並新增「pct」標記,藉此僅針對少部分郵件套用政策。舉例來說,您可以採取下列行動:
- 登入您的網域代管商網站,更新 DMARC DNS TXT 記錄。
- 新增會套用至 5% 郵件的政策,並將強制執行政策設為「quarantine」。如果這 5% 的郵件通過 DMARC,就會傳送到收件者的垃圾郵件資料夾:
v=DMARC1; p=quarantine; pct=5; rua=mailto:dmarc@solarmora.com
小型機構可能更瞭解自身的郵件收發情形,因此可以為比大型機構比例更高的郵件套用政策。大型機構通常會有多重郵件收發管道,其中可能包含舊的伺服器和第三方寄件者。
我們建議大型機構逐步提高受影響的郵件佔比,降低大量郵件遭拒或標示為垃圾郵件的風險。小型機構可以考慮從 10% 的比例開始隔離,而規模龐大的機構則可以從 1% 開始。4 拒絕所有未經驗證的郵件
這是部署 DMARC 的最後一個步驟。如果您確定大部分或所有從您網域寄出的郵件皆符合標準,且可通過 SPF 和 DKIM 驗證,就可以強制執行較嚴格的 DMARC 政策。
如果 DMARC 的運作符合預期,請將 DMARC 記錄政策更新為「reject」,藉此為所有由貴機構寄出的郵件套用這項政策。舉例來說,您可以採取下列行動:
- 登入您的網域代管商網站,更新 DMARC DNS TXT 記錄。
- 為記錄套用更嚴格的設定。範例如下:
v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com,dmarc@solarmora.com