為您的網域設定網域型郵件驗證、報告與一致性 (DMARC) 前,請先詳閱本文中的資訊。
我們很樂意提供協助
DMARC 已推出數年時間,是一套能有效協助網域抵禦假冒攻擊的機制,因此建議您一律為貴機構啟用 DMARC。
我們已盡可能簡化 DMARC 的設定程序,但某些步驟在技術上仍較為複雜。請詳閱本文內容,我們會逐步引導您完成每個步驟。提醒您,測試設定並持續查看 DMARC 報表有助於順利實作 DMARC。
準備設定 DMARC (適用於所有人)
設定網域的 SPF 和 DKIM 驗證機制
設定網域 DMARC 前,您必須先開啟網域的寄件者政策架構 (SPF) 和網域金鑰認證郵件 (DKIM)。您網域寄出的郵件必須通過收件伺服器的 SPF 和 DKIM 驗證,才能使用 DMARC 政策。
各網域的 SPF、DKIM 和 DMARC 套用設定都是獨立的,因此,如果您同時管理多個網域,就必須分別啟用每個網域的 SPF、DKIM 和 DMARC。
重要事項:
- 如果您不先設定 SPF 和 DKIM 就啟用 DMARC,您網域寄出的郵件可能會發生傳送問題。
- 設定 SPF 和 DKIM 後,請等候 48 小時再設定 DMARC。
如需設定 SPF 和 DKIM 的詳細步驟,請參閱協助防範假冒郵件、網路詐騙郵件和垃圾郵件。
設定接收報表的群組或信箱
您會從電子郵件收到多少 DMARC 報表並不一定,具體要看有多少郵件從您的網域寄出。您每天可能會收到很多份報表,大型機構一天可能收到幾百甚至上千份報表。
因此,建議您建立專門接收 DMARC 報表的群組或信箱。
取得您的網域代管商登入資訊
您只能在網域代管供應商的網站 (而非 Google 管理控制台) 啟用 DMARC,因此,您必須取得網域代管商帳戶的登入資訊。
檢查現有的 DMARC 記錄 (選用)
為網域設定 DMARC 前,您可以查看網域是否已有 DMARC DNS TXT 記錄。郵件服務供應商和網域供應商不一定會預設開啟 DMARC。
如果網域已有 DMARC 記錄,建議您檢閱 DMARC 報表,確認貴機構寄出的郵件通過收件伺服器的驗證檢查,並確實傳送給收件者。瞭解如何使用 DMARC 報表。
重要事項:請在網域供應商設定的 DNS TXT 記錄中為網域啟用 DMARC。您無法在管理控制台中查看或啟用 DMARC 記錄。
檢查現有 DMARC 記錄的方式有兩種,一種是透過 Google Admin Toolbox,另一種則是前往網域供應商的網站查看 DNS TXT 記錄。
如何使用 Google Admin Toolbox 檢查 DMARC 的 TXT 記錄:
- 前往 Google Admin Toolbox。
- 前往「檢查 DNS 問題」部分
點選 [Check MX]。
- 在 [網域名稱] 欄位中輸入您的網域名稱,然後按一下 [執行檢查!]。
- 檢查結果會指出您的網域是否已有 DMARC 記錄:
- 尚未設定 DMARC - 您的網域還沒有 DMARC 記錄。
- DMARC 格式設定政策 - 您的網域已有 DMARC 記錄。
如何前往網域供應商網站查看 DMARC 的 TXT 記錄:
- 登入網域供應商提供的管理控制台。
- 找出用於更新網域 DNS TXT 記錄的網頁或資訊主頁。
- 查看網域的 DNS TXT 記錄。如果網域已經有 DMARC 記錄,您就會看到一筆以 v=DMARC 開頭的 TXT 記錄項目。
準備設定 DMARC (進階做法)
針對使用者數量龐大、採用內部部署郵件系統或具有進階業務需求的機構進行 DMARC 設定準備。
確認第三方郵件已通過驗證
為了讓 DMARC 有效管理可疑電子郵件,所有郵件皆應從您的網域傳送。不過,您或許會使用第三方服務來傳送貴機構的郵件,例如使用某項服務來管理行銷電子郵件。
如果您透過第三方電子郵件服務供應商傳送自家網域的郵件,即使郵件沒有問題,也未必能通過 SPF 或 DKIM 檢查。一旦郵件未通過檢查,系統就會根據您在 DMARC 政策中定義的動作進行處置,例如將郵件歸類為垃圾郵件或拒絕郵件。
如要確保第三方供應商傳送的郵件都通過驗證,請完成以下動作:
- 與您的第三方供應商聯絡,確認已正確設定 DKIM。
- 確保供應商的郵件寄件者網域與您的網域相同,方法是將供應商寄件伺服器的 IP 位址新增到您網域的 SPF 記錄中。
您可以使用 SMTP 轉發服務設定,透過 Google 轉送供應商的外寄郵件。
