DMARC

เปิด DMARC

จัดการอีเมลที่น่าสงสัยด้วย DMARC

เปิด Domain-based Message Authentication, Reporting, and Conformance (DMARC) โดยการเพิ่มนโยบาย DMARC ในระเบียน DNS ของโดเมน โดยนโยบายนี้จะอยู่ในรูปแบบของระเบียน DNS TXT และจะกำหนดวิธีที่โดเมนจัดการกับอีเมลที่น่าสงสัย

นโยบาย DMARC รองรับวิธีจัดการกับอีเมลที่น่าสงสัย 3 วิธีดังนี้

  • ไม่ดำเนินการใดๆ กับข้อความและบันทึกไว้ในรายงานประจำวัน
  • ทำเครื่องหมายข้อความว่าเป็นจดหมายขยะ และ Gmail จะนำข้อความเหล่านั้นไปไว้ในโฟลเดอร์จดหมายขยะของผู้รับ
  • แจ้งเซิร์ฟเวอร์ที่รับให้ปฏิเสธข้อความ ซึ่งจะทำให้เกิดการตีกลับผ่าน SMTP ไปยังผู้ส่ง

ตัวอย่างนโยบาย DMARC

ข้อมูลต่อไปนี้คือตัวอย่างนโยบาย 

ข้อมูลสำคัญ: โดเมนที่ใช้ในตัวอย่างเหล่านี้เป็นโดเมนตัวอย่าง ให้แทนที่ solarmora.com ด้วยโดเมนของคุณเอง

โปรดดูนิยามของค่าในตัวอย่างต่อไปนี้ที่หัวข้อค่าของระเบียน TXT ของ DMARC

การดำเนินการต่างๆ เมื่อข้อความไม่ผ่านการตรวจสอบ DMARC เนื้อหาในระเบียน TXT
ไม่ดำเนินการใดๆ กับข้อความที่ไม่ผ่านการตรวจสอบ DMARC ส่งอีเมลรายงานประจำวันไปที่ dmarc@solarmora.com v=DMARC1; p=none; rua=mailto:dmarc@solarmora.com

นำข้อความที่ไม่ผ่านการตรวจสอบ DMARC จำนวน 5% ไปไว้ในโฟลเดอร์สแปมของผู้รับ ส่งอีเมลรายงานประจำวันไปที่ dmarc@solarmora.com

v=DMARC1; p=quarantine; pct=5; rua=mailto:dmarc@solarmora.com

ปฏิเสธข้อความที่ไม่ผ่านการตรวจสอบ DMARC ทั้ง 100% ส่งอีเมลรายงานประจำวันไปที่อีเมล postmaster@solarmora.com และ dmarc@solarmora.com 

ระบบจะตีกลับข้อความที่ไม่ผ่านการตรวจสอบไปให้ผู้ส่งผ่าน SMTP

v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com

เพิ่มระเบียน TXT เพื่อเปิด DMARC

หากต้องการเปิด DMARC ให้อัปเดตการตั้งค่าโดเมนด้วยระเบียน DNS TXT

เกี่ยวกับระเบียน TXT

ระเบียน TXT คือระเบียน DNS ซึ่งมีข้อความที่ใช้งานโดยแหล่งที่มาภายนอกโดเมน โปรดเพิ่มระเบียน TXT ในการตั้งค่าโดเมนที่โฮสต์ของโดเมน ไม่ใช่ในคอนโซลผู้ดูแลระบบ Google

ดูข้อมูลเพิ่มเติมเกี่ยวกับการทำงานกับระเบียน TXT ในเคล็ดลับสำหรับการอัปเดตระเบียน DNS TXT

เพิ่มระเบียน TXT ของ DMARC

ทำตามขั้นตอนต่อไปนี้เพื่อเพิ่มระเบียน TXT ของ DMARC ให้โดเมน

ข้อมูลสำคัญ

  • โดเมนที่ใช้ในตัวอย่างเหล่านี้เป็นโดเมนตัวอย่าง ให้แทนที่ solarmora.com ด้วยโดเมนของคุณเอง 
  • แทนที่ค่าตัวอย่างด้วยค่าสำหรับนโยบาย DMARC ของโดเมน
  1. ลงชื่อเข้าใช้คอนโซลการจัดการสำหรับผู้ให้บริการโดเมน
  2. ค้นหาหน้าเว็บที่ใช้อัปเดตระเบียน DNS

    โดเมนย่อย: หากโฮสต์ของโดเมนไม่รองรับการอัปเดตระเบียน DNS สำหรับโดเมนย่อย ให้เพิ่มระเบียนดังกล่าวลงในโดเมนหลัก โปรดดูวิธีอัปเดตระเบียน DNS สำหรับโดเมนย่อย

  3. เพิ่มระเบียน DNS ที่ _dmarc

    ชื่อระเบียน TXT: ในช่องแรกของส่วน "ชื่อโฮสต์ DNS" ให้ป้อน
    _dmarc.solarmora.com

    ค่าระเบียน TXT: ในช่องที่ 2 ให้ป้อนค่าที่จะกำหนดนโยบาย DMARC เช่น
    v=DMARC1; rua=mailto:dmarc-reports@solarmora.com; p=quarantine; pct=90; sp=none
     

  4. บันทึกการเปลี่ยนแปลง

ค่าของระเบียน TXT ของ DMARC

หมายเหตุ: Gmail ไม่รองรับแท็ก ruf ของ DMARC ที่ใช้เพื่อส่งรายงานความล้มเหลว (สำหรับการสืบสวน)

ชื่อแท็ก ความจำเป็น คำอธิบายและค่า

v

จำเป็น เวอร์ชันของโปรโตคอล ต้องเป็น DMARC1

p

จำเป็น

กำหนดวิธีที่โดเมนจะจัดการกับข้อความที่น่าสงสัย

  • ไม่มี: ไม่ดำเนินการใดๆ กับข้อความ แต่บันทึกข้อความที่น่าสงสัยไว้ในรายงานประจำวัน
  • กักบริเวณ: ทำเครื่องหมายข้อความว่าเป็นจดหมายขยะและย้ายไปยังโฟลเดอร์จดหมายขยะใน Gmail ของผู้รับ โดยผู้รับจะใช้ Gmail เพื่อตรวจสอบจดหมายขยะได้
  • ปฏิเสธ: แจ้งเซิร์ฟเวอร์ที่รับให้ปฏิเสธข้อความ เมื่อปฏิเสธ เซิร์ฟเวอร์ที่รับควรส่งการตีกลับไปยังเซิร์ฟเวอร์ที่ส่ง

pct

ไม่บังคับ

ตั้งค่าเปอร์เซ็นต์ของข้อความที่น่าสงสัยที่จะใช้นโยบาย DMARC ข้อความที่น่าสงสัยคือข้อความที่ไม่ผ่านการตรวจสอบ DMARC

ต้องเป็นจำนวนเต็มตั้งแต่ 1 ถึง 100 โดยมีค่าเริ่มต้นเป็น 100 

rua

ไม่บังคับ

อีเมลที่จะรับรายงานเกี่ยวกับกิจกรรมของ DMARC ของโดเมน ใช้อีเมลของคุณเองหรือสร้างอีเมลใหม่เพื่อรับรายงาน

อีเมลต้องมี mailto: เช่น mailto:dmarc-reports@solarmora.com

หากต้องการส่งรายงานไปยังอีเมลมากกว่า 1 รายการ ให้คั่นด้วยเครื่องหมายจุลภาค

sp

ไม่บังคับ

ตั้งค่านโยบายสำหรับข้อความจากโดเมนย่อยของโดเมนหลัก ใช้ตัวเลือกนี้หากต้องการใช้นโยบาย DMARC อื่นกับโดเมนย่อย

  • ไม่มี: ไม่ดำเนินการใดๆ กับข้อความ แต่บันทึกข้อความที่น่าสงสัยไว้ในรายงานประจำวัน
  • กักบริเวณ: ทำเครื่องหมายข้อความว่าเป็นสแปมและควบคุมเอาไว้เพื่อดำเนินการเพิ่มเติม
  • ปฏิเสธ: สั่งให้เซิร์ฟเวอร์ที่รับปฏิเสธข้อความ
adkim ไม่บังคับ

ตั้งค่าโหมด Alignment ของ DKIM ซึ่งจะกำหนดว่าข้อมูลของข้อความต้องตรงกันกับลายเซ็น DKIM มากเพียงใด

  • s: เข้มงวด ชื่อโดเมนของผู้ส่งต้องตรงกับ d=name ที่เกี่ยวข้องในส่วนหัวอีเมลของ DKIM
  • r: ไม่เข้มงวด (ค่าเริ่มต้น) อนุญาตให้ตรงกันเพียงบางส่วน ระบบจะยอมรับโดเมนย่อยที่ถูกต้องของ d=domain ในส่วนหัวอีเมลของ DKIM

aspf

ไม่บังคับ

ตั้งค่าโหมด Alignment สำหรับ SPF (ASPF) ซึ่งจะกำหนดว่าข้อมูลของข้อความต้องตรงกันกับข้อมูลจาก SPF มากเพียงใด

  • s: เข้มงวด ส่วนหัว from: ของข้อความต้องตรงกับ domain.name ในคำสั่ง SMTP MAIL FROM
  • r: ไม่เข้มงวด (ค่าเริ่มต้น) อนุญาตให้ตรงกันเพียงบางส่วน ระบบจะยอมรับโดเมนย่อยที่ถูกต้องของ domain.name

ใช้งาน DMARC อย่างช้าๆ

ใช้ตัวเลือกนโยบาย (p) และเปอร์เซ็นต์ (pct) ร่วมกันเพื่อค่อยๆ นำ DMARC ไปใช้งานใน Gmail

ใช้ตัวเลือกนโยบาย (p) เพื่อตั้งค่าและเปลี่ยนแปลงนโยบายในระเบียน TXT ได้ โดยเริ่มต้นจากนโยบายการกักบริเวณซึ่งช่วยให้คุณตรวจสอบข้อความที่น่าสงสัยได้ จากนั้นจึงค่อยๆ ปรับนโยบายโดยสังเกตจากข้อความที่ถูกกักบริเวณและรายงานประจำวันที่พบ

  1. p=none: ตรวจดูปัญหาที่เกิดขึ้นในการรับส่งอีเมลจากรายงานประจำวัน แต่จะปล่อยให้ข้อความทั้งหมดผ่านไปได้ โดยจะตรวจหาข้อความที่มีการปลอมแปลงหรือไม่ได้รับการรับรองด้วย DKIM หรือ SPF
  2. p=quarantine: เมื่อคุณเริ่มคุ้นเคยกับรูปแบบที่พบในรายงานประจำวันแล้ว ให้เปลี่ยนนโยบายเป็นกักบริเวณ และคอยตรวจสอบรายงานประจำวันต่อไปเพื่อดูว่ามีข้อความใด(ถูกกักบริเวณ)เป็นสแปมบ้าง
  3. p=reject: เมื่อมั่นใจว่าข้อความทั้งหมดได้รับการรับรองอย่างถูกต้องแล้ว ให้เปลี่ยนนโยบายเป็นปฏิเสธเพื่อเริ่มกรองข้อความสแปม และคอยตรวจสอบรายงานประจำวันเพื่อดูว่ามีการกรองสแปมออกและส่งอีเมลไปยังผู้รับอย่างถูกต้อง

ใช้ตัวเลือกเปอร์เซ็นต์ (pct) ตัวเลือกเปอร์เซ็นต์จะระบุเปอร์เซ็นต์ของข้อความที่น่าสงสัยที่ใช้นโยบาย DMARC ข้อความที่น่าสงสัยคือข้อความที่ไม่ผ่านการตรวจสอบ DMARC โดยมีค่าเริ่มต้นเป็น 100% (ข้อความที่น่าสงสัยทั้งหมด) ตั้งค่าตัวเลือกเปอร์เซ็นต์เป็นข้อความจำนวนน้อยๆ ก่อนแล้วจึงเพิ่มเปอร์เซ็นต์ทุกๆ 2-3 วันในระหว่างที่คุณปรับแต่งนโยบาย DMARC ตัวอย่างเช่น เริ่มต้นตั้งค่าตัวเลือกเปอร์เซ็นต์ไว้ที่ 20 เพื่อกรองข้อความที่ถูกปฏิเสธหรือถูกกักบริเวณจำนวน 20% จากนั้นในสัปดาห์ต่อไปจึงเปลี่ยนค่าจาก 20 เป็น 50 เพื่อกรองข้อความจำนวน 50%

ตัวอย่างการใช้งาน: โปรดดูตัวอย่างการใช้ตัวเลือก p และ pct ต่อไปนี้เพื่อค่อยๆ ปรับใช้นโยบาย DMARC โดยเมื่อเวลาผ่านไปให้ทยอยอัปเดตนโยบาย DMARC ด้วยค่าต่อไปนี้

  1. p=none pct=100
  2. p=quarantine pct=1
  3. p=quarantine pct=5
  4. p=quarantine pct=10
  5. p=quarantine pct=25
  6. p=quarantine pct=50
  7. p=quarantine pct=100
  8. p=reject pct=1
  9. p=reject pct=5
  10. p=reject pct=10
  11. p=reject pct=25
  12. p=reject pct=50
  13. p=reject pct=100

รายงานประจำวันของ DMARC

รายงานประจำวันของ DMARC คือข้อมูลการรับส่งอีเมลที่อยู่ในรูปแบบ XML ซึ่งใช้เพื่อจุดประสงค์ต่อไปนี้

  • ยืนยันว่าแหล่งที่มาของอีเมลขาออกได้รับการตรวจสอบแล้ว
  • ยืนยันว่าโดเมนส่งข้อความผ่านเซิร์ฟเวอร์อีเมลที่ถูกต้อง
  • แจ้งให้ทราบเมื่อมีเซิร์ฟเวอร์ที่ออนไลน์ใหม่ หรือเซิร์ฟเวอร์เดิมมีปัญหาการกำหนดค่า
ตัวอย่างรายงาน DMARC

ข้อมูลด้านล่างนี้เป็นส่วนหนึ่งของรายงานที่แจ้งว่ามีข้อความส่งจากที่อยู่ IP สองแห่ง โดยข้อความหนึ่งส่งโดยตรงและอีกข้อความถูกส่งต่อ และทั้งสองข้อความผ่านการตรวจสอบของ DMARC


<record>
<row>
<source_ip>207.126.144.129</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
</policy_evaluated>
</row>
<identities>
<header_from>stefanomail.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>stefanomail.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>stefanomail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>207.126.144.131</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<reason>
<type>forwarded</type>
<comment></comment>
</reason>
</policy_evaluated>
</row>
<identities>
<header_from>stefanomail.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>stefanomail.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>stefanomail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>

ข้อมูลนี้มีประโยชน์ไหม
เราจะปรับปรุงได้อย่างไร