DMARC

添加 DMARC 记录

定义网域如何处理可疑电子邮件

您可以在网域的 DNS 记录中添加政策,从而设置基于网域的消息认证、报告和一致性 (DMARC) 验证机制。这些政策会定义您的网域如何处理可疑电子邮件。系统会以 TXT 记录格式定义政策。

以下是您的网域在回应可疑电子邮件时,可能采用的三种 DMARC 政策:

  • 不对邮件采取任何操作,仅将其记录在每日报告中。
  • 将邮件标记为垃圾邮件,并保留邮件以进行其他处理(隔离)。
  • 取消邮件,阻止其发送给收件人。

您可以在 TXT 记录中使用 p 标记设置 DMARC 政策,如下表“DMARC TXT 记录中的常用标记”所述。

先行设置 SPF 和 DKIM

建议您在设置 DMARC 之前先设置发件人政策框架 (SPF) 和域名密钥识别邮件 (DKIM)。DMARC 会使用 SPF 和 DKIM 来验证邮件是否通过了身份验证。未通过 SPF 或 DKIM 检查的邮件会触发 DMARC 政策。

创建 DMARC 记录

您可以使用标记名称和值创建 TXT 记录,以定义要在网域中使用的政策。

TXT 记录名称必须采用以下格式,其中 your_domain.com 是您的域名:
 _dmarc.your_domain.com 

关于创建 DMARC TXT 记录的提示

下列文章提供了有关创建 DMARC 记录的详细信息:

DMARC TXT 记录中的常用标记

注意:Gmail 不支持用于发送失败(取证)报告的 DMARC ruf 标记。

标记名称 是否必要 说明和值 示例

v

必要 协议版本。该值必须为 DMARC1 v=DMARC1

p

必要

设置网域处理可疑邮件的方式:

  • none:不对邮件采取任何操作。将可疑邮件记录在每日报告中。
  • quarantine:将邮件标记为垃圾邮件,并保留邮件以进行其他处理。
  • reject取消邮件,阻止其发送给收件人。
p=quarantine

pct

可选 设置要对百分之多少的邮件应用 DMARC 政策。默认值为 100 pct=20

rua

可选

报告汇总报告的统一资源标识符 (URI)。要获取您网域中 DMARC 活动的报告,请使用此选项并加入您自己的电子邮件地址。

rua=mailto:aggrep@example.com

sp

可选

为主网域中子网域发送的邮件设置政策。如果您想为子网域指定不同的 DMARC 政策,请使用此选项。可使用的值与 p 标记的值相同。

 

sp=reject

aspf

可选

设置 SPF 匹配模式 (ASPF)。该模式会定义邮件信息与 SPF 签名应有的匹配程度。默认是宽松

r:“宽松”设置允许部分匹配,例如与网域中的子网域匹配。

s:“严格”设置要求完全匹配。

aspf=r

 

逐步部署 DMARC

您可以同时使用政策 (p) 和百分比 (pct) 选项,在 Gmail 中逐步部署 DMARC。

如何逐步部署 DMARC 政策

使用政策 (p) 选项。您可以在 TXT 记录中使用 p 标记值设置和更改政策选项。您可以先从隔离政策开始,以便检查可疑邮件。然后,您可以根据已隔离邮件和每日报告中的内容逐步修改政策。

  1. p=none:监控电子邮件流量并找出每日报告中的问题,但允许所有邮件正常发送。请留意假冒邮件和未使用 DKIM 或 SPF 签名的邮件。
  2. p=quarantine:当您熟悉每日报告中的电子邮件格式时,将政策改为“隔离”。请继续查看每日报告以及被当做垃圾邮件挑出(隔离)的邮件。
  3. p=reject:当您确定您网域发送的所有邮件都已签名时,将政策改为“reject”以开始过滤垃圾邮件。请继续查看每日报告,并确认您已过滤垃圾邮件且发送给收件人的都是有效电子邮件。

使用百分比 (pct) 选项。 百分比选项的默认值为 100%(所有邮件)。请先使用百分比选项过滤较少的邮件,然后每隔几天提高百分比值。例如,先将百分比选项设置为 20,过滤掉 20% 的遭拒或隔离邮件。在下一周,将值从 20 改为 50,以过滤 50% 的邮件。

部署示例:以下示例说明了如何使用 p 和 pct 选项逐步部署 DMARC 政策。请依序使用以下值逐步更新 DMARC 政策:

  1. p=quarantine pct=5
  2. p=quarantine pct=10
  3. p=quarantine pct=25
  4. p=quarantine pct=50
  5. p=quarantine pct=100
  6. p=reject pct=1
  7. p=reject pct=5
  8. p=reject pct=10
  9. p=reject pct=25
  10. p=reject pct=50
  11. p=reject pct=100
  12. p=none pct=100
  13. p=quarantine pct=1

TXT 记录示例

以下是一些 DMARC TXT 记录示例,您可以根据实际使用情况进行修改。请复制这些记录,并将“your_domain.com”和“postmaster@your_domain.com”替换为您的域名和电子邮件地址。

请根据每日报告内容更改政策和百分比值(如有需要)。

TXT 记录示例:“不采取任何操作”

对看似来自您的 domain.com 但未通过 DMARC 检查的邮件不采取任何操作,并将每日报告发送到“postmaster@your_domain.com”。

"v=DMARC1; p=none; rua=mailto:postmaster@your_domain.com"

TXT 记录示例:“隔离邮件”

对于看似来自您的 domain.com 但未通过 DMARC 检查的邮件,隔离其中的 5%,并将每日报告发送到“postmaster@your_domain.com”。

"v=DMARC1; p=quarantine; pct=5; rua=mailto:postmaster@your_domain.com"

TXT 记录示例:“拒绝邮件”

拒绝所有看似来自您的网域但未通过 DMARC 检查的邮件,并将每日报告发送到“postmaster@your_domain.com”和“dmarc@your_domain.com”。

"v=DMARC1; p=reject; rua=mailto:postmaster@your_domain.com, mailto:dmarc@your_domain.com"

每日 DMARC 报告

DMARC 每日报告采用 XML 格式,包含电子邮件收发情况的相关信息。每日报告的用途如下:

  • 确认出站电子邮件来源已通过验证
  • 确认邮件是从您网域中的合法电子邮件服务器发出
  • 在新服务器上线或现有服务器存在配置问题时采取应对措施
DMARC 报告示例

以下是报告的部分内容,显示了从两个 IP 地址发送邮件的不同结果。其中一封邮件是直接发送,而另一封则是转发邮件。两封邮件都通过了 DMARC 检查。


<record>
<row>
<source_ip>207.126.144.129</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
</policy_evaluated>
</row>
<identities>
<header_from>stefanomail.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>stefanomail.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>stefanomail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>207.126.144.131</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<reason>
<type>forwarded</type>
<comment></comment>
</reason>
</policy_evaluated>
</row>
<identities>
<header_from>stefanomail.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>stefanomail.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>stefanomail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>

本文是否对您有帮助?
您有什么改进建议?