设置 DMARC

Gmail 用户：如果您在 Gmail 中收到垃圾邮件或钓鱼式攻击邮件，请改为点击此处。如果您在 Gmail 中收发电子邮件时遇到问题，请改为点击此处。

作为管理员，在设置 SPF 和 DKIM 后，您可以设置基于网域的邮件身份验证、报告和一致性协议 (DMARC)。借助 DMARC，您可以告知接收邮件的服务器在收到未通过 SPF 或 DKIM 身份验证检查的邮件时如何处理。您还可以获取报告，帮助您识别发自您网域的邮件是否可能存在身份验证问题和恶意活动。

What is DMARC?

DMARC 可帮助用户防范冒充身份的电子邮件，
并可让您管理未通过 SPF 或 DKIM 检查的邮件。

第 1 步：启用 SPF 和 DKIM

您必须先为您的网域启用 SPF 和 DKIM，才能使用 DMARC。如果您尚未设置 SPF 和 DKIM，请参阅帮助防范仿冒邮件、钓鱼邮件和垃圾邮件。

SPF、DKIM 和 DMARC 都是按网域应用的。如果您管理多个网域，则必须为每个网域分别启用 SPF、DKIM 和 DMARC。

重要提示：

如果您在启用 DMARC 之前没有设置 SPF 和 DKIM，那么您网域发出的邮件可能会遇到递送问题。
设置 SPF 和 DKIM 后，需等待 48 小时才能设置 DMARC。

第 2 步：检查是否已设置 DMARC

如果您使用的是 Google Workspace，请使用 Google 管理员工具箱检查是否已设置 DMARC。否则，请按照域名提供商的检查步骤操作。

使用 Google 管理员工具箱进行检查：

转到 Google 管理员工具箱。
转到验证 DNS 问题 检查 MX。
在域名字段中输入您的域名，然后点击执行检查！
检查结果会指明您的网域是否有 DMARC 记录：
- 尚未设置 DMARC - 说明您的网域还没有 DMARC 记录。
- DMARC 格式设置政策 - 说明您的网域已有 DMARC 记录。

请与您的域名提供商联系：

登录域名提供商的管理控制台。
前往用于更新域名 DNS TXT 记录的页面。
如果您有 DMARC 记录，则会在 _dmarc.example.com 子域名（其中 example 是您的域名）下看到以 v=DMARC 开头的 TXT 记录条目。

根据结果继续操作：

如果已设置 DMARC，您应查看 DMARC 报告，确保 DMARC 能够有效验证邮件，并且邮件能够按预期递送。
如果未设置 DMARC，请继续执行设置接收报告的群组或邮箱（本页）。

第 3 步：设置接收报告的群组或邮箱

您通过电子邮件收到的 DMARC 报告数量可能会有所变动，具体取决于您的网域所发送的电子邮件数量以及发送到的网域数量。您每天可能会收到很多报告。大型单位每天可能收到多达上百甚至上千份报告。

通过 DMARC 报告，您可以了解从您网域发送的邮件中哪些已通过 SPF 和 DKIM 身份验证，以及是否有任何邮件经常无法通过身份验证。您还可以通过该报告查看为您的网域发送邮件的发件人有哪些，同时在有潜在垃圾邮件发件人时收到提醒。在部署阶段，监控 DMARC 报告特别有用。请参阅 DMARC 部署建议。

Google 建议您创建群组或专门的邮箱来接收和管理 DMARC 报告。

重要提示：通常，用于接收报告的电子邮件地址与托管 DMARC 记录的域名相同。如果电子邮件地址使用的是其他网域，您必须在该网域中添加 DNS 记录。如需了解详情，请参阅 DMARC 报告页面上的将报告发送到其他网域中的电子邮件地址。

第 4 步：确保对所有第三方服务进行身份验证

如果您使用第三方服务为贵组织发送邮件，则必须确保第三方服务发送的邮件已通过身份验证，并通过 SPF 和 DKIM 检查：

请与您的第三方提供商联系，确保 DKIM 已正确设置。
确保提供商的信包发件人域名与您的域名一致。将提供商的邮件发送服务器的 IP 地址添加到您网域的 SPF 记录。
使用 SMTP 中继服务设置，通过 Google 转送利用第三方提供商外发的邮件。

第 5 步：准备 DMARC 记录

DMARC 政策是由名为“DMARC 记录”的一行文本值所定义。DMARC 记录规定了：

DMARC 检查邮件的严格程度
接收服务器在收到未通过身份验证检查邮件时的建议操作

DMARC 政策记录示例（将 example.com 替换为您的网域）：

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s。

您必须先列出 v 和 p 标记。其他标记则可按任意顺序排列。

刚开始使用 DMARC 时，我们建议将政策选项 (p) 设置为 none。如果您已了解接收服务器如何对来自您网域的邮件进行身份验证，就可以更新您的政策。随着时间的推移，可以先将收件人政策改为 quarantine (or，最后再改为 reject)。请参阅 DMARC 部署建议。

DMARC 记录标记定义和值

标记	说明和值
v	（必填）DMARC 版本。必须为 DMARC1。
p	（必填）指示邮件接收服务器如何处理未通过身份验证的邮件。 none：不对邮件执行任何操作，并将其递送给目标收件人。系统会将邮件记录在每日报告中，并会将报告发送到记录中 rua 选项指定的电子邮件地址。 quarantine— 将邮件标记为垃圾邮件，并将其发送至收件人的“垃圾邮件”文件夹。收件人可以查看垃圾邮件，并识别其中的正常邮件。 reject—拒绝邮件。使用此选项后，邮件接收服务器通常会向邮件发送服务器发送系统退信。 BIMI 注意事项：如果您的网域使用 BIMI，DMARC 的 p 选项必须设为 quarantine 或 reject。BIMI 不支持 p 选项设置为 none 的 DMARC 政策。
pct	pct 标记是可选的，但 Google 建议您在部署 DMARC 时将其添加到 DMARC 记录中，以便您管理要应用 DMARC 政策的电子邮件的百分比。指定未通过身份验证的邮件中有百分之多少受 DMARC 政策约束。在逐步部署 DMARC 时，您可以先从一小部分邮件开始。随着更多来自您网域的邮件通过接收服务器的身份验证，请更新您的记录，将此选项的值设为更高的百分比，直至达到 100%。必须是 1 到 100 之间的整数。如果您不在记录中使用此选项，则系统会将 DMARC 政策应用于从您网域发出的所有邮件。 BIMI 注意事项：如果您的网域使用 BIMI，DMARC 政策的 pct 值必须为 100。BIMI 不支持 pct 值小于 100 的 DMARC 政策。
rua	rua 标记是可选的，但 Google 建议您始终在 DMARC 记录中添加此标记。将 DMARC 报告发送到某个电子邮件地址。该电子邮件地址必须包含 mailto:。例如：mailto:dmarc-reports@example.com（将 example.com 替换为您的域名）。要向多个电子邮件地址发送 DMARC 报告，请使用英文逗号分隔各个电子邮件地址，并在每个地址前添加 mailto: 前缀。例如：mailto:dmarc-reports@example.com, mailto:dmarc-admin@example.com（将 example.com 替换为您的域名）。此选项可能会导致系统发送大量报告电子邮件。我们建议您不要使用自己的电子邮件地址，而是考虑使用专用邮箱、群组或专门处理 DMARC 报告的第三方服务。如需将 DMARC 报告发送到与托管 DMARC 记录的网域不同的网域中的电子邮件地址，请向电子邮件网域的 DNS 添加 TXT 记录。如需了解详情，请参阅 DMARC 报告页面上的将报告发送到其他网域中的电子邮件地址。
ruf	（不受支持）Gmail 不支持用于发送失败报告的 ruf 标记。失败报告也称为取证报告。
sp	（可选）为主网域中的子网域发送的邮件设置政策。如果您想为子网域指定不同的 DMARC 政策，请使用此选项。 none—Take no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy. quarantine—将邮件标记为垃圾邮件，并将其发送至收件人的“垃圾邮件”文件夹。收件人可以查看垃圾邮件，并识别其中的正常邮件。 reject—拒绝邮件。使用此选项后，邮件接收服务器会向邮件发送服务器发送系统退信。如果您不在记录中使用此选项，则子网域会沿用针对父级网域设置的 DMARC 政策。
adkim	（可选）设置 DKIM 匹配政策，用于指定邮件信息与 DKIM 签名应有的匹配程度。了解匹配的工作原理（本页面下文）。 s—严格匹配。发件人域名必须与 DKIM 邮件标头中对应的 d=domainname 完全匹配。domainname r—Relaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf	（可选）设置 SPF 匹配政策，用于指定邮件信息与 SPF 签名应有的匹配程度。了解匹配的工作原理（本页面下文）。 s—严格匹配。邮件的 From: 标头必须与 SMTP MAIL FROM 命令中的域名完全匹配。 r—宽松匹配（默认）。允许部分匹配。接受域名的任何有效子网域。

DMARC 匹配

邮件能否通过 DMARC 检查，取决于发件人：标头中的域名与 SPF 或 DKIM 所指定的发信网域的匹配程度。这种方法叫做“匹配”。

目前有两种匹配模式可供选择：严格模式或宽松模式。您可以使用 DMARC 记录标记 aspf 和 adkim 在 DMARC 记录中设置 SPF 和 DKIM 匹配模式。

身份验证方法	严格匹配	宽松匹配
SPF	信包发件人（也称为“返回路径”或“退回”）地址中的域名与发件人：标头地址中的域名完全匹配。	发件人：标头地址中的域名必须与信包发件人（也称为“返回路径”或“退回”）地址中的域名匹配，或者属于其子域名。
DKIM	相关 DKIM 域名与发件人：标头地址中的域名完全匹配。	发件人：标头地址中的域名必须与 DKIM 签名 d= 标记中指定的域名匹配，或者属于其子域名。

在某些情况下，Google 建议您考虑改用严格匹配模式，更有效地防范仿冒邮件：

由不受您控制的子网域为您的网域发送邮件。
您有由其他实体管理的子网域。

重要提示：通常情况下，宽松匹配模式就足以防范仿冒邮件。严格匹配模式可能会导致来自关联的子网域的邮件被拒或发送到“垃圾邮件”文件夹。

要通过 DMARC 检查，邮件必须至少通过以下检查之一：

SPF 身份验证和 SPF 匹配
DKIM 身份验证和 DKIM 匹配

如果邮件未通过以下任何检查，就无法通过 DMARC 检查：

SPF（或 SPF 匹配）
DKIM（或 DKIM 匹配）

第 6 步：添加 DMARC 记录

准备好 DMARC 记录的文本后，请在域名提供商处添加或更新 DMARC DNS TXT 记录。每当您更改 DMARC 政策以及更新记录后，都必须在域名提供商处更新 DMARC TXT 记录。

添加或更新您的记录

重要提示：请务必先设置 DKIM 和 SPF，然后再设置 DMARC。在启用 DMARC 前，DKIM 和 SPF 应提前至少 48 小时开始对邮件进行身份验证。

准备好您的 DMARC 记录的文本文件或文本行。
登录您的域名托管服务商（通常是您购买域名的公司）。如果您不确定自己的域名托管服务商是谁，请参阅确定您的域名注册商。
前往用于更新域名 DNS TXT 记录的页面。如需获取与查找此页面相关的帮助，请查看您域名的相关文档。

使用以下信息添加或更新 TXT 记录（请参阅您域名的相关文档）：

字段名称	输入的值
类型	记录类型为 TXT。
主机（名称、主机名、别名）	此值应为 _dmarc.example.com（将 example.com 替换为您的域名）。
值	构成 TXT 记录的字符串。例如：v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s。如需了解详情，请参阅准备 DMARC 记录（本页上文）。

注意：部分域名托管服务商会自动添加域名。添加或更新 TXT 记录后，请验证 DMARC 记录中的域名，确保其格式正确无误。

保存更改。
如果您要为多个网域设置 DMARC，请为每个网域完成这些步骤。每个网域可拥有不同的政策以及不同的报告选项，具体会在记录中定义。

第 7 步：验证您的 DMARC 记录

重要提示：以下步骤中使用的域名仅为示例。请将这些示例域名替换为您自己的域名。

部分域名托管服务商会自动将您的域名添加到 TXT 记录名称的末尾。这可能会导致 DMARC TXT 记录名称的格式错误。例如，如果您输入 _dmarc.example.com，而您的域名托管服务商自动添加了您的域名，则相应的 TXT 记录名称将出现如下格式错误：_dmarc.example.com.example.com。

按照添加或更新您的记录中的步骤添加 DMARC TXT 记录后，请检查 TXT 记录名称，确认其格式正确无误。

在 Google 管理员工具箱中，您可以使用 Dig 功能查看和验证您的 DMARC TXT 记录：

转到 Google 管理员工具箱，然后选择 Dig 功能。
在 Name（名称）字段中，输入 _dmarc.，并在后面添加您的完整域名。例如，如果您的域名是 example.com，请输入 _dmarc.example.com。
在 Name（名称）字段下方，点击 TXT。
在搜索结果中验证您的 DMARC TXT 记录名称。查找以 _dmarc 开头的文本行。

该内容对您有帮助吗？

您有什么改进建议？