搜索
清除搜索查询
关闭搜索框
Google 应用
主菜单

    DMARC

    添加 DMARC 记录

    创建记录

    在 SPF 和 DKIM 就绪后,您就可以通过 TXT 记录的形式向您的网域的 DNS 记录添加策略,以配置 DMARC(就像对 SPF 或 ADSP 执行的操作一样)。

    重要提示:在为自己的 G Suite 网域创建 DMARC 记录前,您必须先设置 DKIM 身份验证。如果您未事先设置 DKIM,来自服务(如 Google 日历)的电子邮件将无法进行邮件认证,也不会发送给用户。

    请参阅常见域名托管服务商的具体说明,按照相关说明,使用相应的名称和值创建 TXT 记录。TXT 记录的名称应该是“_dmarc.your_domain.com.”,其中“your_domain.com”替换为您的实际域名。另请参阅一些域名托管服务商的限制

    下面是 DMARC TXT 记录中的常用标记:

    标记名称 必填 用途 样例

    v

    必需 协议版本 v=DMARC1

    p

    必需 域的策略 p=quarantine

    pct

    可选 要过滤的邮件百分比 pct=20

    rua

    可选 汇总报告的报告 URI rua=mailto:aggrep@example.com

    sp

    可选 该域的子域的策略 sp=reject

    aspf

    可选 SPF 的匹配模式 aspf=r

    有关其他可用标记,请参阅 DMARC 标记注册表

    Google 不支持用于分发法庭报告的 DMARC ruf 标记。

    只有 v(版本)和 p(策略)标记是必需的。有三种策略设置(或邮件处置设置)可供选用:

    • - 不采取任何行动。仅在每日报告中记录受影响的邮件。
    • 隔离 - 将受影响的邮件标记为垃圾邮件。
    • 拒绝 - 在 SMTP 层撤销邮件。

    匹配模式指发件人记录与 SPF 和 DKIM 签名相比的一致程度,有两个可能的值:宽松或严格,分别以“r”和“s”表示。简言之,“宽松”允许部分匹配(例如给定网域的子域),而“严格”要求完全匹配。

    请务必在可选的 rua 标记中填入您的电子邮件地址,以接收每日报告。

    记录示例

    下面是一些 DMARC TXT 记录示例 (_dmarc.your_domain.com IN TXT),您略加修改即可使用。当然,要将“your_domain.com”和“postmaster@your_domain.com”替换为您的实际域名和电子邮件地址。

    在以下 TXT 记录示例中,如果邮件声称从您的 domain.com 发送,但未能通过 DMARC 检查,系统将不采取操作。不过,所有这些邮件都会显示在发送到“postmaster@your_domain.com”的每日汇总报告中。

    "v=DMARC1; p=none; rua=mailto:postmaster@your_domain.com"

    在下面的 TXT 记录示例中,如果邮件声称从您的 domain.com 发送,但未能通过 DMARC 检查,那么以5%的比例将其隔离。然后,系统会将每日汇总报告通过电子邮件发送到“postmaster@your_domain.com”。

    "v=DMARC1; p=quarantine; pct=5; rua=mailto:postmaster@your_domain.com"

    在最后这个示例中,如果邮件声称从“your_domain.com”发送,但未能通过 DMARC 检查,那么系统将 100% 拒绝该邮件。然后,系统会将每日汇总报告通过电子邮件发送到“postmaster@your_domain.com”和“dmarc@your_domain.com”。

    "v=DMARC1; p=reject; rua=mailto:postmaster@your_domain.com, mailto:dmarc@your_domain.com"
    报告示例

    每日报告采用 XML 格式。阅读该报告可以更好地了解邮件流情况。此外,报告还可以帮助您确保对出站邮件源进行正确的身份验证。如果不同 IP 地址发送声称来自您网域的邮件,请确保这些 IP 地址确实合法,并使用 DKIM 对其进行正确配置,或将其添加到相应的 SPF 范围内。如果新的邮件源上线但管理员设置了拦截策略,或者现有邮件源的配置出现问题,此时报告还可以帮助管理员快速采取措施。

    下面是一份报告的摘录,显示了从两个 IP 地址发送的邮件的结果,一封邮件为直接发送,另一封为转发。两封邮件均成功发送:

    
    <record>
     <row>
     <source_ip>207.126.144.129</source_ip>
     <count>1</count>
     <policy_evaluated>
     <disposition>none</disposition>
     </policy_evaluated>
     </row>
     <identities>
     <header_from>stefanomail.com</header_from>
     </identities>
     <auth_results>
     <dkim>
     <domain>stefanomail.com</domain>
     <result>pass</result>
     <human_result></human_result>
     </dkim>
     <spf>
     <domain>stefanomail.com</domain>
     <result>pass</result>
     </spf>
     </auth_results>
     </record>
     <record>
     <row>
     <source_ip>207.126.144.131</source_ip>
     <count>1</count>
     <policy_evaluated>
     <disposition>none</disposition>
     <reason>
     <type>forwarded</type>
     <comment></comment>
     </reason>
     </policy_evaluated>
     </row>
     <identities>
     <header_from>stefanomail.com</header_from>
     </identities>
     <auth_results>
     <dkim>
     <domain>stefanomail.com</domain>
     <result>pass</result>
     <human_result></human_result>
     </dkim>
     <spf>
     <domain>stefanomail.com</domain>
     <result>pass</result>
     </spf>
     </auth_results>
     </record>

    逐步部署

    我们强烈建议您按照以下操作顺序应用策略,逐步增加 DMARC 的使用。首先,监控您的流量,并查找报告中的异常之处,例如仍没有签名或可能经过伪装的邮件。在您对结果感到满意之后,将 TXT 记录策略设置从“无”改为“隔离”。然后,再次查看结果,这次要检查垃圾邮件的捕获情况及每日 DMARC 报告。最后,在确信您的所有邮件都已签名之后,将策略设置改为“拒绝”,以充分利用 DMARC。重新查看报告,以确保结果如您所愿。

    类似地,可选的 pct 标记也可以用来对 DMARC 进行分步部署和采样。因为默认值为 100%,所以,如果在 DMARC TXT 记录中采用“pct=20”,则系统只对所有受该策略影响的邮件中的五分之一(而不是全部)真正执行此操作。在您选择隔离和拒绝邮件时,此设置非常有用。在开始时设置一个较低的百分比,然后每隔几天逐步增加。

    因此,比较慎重的完整部署过程应该像下面这样:

    1. 全部监控。
    2. 隔离 1%。
    3. 隔离 5%。
    4. 隔离 10%。
    5. 隔离 25%。
    6. 隔离 50%。
    7. 全部隔离。
    8. 拒绝 1%。
    9. 拒绝 5%。
    10. 拒绝 10%。
    11. 拒绝 25%。
    12. 拒绝 50%。
    13. 全部拒绝。

    尝试尽快删除百分比,以完成整个部署。

    请记得照常查看每日报告。

    本文是否对您有帮助?
    您有什么改进建议?
    登录您的帐户

    使用您的 G Suite 帐户电子邮件地址登录,以获取针对帐户的帮助,或了解如何开始使用 G Suite