搜索
清除搜索查询
关闭搜索框
Google 应用
主菜单

DMARC

添加 DMARC 记录

创建记录

设置完 SPF 和 DKIM 后,您就能以 TXT 记录的形式向您网域的 DNS 记录添加政策,从而配置 DMARC(方法与配置 SPF 或 ADSP 一样)。

重要提示:为您的 G Suite 网域创建 DMARC 记录之前,您必须先设置 DKIM 身份验证。如果您未事先设置 DKIM,来自服务(如 Google 日历)的电子邮件就无法通过身份验证,也无法递送给用户。

请参阅常见域名托管服务商的具体说明,按照相关说明,使用相应的名称和值创建 TXT 记录。TXT 记录的名称应该是“_dmarc.your_domain.com.”,其中“your_domain.com”替换为您的实际域名。另请参阅一些域名托管服务商的限制

下面是 DMARC TXT 记录中的常用标记:

标记名称 是否必要 目的 示例

v

必要 协议版本 v=DMARC1

p

必要 网域政策 p=quarantine

pct

可选 要过滤的邮件的百分比 pct=20

rua

可选 汇总报告的报告 URI rua=mailto:aggrep@example.com

sp

可选 网域的子网域政策 sp=reject

aspf

可选 SPF 的匹配模式 aspf=r

有关其他可用标记,请参阅 DMARC 标记注册表

Google 不支持用于分发取证报告的 DMARC“ruf”标记。

只有 v(版本)和 p(策略)标记是必需的。有三种政策设置(即邮件处理设置)可供选用:

  • - 不采取任何行动。仅在每日报告中记录受影响的邮件。
  • 隔离 - 将受影响的邮件标为垃圾邮件。
  • 拒绝 - 在 SMTP 传输层取消邮件。

匹配模式指发件人记录与 SPF 和 DKIM 签名相比的一致程度,有两个可能的值:宽松或严格,分别以“r”和“s”表示。简言之,“宽松”允许部分匹配(例如给定网域的子域),而“严格”要求完全匹配。

请务必为您输入的电子邮件地址添加可选的“rua”标记,以便接收每日报告。

逐步部署

有关逐步加强 DMARC 的使用的建议

我们强烈建议您按照以下操作顺序应用政策,从而逐步加强 DMARC 的使用。首先,监控您的流量,并查找报告中的异常之处,例如仍没有签名或可能经过伪装的邮件。在您对结果感 到满意之后,将 TXT 记录策略设置从“无”改为“隔离”。然后,再次查看结果,这次要检查垃圾邮件的捕获情况及每日 DMARC 报告。最后,在确信您的所有邮件都已签名之后,将策略设置改为“拒绝”,以充分利用 DMARC。重新查看报告,以确保结果如您所愿。

类似地,可选的 pct 标记也可以用来对 DMARC 进行分步部署和采样。因为默认值为 100%,所以,如果在 DMARC TXT 记录中采用“pct=20”,则系统只对所有受该策略影响的邮件中的五分之一(而不是全部)真正执行此操作。在您选择隔离和拒绝邮件时,此设置非常有用。您一开始可以采用较低的百分比,之后每隔几天逐步提升比例。

保守的部署周期大致如下:

  1. 全部监控。
  2. 隔离 1%。
  3. 隔离 5%。
  4. 隔离 10%。
  5. 隔离 25%。
  6. 隔离 50%。
  7. 全部隔离。
  8. 拒绝 1%。
  9. 拒绝 5%。
  10. 拒绝 10%。
  11. 拒绝 25%。
  12. 拒绝 50%。
  13. 全部拒绝。

尝试尽快删除百分比,以完成整个部署。

同时也提醒您,要查看每日报告。

记录示例

以下是一些 DMARC TXT 记录示例 (_dmarc.your_domain.com IN TXT),您可以根据实际使用情况进行修改。当然,您需要将“your_domain.com”和“postmaster@your_domain.com”替换为您的实际域名和电子邮件地址。

不采取任何行动

在以下 TXT 记录中,如果有任何声称从 <您的网域>.com 发送的邮件未通过 DMARC 检查,系统不会采取任何行动,而是会在发送给 postmaster@<您的网域>.com 的每日汇总报告中显示所有这类邮件。

"v=DMARC1; p=none; rua=mailto:postmaster@your_domain.com"

隔离邮件

在以下 TXT 记录中,如果有任何声称从 <您的网域>.com 发送的邮件未通过 DMARC 检查,系统会按 5% 的比例隔离这类邮件,然后将每日汇总报告通过电子邮件发送到 postmaster@<您的网域>.com。

"v=DMARC1; p=quarantine; pct=5; rua=mailto:postmaster@your_domain.com"

拒绝邮件

在以下 TXT 记录中,如果有任何声称从 <您的网域>.com 发送的邮件未通过 DMARC 检查,系统会完全拒绝此类邮件,然后将每日汇总报告通过电子邮件发送到 postmaster@<您的网域>.com 和 dmarc@<您的网域>.com。

"v=DMARC1; p=reject; rua=mailto:postmaster@your_domain.com, mailto:dmarc@your_domain.com"

每日报告

每日报告采用 XML 格式。阅读每日报告有助于您更好地了解邮件递送情况,并确保外发电子邮件来源经过适当的身份验证。如果不同的 IP 地址发送声称来自您网域的邮件,请确保这些 IP 地址确实符合规范,并使用 DKIM 对其进行正确配置,或将其添加到相应的 SPF 范围内。如果出现新的电子邮件来源,或现有电子邮件来源的配置出现问题,这些报告还可以帮助您在政策遭到屏蔽的情况下快速采取行动。

报告示例

以下是一份报告的摘录,其中显示了从两个 IP 地址发送邮件的结果,一封邮件为直接发送,另一封为转发。两封邮件均成功通过检查:


<record>
 <row>
 <source_ip>207.126.144.129</source_ip>
 <count>1</count>
 <policy_evaluated>
 <disposition>none</disposition>
 </policy_evaluated>
 </row>
 <identities>
 <header_from>stefanomail.com</header_from>
 </identities>
 <auth_results>
 <dkim>
 <domain>stefanomail.com</domain>
 <result>pass</result>
 <human_result></human_result>
 </dkim>
 <spf>
 <domain>stefanomail.com</domain>
 <result>pass</result>
 </spf>
 </auth_results>
 </record>
 <record>
 <row>
 <source_ip>207.126.144.131</source_ip>
 <count>1</count>
 <policy_evaluated>
 <disposition>none</disposition>
 <reason>
 <type>forwarded</type>
 <comment></comment>
 </reason>
 </policy_evaluated>
 </row>
 <identities>
 <header_from>stefanomail.com</header_from>
 </identities>
 <auth_results>
 <dkim>
 <domain>stefanomail.com</domain>
 <result>pass</result>
 <human_result></human_result>
 </dkim>
 <spf>
 <domain>stefanomail.com</domain>
 <result>pass</result>
 </spf>
 </auth_results>
 </record>
本文是否对您有帮助?
您有什么改进建议?
登录您的帐户

使用您的 G Suite 帐户电子邮件地址登录,以获取针对帐户的帮助,或了解如何开始使用 G Suite