設定 DMARC

Gmail 使用者：如果您在 Gmail 中收到垃圾郵件或網路釣魚郵件，請改為前往這裡。如果您在 Gmail 中遇到收發電子郵件的問題，請按這裡。

管理員設定 SPF 和 DKIM 後，即可設定網域型郵件驗證、報告與一致性 (DMARC) 通訊協定。這麼一來，假如收件伺服器收到未通過 SPF 或 DKIM 驗證檢查的郵件，您便可運用 DMARC，指示伺服器應如何處理這類郵件。此外，您也可以取得報表，找出網域寄出的郵件中，是否有潛在的驗證問題與惡意活動。

What is DMARC?

DMARC 可協助使用者防範偽造的電子郵件，
並讓您管理未通過 SPF 或 DKIM 驗證的郵件。

步驟 1：開啟 SPF 和 DKIM

您必須先開啟網域的 SPF 和 DKIM，才能使用 DMARC。如果您尚未設定 SPF 和 DKIM，請參閱「協助防範假冒郵件、網路釣魚郵件和垃圾郵件」。

各網域的 SPF、DKIM 和 DMARC 套用設定都是獨立的，因此，如果您同時管理多個網域，就必須分別為每個網域啟用 SPF、DKIM 和 DMARC。

重要事項：

如果您不先設定 SPF 和 DKIM 就啟用 DMARC，您網域寄出的郵件可能會發生傳送問題。
設定 SPF 和 DKIM 後，請等候 48 小時再設定 DMARC。

步驟 2：檢查是否已設定 DMARC

如果您使用 Google Workspace，請用 Google Admin Toolbox 檢查是否已設定 DMARC。如果使用其他平台，請按照網域供應商網站的步驟確認。

使用 Google Admin Toolbox 檢查：

前往 Google Admin Toolbox。
前往「檢查 DNS 問題」部分點選 [Check MX]。
在 [網域名稱] 欄位中輸入您的網域名稱，然後按一下 [執行檢查！]。
檢查結果會指出您的網域是否已有 DMARC 記錄：
- 尚未設定 DMARC - 您的網域還沒有 DMARC 記錄。
- DMARC 格式設定政策 - 您的網域已有 DMARC 記錄。

前往網域供應商網站確認：

登入網域供應商提供的管理控制台。
前往用於更新網域 DNS TXT 記錄的頁面。
如果您有 DMARC 記錄的話，在 _dmarc.example.com 子網域 (其中 example 是您的網域名稱) 下方，會顯示以 v=DMARC 開頭的 TXT 記錄項目。

根據結果繼續操作：

如果已設定 DMARC，請檢閱 DMARC 報表，確保 DMARC 能有效驗證郵件，且郵件能正常傳送。
如果尚未設定 DMARC，請繼續按照下文說明，設定用來接收報表的群組或信箱。

步驟 3：設定用來接收報表的群組或信箱

您會從電子郵件收到多少 DMARC 報表並不一定，具體要看有多少郵件從您的網域寄出，以及收到您郵件的網域數量。所以您可能每天會收到很多份報表。大型機構一天可能收到幾百甚至上千份報表。

DMARC 報表會顯示從您網域寄出郵件中，有哪些通過了 SPF 和 DKIM 驗證，以及是否有任何郵件經常驗證失敗。您也可以利用報表查看有哪些人從您的網域寄出郵件，並留意可能的垃圾訊息散布者。在部署階段，監控 DMARC 報表特別有用。詳情請參閱「DMARC 部署建議」。

因此，Google 建議您建立專門接收/管理 DMARC 報表的群組或信箱。

重要事項：接收報表的電子郵件地址通常會與代管 DMARC 記錄的網域相同。如果電子郵件地址使用其他網域，則必須在該網域中新增 DNS 記錄。詳情請參閱「DMARC 報表」頁面中的「將報表傳送至位在其他網域的電子郵件地址」。

步驟 4：確保所有第三方服務都已通過驗證

如果貴機構採用第三方服務傳送郵件，請確保第三方服務寄送的郵件皆已通過 SPF 和 DKIM 驗證：

與您的第三方供應商聯絡，確認已正確設定 DKIM。
確保供應商的寄件者地址網域與您的網域相同，方法是將供應商寄件伺服器的 IP 位址新增到您網域的 SPF 記錄中。
您可以使用 SMTP 轉發服務設定，透過 Google 轉送供應商的外寄郵件。

步驟 5：備妥 DMARC 記錄

您的 DMARC 政策是由名為「DMARC 記錄」的一行文字值所定義。該記錄定義了以下內容：

DMARC 執行郵件檢查的嚴格程度
當收件伺服器收到未通過驗證檢查的郵件時，建議採取何種行動

DMARC 政策記錄示例 (請將 example.com 替換為您的網域)：

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

開頭必須是 v 和 p 標記，其他標記則不限次序。

如果您剛開始使用 DMARC，建議將政策選項 (p) 設為 none。等您瞭解收件伺服器如何驗證來自您網域的郵件後，再更新政策，您可以逐步將接收方政策變更為 quarantine (or reject)。詳情請參閱「DMARC 部署建議」。

DMARC 記錄標記的定義和值

標記	說明和值
v	(必要) DMARC 版本。必須為 DMARC1。
p	(必要) 指示收件伺服器如何處理未通過驗證的郵件。 none：不對郵件採取任何處置，並將郵件傳送給指定的收件者。這會將郵件記錄在每日報告中，而該報告將傳送到記錄中使用 rua 選項指定的電子郵件地址。 quarantine—：將郵件標示為垃圾郵件，並傳送至收件者的垃圾郵件資料夾。收件者可以檢查是否有正常郵件被誤當成垃圾郵件。 reject—：拒絕郵件。指定這個值時，收件伺服器通常會傳送退件通知至寄件伺服器。 BIMI 注意事項：如果所屬網域採用 BIMI，DMARC 的 p 選項必須設為 quarantine 或 reject。如果將 p 選項設為 none，BIMI 就不支援 DMARC 政策。
pct	pct 標記為選用項目，但 Google 建議您在導入 DMARC 時將這個標記納入 DMARC 記錄，以便管理套用 DMARC 政策的電子郵件百分比。指定須依 DMARC 政策處理的未經驗證郵件比例。您在逐步部署 DMARC 時，可能會先從少量郵件開始。如果有越來越多通過收件伺服器驗證的郵件從您的網域寄出，這時就可以逐步調高記錄中的比例，直到達到百分之百。這個值必須是介於 1 至 100 之間的整數。如果不在記錄中使用這個標記，DMARC 政策就會適用於來自您網域的所有郵件。 BIMI 注意事項：如果所屬網域採用 BIMI，DMARC 政策的 pct 值必須設為 100，BIMI 不支援 pct 值低於 100 的 DMARC 政策。
rua	rua 標記為選用項目，但 Google 建議您一律在 DMARC 記錄中加入這個標記。請將 DMARC 報表傳送到一個電子郵件地址，電子郵件地址必須包含 mailto:。例如：mailto:dmarc-reports@example.com (請將 example.com 替換為您的網域)。如要將 DMARC 報表傳送到多個電子郵件地址，請以半形逗號分隔每個電子郵件地址，並在每個地址前加上 mailto: 前置字元。例如：mailto:dmarc-reports@example.com、mailto:dmarc-admin@example.com (請將 example.com 替換為您的網域)。使用這個標記可能導致系統傳送大量報表電子郵件。我們不建議您使用自己的電子郵件地址，請考慮指定專門處理 DMARC 報表的信箱、群組或第三方服務。如果要將 DMARC 報表傳送到的電子郵件地址，其所在網域與代管 DMARC 記錄的網域不同，請在電子郵件網域的 DNS 中新增 TXT 記錄。詳情請參閱「DMARC 報表」頁面中的「將報表傳送至位在其他網域的電子郵件地址」。
ruf	(不支援) Gmail 不支援用於傳送失敗報表的 ruf 標記。失敗報表又名鑑識報表。
sp	(選用) 為來自主網域底下子網域的郵件設定政策。如果您想為子網域設定不同的 DMARC 政策，請使用這個標記。 none—Take no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy. quarantine—：將郵件標示為垃圾郵件，並傳送至收件者的垃圾郵件資料夾。收件者可以檢查是否有正常郵件被誤當成垃圾郵件。 reject—：拒絕郵件。指定這個值時，收件伺服器應會傳送退件通知至寄件伺服器。如果不在記錄中使用這個標記，子網域就會沿用為上層網域設定的 DMARC 政策。
adkim	(選用) 設定 DKIM 校驗政策，定義郵件資訊與 DKIM 簽名的相符程度。瞭解校驗方式 (本頁後續內容)。 s—：嚴格校驗。寄件者的網域名稱與 DKIM 郵件標頭中相應的「d=domainname」*domainname必須完全吻合。 r—Relaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain* in the DKIM mail headers is accepted.
aspf	(選用) 設定 SPF 校驗政策，定義郵件資訊與 SPF 簽名的相符程度。瞭解校驗方式 (本頁後續內容)。 s—：嚴格校驗。郵件的「From:」標頭與 SMTP MAIL FROM 指令中的網域名稱必須完全吻合。 r—寬鬆校驗 (預設)。允許只有部分比對吻合，可接受網域名稱之下的任何有效子網域。

DMARC 校驗程序

DMARC 會根據「寄件者：」標頭網域與 SPF/DKIM 所指定寄件網域的相似程度，決定是否讓郵件通過檢查。這就是所謂的「校驗」程序。

我們提供「嚴格」與「寬鬆」這兩種校驗模式供您選擇。您需使用 aspf 和 adkim DMARC 記錄標記，在 DMARC 記錄中設定 SPF 和 DKIM 的校驗模式。

驗證方式	嚴格校驗	寬鬆校驗
SPF	將寄件者地址 (也稱為回覆路徑或退信地址) 中的網域，與標頭「寄件者：」地址中的網域進行完全比對。	標頭「寄件者：」地址中的網域必須與寄件者地址 (也稱為回覆路徑或退信地址) 中的網域相符，或為後者的子網域。
DKIM	將相關 DKIM 網域與標頭「寄件者：」地址中的網域進行完全比對。

在下列特定情況中，Google 會建議您改用嚴格校驗模式，提高對假冒攻擊的防禦力：

由不受您控制的子網域為您的網域寄出郵件。
您有受到其他實體管理的子網域。

重要須知：寬鬆校驗通常足以抵禦假冒攻擊。如果採用嚴格校驗，來自關聯子網域的郵件可能會遭拒或歸類為垃圾郵件。

DMARC 檢查的最低通過門檻是至少通過下列其中一項檢查：

SPF 驗證和 SPF 校驗
DKIM 驗證和 DKIM 校驗

郵件如果未能通過下列任一校驗，也將不能通過 DMARC 檢查：

SPF (或 SPF 校驗)
DKIM (或 DKIM 校驗)

步驟 6：新增 DMARC 記錄

備妥 DMARC 記錄文字後，接下來就要前往網域供應商的網站新增或更新 DMARC DNS TXT 記錄。每次變更 DMARC 政策及更新記錄後，您也必須到網域供應商的網站更新 DMARC TXT 記錄。

新增或更新記錄

重要事項：請務必先設定 DKIM 和 SPF，再設定 DMARC。請等 DKIM 和 SPF 開始驗證郵件至少 48 小時之後，再啟用 DMARC。

備妥 DMARC 記錄的文字檔或文字行。
登入網域代管商服務 (通常是您購買網域的公司)。如果不確定自己的網域代管商是哪家公司，請參閱「找出網域註冊商」一文。
前往用於更新網域 DNS TXT 記錄的頁面。如要瞭解如何找到這個頁面，請參閱網域的說明文件。

新增或更新 TXT 記錄，並加入以下資訊 (請參閱網域的說明文件)：

欄位名稱	應輸入的值
Type	記錄類型為 TXT。
Host (Name, Hostname, Alias)	這個值應為 _dmarc.example.com (請將 example.com 替換為您的網域名稱)。
Value	這是組成 TXT 記錄的字串，例如：v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s。詳情請參閱前面提到的「備妥 DMARC 記錄」。

注意：部分網域代管商會自動加上網域名稱。新增或更新 TXT 記錄後，請驗證 DMARC 記錄中的網域名稱，確保格式正確無誤。

儲存變更。
如要為多個網域設定 DMARC，請為每個網域完成下列步驟。各網域可以有不同的政策和報表選項 (由記錄定義)。

步驟 7：驗證 DMARC 記錄

重要事項：下列步驟中使用的網域僅為示例。請將這些示例網域替換為您自己的網域。

部分網域代管商會自動將您的網域名稱加到 TXT 記錄名稱的結尾。這會導致 DMARC TXT 記錄名稱的格式出現錯誤。舉例來說，如果您輸入 _dmarc.example.com，而網域代管商自動加入您的網域名稱，TXT 記錄名稱就會以錯誤格式顯示為 _dmarc.example.com.example.com。

按照新增或更新記錄部分中的步驟新增 DMARC TXT 記錄後，請確認 TXT 記錄名稱的格式正確無誤。

您可以使用 Google Admin Toolbox 中的 Dig 功能，查看及驗證 DMARC TXT 記錄：

前往 Google Admin Toolbox，然後選取 [Dig] 功能。
在 [名稱] 欄位中輸入 _dmarc.，後面加上您的完整網域名稱。舉例來說，假如您的網域名稱是 example.com，請輸入 _dmarc.example.com。
按一下 [名稱] 欄位下方的 [TXT]。
在搜尋結果中驗證 DMARC TXT 記錄名稱。找出開頭為 _dmarc 的文字行。

這對您有幫助嗎？

我們應如何改進呢？