Konfigurera DMARC

DMARC informerar mottagande e-postservrar om vad som ska ske med meddelanden från dig som inte godkänns i SPF- eller DKIM-autentisering. Åtgärdsalternativen är att avvisa, karantänplacera eller leverera meddelandet. Du kan även få rapporter som hjälper dig att identifiera möjliga autentiseringsproblem och skadlig aktivitet för meddelanden som skickas från din domän. Konfigurera DMARC genom att lägga till en DMARC DNS TXT-post (DMARC-post) på domänen.

En DMARC-post är en textrad som du lägger till på domänen enligt domänleverantörens anvisningar. Här är ett exempel på en DMARC-post:

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

När mottagande servrar får e-postmeddelanden från din domän som inte godkänns i SPF eller DKIM kontrollerar de din DMARC-post för att avgöra vilken åtgärd som ska vidtas för meddelandena: avvisa, karantänplacera eller leverera normalt.

What is DMARC?

Med DMARC kan du skydda användarna mot förfalskade e-postmeddelanden
och hantera meddelanden som inte godkänns i SPF eller DKIM.

På den här sidan

Innan du börjar

  • Du måste aktivera SPF och/eller DKIM för domänen innan du kan använda DMARC. Om du inte har konfigurerat SPF och/eller DKIM kan du läsa Bidra till att förhindra identitetsförfalskning, nätfiske och skräppost.
    • Om du inte konfigurerar SPF och/eller DKIM innan du aktiverar DMARC får du sannolikt leveransproblem med meddelanden som skickas från din domän.
    • Vänta 48 timmar efter att du konfigurerat SPF och DKIM innan du konfigurerar DMARC.
  • Du kan kontrollera om DMARC redan har konfigurerats för domänen med ett av de många kostnadsfria verktygen som finns på internet. Om DMARC redan har konfigurerats bör du granska DMARC-rapporterna för att kontrollera att DMARC autentiserar meddelanden på ett effektivt sätt och att de levereras som förväntat.
  • Du behöver inte göra något i Googles administratörskonsol för att konfigurera DMARC. I stället ska du fastställa DMARC-posten genom att följa anvisningarna på den här sidan. Logga sedan in på domänvärden och lägg till DMARC-posten enligt domänvärdens DMARC-anvisningar.

Steg 1: Konfigurera en grupp eller postlåda för rapporter

Antalet DMARC-rapporter som du får via e-post kan variera och beror på hur mycket e-post din domän skickar och hur många domäner du skickar till. Du kan få många rapporter varje dag. Stora organisationer kan få upp till hundratals eller tusentals rapporter varje dag. Google rekommenderar att du skapar en grupp eller en dedikerad postlåda för att ta emot och hantera DMARC-rapporter.

Viktigt! Vanligtvis finns e-postadressen för rapporter på samma domän som domänen som är värd för DMARC-posten. Om e-postadressen har en annan domän måste du lägga till en DNS-post på den andra domänen. Mer information finns i Skicka rapporter till en e-postadress på en annan domän på sidan DMARC-rapporter.

Steg 2: Kontrollera att e-post från tredje part är autentiserad

Om du använder en tjänst från tredje part för att skicka e-post för organisationen måste du se till att meddelanden som skickas av tjänster från tredje part autentiseras och godkänns i SPF- och DKIM-kontroller:

  • Kontakta din externa leverantör och se till att SPF och DKIM är korrekt konfigurerade.
  • Kontrollera att leverantörens kuvertavsändardomän matchar din domän. Lägg till IP-adressen för leverantörens avsändande e-postservrar i SPF-posten för domänen.
  • Dirigera utgående e-post från leverantören via Google med inställningen för SMTP-relätjänst.

Steg 3: Avgör din DMARC-post

DMARC-policyn definieras i en rad med textvärden som kallas DMARC-post. Posten definierar:

  • Hur strikt DMARC ska kontrollera meddelanden
  • Rekommenderade åtgärder för den mottagande servern när den får meddelanden som underkänns i autentiseringskontroller

Exempel på en DMARC-post (ersätt example.com med din domän):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s.

Taggarna v och p måste anges först. Andra taggar kan vara i valfri ordning:

När du börjar använda DMARC rekommenderar vi att du ställer in policyalternativet (p) på none. När du får kännedom om hur meddelanden från din domän autentiseras av mottagande servrar uppdaterar du policyn. Över tid ändrar du mottagarpolicyn till quarantine (or reject). Mer information finns i Rekommenderad DMARC-lansering.

Definitioner och värden för DMARC-posttaggar

Tagg Beskrivning och värden
v

(Obligatoriskt) DMARC-version. Måste vara DMARC1.
p (Obligatoriskt) Anger för den mottagande e-postservern vad som ska göras med meddelanden som inte godkänns i autentisering.
  • none – Vidta inga åtgärder för meddelandet och leverera det till den avsedda mottagaren. Logga meddelanden i en daglig rapport. Rapporten skickas till den e-postadress som har angetts med alternativet rua i posten.
  • quarantine—Markera meddelandena som skräppost och skicka dem till mottagarens skräppostmapp. Mottagarna kan kontrollera skräpposten och identifiera legitima meddelanden.
  • reject—Avvisa meddelandet. Med det här alternativet skickar den mottagande servern vanligtvis ett avvisningsmeddelande till den avsändande servern.

Tänk på följande om BIMI: Om din domän använder BIMI måste DMARC-alternativet p vara inställt på quarantine (karantän) eller reject (avvisa). BIMI har inte stöd för DMARC-policyer när alternativ p är inställt på none (inget).
pct

Taggen pct är valfri, men Google rekommenderar att du inkluderar den i DMARC-posten när du lanserar DMARC så att du kan hantera procentandelen e-post som DMARC-policyn gäller för.

Anger procentandelen av oautentiserade meddelanden som omfattas av DMARC-policyn. När du gradvis implementerar DMARC kan du börja med en liten procentandel av dina meddelanden. I takt med att fler meddelanden från domänen godkänns i autentiseringen med mottagande servrar uppdaterar du posten med en högre procentandel tills du når 100 procent.

Måste vara ett heltal från 1 till 100. Om du inte använder det här alternativet i posten tillämpas DMARC-policyn på 100 % av meddelanden som skickas från din domän.

Tänk på följande om BIMI: Om din domän använder BIMI måste DMARC-policyn ha ett pct-värde på 100. BIMI har inte stöd för DMARC-policyer med pct-värdet inställt på mindre än 100.
rua

rua-taggen är valfri, men Google rekommenderar att du alltid inkluderar den i DMARC-posten.

Skicka DMARC-rapporter till en e-postadress. E-postadressen måste innehålla mailto:.
Exempel: mailto:dmarc-reports@example.com (ersätt example.com med din domän).

  • Om du vill skicka DMARC-rapporter till flera e-postadresser avgränsar du varje e-postadress med ett kommatecken och lägger till prefixet mailto: före varje adress. Exempel: mailto:dmarc-reports@exempel.com, mailto:dmarc-admin@example.com (ersätt example.com med din domän).
  • Det här alternativet kan leda till ett stort antal e-postmeddelanden med rapporter. Vi rekommenderar inte att du använder din egen e-postadress. Använd en dedikerad postlåda, en grupp eller en extern tjänst som är specialiserad på DMARC-rapporter.
  • Om du vill skicka DMARC-rapporter till en e-postadress som finns på en annan domän än domänen som är värd för DMARC-posten lägger du till en TXT-post i e-postdomänens DNS. Mer information finns i Skicka rapporter till en e-postadress på en annan domän på sidan DMARC-rapporter.
ruf

(Stöds inte) Gmail har inte stöd för ruf-taggen som används för att skicka felrapporter. Felrapporter kallas även forensiska rapporter.
sp (Valfritt) Konfigurerar policyn för meddelanden från underdomäner på din primära domän. Använd det här alternativet om du vill ha en annan DMARC-policy för dina underdomäner.
  • noneTake no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.
  • quarantineMarkera meddelandena som skräppost och skicka dem till mottagarens skräppostmapp. Mottagarna kan kontrollera skräpposten och identifiera legitima meddelanden.
  • rejectAvvisa meddelandet. Med det här alternativet skickar den mottagande servern ett studsmeddelande till den avsändande servern

Om du inte använder det här alternativet i posten ärver underdomäner den DMARC-policy som angetts för den överordnade domänen.
adkim (Valfritt) Konfigurerar justeringspolicyn för DKIM, som definierar hur strikt meddelandeinformation måste matcha DKIM-signaturer. Läs mer om hur justering fungerar (senare på den här sidan).
  • sStrikt justering. Avsändarens domännamn måste exakt matcha motsvarande d=domainname i e-postens DKIM-huvud.
  • rRelaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf (Valfritt) Konfigurerar justeringspolicyn för SPF, som anger hur strikt meddelandeinformation måste matcha SPF-signaturer. Läs mer om hur justering fungerar (senare på den här sidan).
  • sStrikt justering. Meddelandets from:-huvud måste exakt matcha domain.name i kommandot SMTP MAIL FROM.
  • rMindre strikt justering (standard). Tillåter partiella matchningar. Alla giltiga underdomäner av domännamnet godkänns.

DMARC-anpassning

DMARC godkänner eller avvisar ett meddelande baserat på hur nära domänen i Från:-rubriken matchar den avsändande domän som anges av SPF eller DKIM. Detta kallas anpassning.

Du kan välja mellan två anpassningslägen: strikt och mindre strikt. Du ställer in anpassningsläget för SPF och DKIM i DMARC-posten med DMARC-posttaggarna aspf och adkim.

Autentiseringsmetod Strikt anpassning Mindre strikt anpassning
SPF En exakt matchning mellan domänen i adressen för kuvertavsändare (kallas även retursökväg eller avvisningsadress) och domänen i Från-rubrikadressen. Domänen i Från-rubrikadressen måste matcha eller vara en underdomän till domänen i adressen för kuvertavsändare (kallas även Return-Path eller avvisningsadress).
DKIM En exakt matchning mellan den relevanta DKIM-domänen och domänen i Från-huvudadressen. Domänen i Från-rubrikadressen måste matcha eller vara en underdomän till domänen som anges i DKIM-signaturens d=-tagg.

I vissa fall rekommenderar Google att du överväger att ändra till strikt anpassning för ökat skydd mot identitetsförfalskning:

  • E-post som skickas till din domän kommer från en underdomän utanför din kontroll.
  • Du har underdomäner som hanteras av en annan enhet.
Viktigt! En mindre strikt anpassning ger vanligen tillräckligt skydd mot identitetsförfalskning. Strikt anpassning kan leda till att meddelanden från kopplade underdomäner kan avvisas eller skickas till skräpposten.

För att godkännas i DMARC måste ett meddelande godkännas i minst en av dessa kontroller:

  • SPF-autentisering och SPF-anpassning 
  • DKIM-autentisering och DKIM-anpassning

Ett meddelande godkänns inte i DMARC-kontrollen om det underkänns i både:

  • SPF (eller SPF-anpassning)
  • DKIM (eller DKIM-anpassning)

Steg 4: Lägg till DMARC-posten på domänen

Viktigt! Använd domänvärdens hjälpdokumentation för DMARC för det här steget. Stegen för att lägga till en DMARC-post varierar beroende på domänvärden.

Lägga till eller uppdatera din post

Viktigt! Kontrollera att du har konfigurerat DKIM och SPF innan du konfigurerar DMARC. DKIM och SPF ska autentisera meddelanden i minst 48 timmar innan de aktiverar DMARC.

  1. Ha textfilen eller raden för DMARC-posten redo.
  2. Logga in på domänvärden, normalt där du köpte domännamnet. Om du inte är säker på vem din domänvärd är kan du läsa om hur du identifierar din domänregistrar.
  3. Öppna sidan där du uppdaterar DNS TXT-poster för domänen. Läs domänleverantörens dokumentation för hjälp med att hitta den här sidan.

  4. Lägg till eller uppdatera TXT-posten med den här informationen (se dokumentationen för domänen): 

    Fältnamn Värde att ange
    Typ Posttypen är TXT.
    Värd (namn, värdnamn, alias) Värdet ska vara _dmarc.example.com (ersätt example.com med ditt domännamn).
    Värde Strängen som utgör TXT-posten. Exempel: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s. Mer information finns i  Bestäm din DMARC-post (tidigare på den här sidan).
    Obs! Vissa domänvärdar lägger till domännamnet automatiskt. När du har lagt till eller uppdaterat TXT-posten verifierar du domännamnet i DMARC-posten så att det har rätt format.
  5. Spara ändringarna.
  6. Om du ställer in DMARC för fler än en domän utför du dessa steg för varje domän. Varje domän kan ha olika policyer och rapportalternativ (definieras i posten).
  7. Du kan verifiera att DMARC har konfigurerats för domänen med ett av de många kostnadsfria verktygen som finns på internet.

Relaterade ämnen


Google, Google Workspace och relaterade märken och logotyper är varumärken som tillhör Google LLC. Alla andra företags- och produktnamn är varumärken som tillhör de företag som de är kopplade till.

Var det här till hjälp?

Hur kan vi förbättra den?

Behöver du mer hjälp?

Testa detta härnäst:

Gör ett inlägg i hjälpforumet Få svar från communityn
Kontakta oss Berätta mer så hjälper vi dig
true
Testa kostnadsfritt i 14 dagar

E-post för arbetet, onlinelagring, delade kalendrar, videomöten med mera. Påbörja din kostnadsfria provperiod på G Suite i dag.

Sök
Rensa sökning
Stäng sökrutan
Googles appar
Huvudmeny
16972168957843899469
true
Sök i hjälpcentret
true
true
true
true
true
73010
false
false
false
false