Konfigurera DMARC

Gmail-användare: Om du får skräppost eller nätfiskemeddelanden i Gmail går du hit i stället. Om du har problem med att skicka eller ta emot e-post i Gmail besöker du den här sidan i stället.

När du som administratör har konfigurerat SPF och DKIM kan du konfigurera DMARC (Domain-based Message Authentication, Reporting, and Conformance). Med DMARC kan du informera mottagande e-postservrar om vad som ska hända när de får ett meddelande som inte godkänns i SPF- eller DKIM-autentiseringskontrollerna. Du kan även få rapporter som hjälper dig att identifiera möjliga autentiseringsproblem och skadlig aktivitet för meddelanden som skickas från din domän.

What is DMARC?

Med DMARC kan du skydda användarna mot förfalskade e-postmeddelanden
och hantera meddelanden som inte godkänns i SPF eller DKIM.

På den här sidan

Steg 1: Aktivera SPF och DKIM

Innan du kan använda DMARC måste du aktivera SPF och DKIM för domänen. Om du inte har konfigurerat SPF och DKIM kan du läsa Bidra till att förhindra identitetsförfalskning, nätfiske och skräppost.

SPF, DKIM och DMARC tillämpas per domän. Om du hanterar fler än en domän måste du aktivera SPF, DKIM och DMARC separat för varje domän.

Obs!

  • Om du inte konfigurerar SPF och DKIM innan du aktiverar DMARC får dusannolikt leveransproblem med meddelanden som skickas från din domän.
  • Vänta 48 timmar efter att du konfigurerat SPF och DKIM innan du konfigurerar DMARC.

Steg 2: Kontrollera om DMARC redan har konfigurerats

Om du använder Google Workspace kan du använda Google Admin Toolbox för att kontrollera om DMARC har konfigurerats. Följ anvisningarna för att kontrollera detta hos domänleverantören.

Kontrollera med Google Admin Toolbox:

  1. Öppna Googles administratörskonsol.
  2. Öppna Verifiera DNS-problemföljt avKontrollera MX.
  3. Ange ditt domännamn i fältet Domännamn och klicka sedan på KÖR KONTROLLER!
  4. Resultaten visar om domänen har en DMARC-post:
    • DMARC har inte konfigurerats – domänen har ingen DMARC-post ännu.
    • Formatering av DMARC-policyer – domänen har en befintlig DMARC-post.

Kontrollera hos domänleverantören:

  1. Logga in på hanteringskonsolen för domänleverantören.
  2. Öppna sidan där du uppdaterar domänens DNS TXT-poster.
  3. Om du har en DMARC-post visas en TXT-post som börjar med v=DMARC under underdomänen _dmarc.exempel.com (där exempel är ditt domännamn).

Fortsätt utifrån resultaten:

  • Om DMARC redan har konfigurerats bör du granska DMARC-rapporterna för att se till att DMARC autentiserar meddelanden på ett effektivt sätt och att de levereras som förväntat.
  • Om DMARC inte har konfigurerats fortsätter du till Konfigurera en grupp eller postlåda för rapporter (på den här sidan).

Steg 3: Konfigurera en grupp eller postlåda för rapporter

Antalet DMARC-rapporter som du får via e-post kan variera och beror på hur mycket e-post din domän skickar och hur många domäner du skickar till. Du kan få många rapporter varje dag. Stora organisationer kan få upp till hundratals eller tusentals rapporter varje dag.

DMARC-rapporter visar vilka meddelanden från din domän som autentiseras av SPF och DKIM och om några meddelanden regelbundet underkänns i autentiseringen. Du kan även använda rapporter för att granska vem som skickar e-post för din domän och få varningar om potentiella spammare. Det är särskilt användbart att bevaka DMARC-rapporter under lanseringsfasen. Mer information finns i Rekommenderad DMARC-lansering.

Google rekommenderar att du skapar en grupp eller en särskild postlåda för att ta emot och hantera DMARC-rapporter.

Viktigt! Vanligtvis finns e-postadressen för rapporter på samma domän som domänen som är värd för DMARC-posten. Om e-postadressen har en annan domän måste du lägga till en DNS-post på den andra domänen. Mer information finns i Skicka rapporter till en e-postadress på en annan domän på sidan DMARC-rapporter.

Steg 4: Kontrollera att tjänster från tredje part är autentiserade

Om du använder en tjänst från tredje part för att skicka e-post för organisationen måste du se till att meddelanden som skickas av tjänster från tredje part autentiseras och godkänns i SPF- och DKIM-kontroller:

  • Kontakta din externa leverantör och se till att DKIM är korrekt konfigurerat.
  • Kontrollera att leverantörens kuvertavsändardomän matchar din domän. Lägg till IP-adressen för leverantörens avsändande e-postservrar i SPF-posten för domänen.
  • Dirigera utgående e-post från leverantören via Google med inställningen för SMTP-relätjänst.

Steg 5: Förbered DMARC-posten

DMARC-policyn definieras i en rad med textvärden som kallas DMARC-post. Posten definierar:

  • Hur strikt DMARC ska kontrollera meddelanden
  • Rekommenderade åtgärder för den mottagande servern när den får meddelanden som underkänns i autentiseringskontroller

Exempel på en DMARC-policypost (ersätt example.com med din domän):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s.

Taggarna v och p måste anges först. Andra taggar kan vara i valfri ordning:

När du börjar använda DMARC rekommenderar vi att du ställer in policyalternativet (p) på none. När du får kännedom om hur meddelanden från din domän autentiseras av mottagande servrar uppdaterar du policyn. Över tid ändrar du mottagarpolicyn till quarantine (or reject). Mer information finns i Rekommenderad DMARC-lansering.

Definitioner och värden för DMARC-posttaggar

Tagg Beskrivning och värden
v

(Obligatoriskt) DMARC-version. Måste vara DMARC1.
p (Obligatoriskt) Anger för den mottagande e-postservern vad som ska göras med meddelanden som inte godkänns i autentisering.
  • none – Vidta inga åtgärder för meddelandet och leverera det till den avsedda mottagaren. Logga meddelanden i en daglig rapport. Rapporten skickas till den e-postadress som har angetts med alternativet rua i posten.
  • quarantine—Markera meddelandena som skräppost och skicka dem till mottagarens skräppostmapp. Mottagarna kan kontrollera skräpposten och identifiera legitima meddelanden.
  • reject—Avvisa meddelandet. Med det här alternativet skickar den mottagande servern vanligtvis ett avvisningsmeddelande till den avsändande servern.

Tänk på följande om BIMI: Om din domän använder BIMI måste DMARC-alternativet p vara inställt på quarantine (karantän) eller reject (avvisa). BIMI har inte stöd för DMARC-policyer när alternativ p är inställt på none (inget).
pct

Taggen pct är valfri, men Google rekommenderar att du inkluderar den i DMARC-posten när du lanserar DMARC så att du kan hantera procentandelen e-post som DMARC-policyn gäller för.

Anger procentandelen av oautentiserade meddelanden som omfattas av DMARC-policyn. När du gradvis implementerar DMARC kan du börja med en liten procentandel av dina meddelanden. I takt med att fler meddelanden från domänen godkänns i autentiseringen med mottagande servrar uppdaterar du posten med en högre procentandel tills du når 100 procent.

Måste vara ett heltal från 1 till 100. Om du inte använder det här alternativet i posten tillämpas DMARC-policyn på 100 % av meddelanden som skickas från din domän.

Tänk på följande om BIMI: Om din domän använder BIMI måste DMARC-policyn ha ett pct-värde på 100. BIMI har inte stöd för DMARC-policyer med pct-värdet inställt på mindre än 100.
rua

rua-taggen är valfri, men Google rekommenderar att du alltid inkluderar den i DMARC-posten.

Skicka DMARC-rapporter till en e-postadress. E-postadressen måste innehålla mailto:.
Exempel: mailto:dmarc-reports@example.com (ersätt example.com med din domän).

  • Om du vill skicka DMARC-rapporter till flera e-postadresser avgränsar du varje e-postadress med ett kommatecken och lägger till prefixet mailto: före varje adress. Exempel: mailto:dmarc-reports@exempel.com, mailto:dmarc-admin@example.com (ersätt example.com med din domän).
  • Det här alternativet kan leda till ett stort antal e-postmeddelanden med rapporter. Vi rekommenderar inte att du använder din egen e-postadress. Använd en dedikerad postlåda, en grupp eller en extern tjänst som är specialiserad på DMARC-rapporter.
  • Om du vill skicka DMARC-rapporter till en e-postadress som finns på en annan domän än domänen som är värd för DMARC-posten lägger du till en TXT-post i e-postdomänens DNS. Mer information finns i Skicka rapporter till en e-postadress på en annan domän på sidan DMARC-rapporter.
ruf

(Stöds inte) Gmail har inte stöd för ruf-taggen som används för att skicka felrapporter. Felrapporter kallas även forensiska rapporter.
sp (Valfritt) Konfigurerar policyn för meddelanden från underdomäner på din primära domän. Använd det här alternativet om du vill ha en annan DMARC-policy för dina underdomäner.
  • noneTake no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.
  • quarantineMarkera meddelandena som skräppost och skicka dem till mottagarens skräppostmapp. Mottagarna kan kontrollera skräpposten och identifiera legitima meddelanden.
  • rejectAvvisa meddelandet. Med det här alternativet skickar den mottagande servern ett studsmeddelande till den avsändande servern

Om du inte använder det här alternativet i posten ärver underdomäner den DMARC-policy som angetts för den överordnade domänen.
adkim (Valfritt) Konfigurerar justeringspolicyn för DKIM, som definierar hur strikt meddelandeinformation måste matcha DKIM-signaturer. Läs mer om hur justering fungerar (senare på den här sidan).
  • sStrikt justering. Avsändarens domännamn måste exakt matcha motsvarande d=domainname i e-postens DKIM-huvud.
  • rRelaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf (Valfritt) Konfigurerar justeringspolicyn för SPF, som anger hur strikt meddelandeinformation måste matcha SPF-signaturer. Läs mer om hur justering fungerar (senare på den här sidan).
  • sStrikt justering. Meddelandets from:-huvud måste exakt matcha domain.name i kommandot SMTP MAIL FROM.
  • rMindre strikt justering (standard). Tillåter partiella matchningar. Alla giltiga underdomäner av domännamnet godkänns.

DMARC-anpassning

DMARC godkänner eller avvisar ett meddelande baserat på hur nära domänen i Från:-rubriken matchar den avsändande domän som anges av SPF eller DKIM. Detta kallas anpassning.

Du kan välja mellan två anpassningslägen: strikt och mindre strikt. Du ställer in anpassningsläget för SPF och DKIM i DMARC-posten med DMARC-posttaggarna aspf och adkim.

Autentiseringsmetod Strikt anpassning Mindre strikt anpassning
SPF En exakt matchning mellan domänen i adressen för kuvertavsändare (kallas även retursökväg eller avvisningsadress) och domänen i Från-rubrikadressen. Domänen i Från-rubrikadressen måste matcha eller vara en underdomän till domänen i adressen för kuvertavsändare (kallas även Return-Path eller avvisningsadress).
DKIM En exakt matchning mellan den relevanta DKIM-domänen och domänen i Från-huvudadressen. Domänen i Från-rubrikadressen måste matcha eller vara en underdomän till domänen som anges i DKIM-signaturens d=-tagg.

I vissa fall rekommenderar Google att du överväger att ändra till strikt anpassning för ökat skydd mot identitetsförfalskning:

  • E-post som skickas till din domän kommer från en underdomän utanför din kontroll.
  • Du har underdomäner som hanteras av en annan enhet.
Viktigt! En mindre strikt anpassning ger vanligen tillräckligt skydd mot identitetsförfalskning. Strikt anpassning kan leda till att meddelanden från kopplade underdomäner kan avvisas eller skickas till skräpposten.

För att godkännas i DMARC måste ett meddelande godkännas i minst en av dessa kontroller:

  • SPF-autentisering och SPF-anpassning 
  • DKIM-autentisering och DKIM-anpassning

Ett meddelande godkänns inte i DMARC-kontrollen om det underkänns i både:

  • SPF (eller SPF-anpassning)
  • DKIM (eller DKIM-anpassning)

Steg 6: Lägg till din DMARC-post

När du har förberett texten för DMARC-posten lägger du till eller uppdaterar DMARC DNS TXT-posten hos domänleverantören. Varje gång du ändrar DMARC-policyn och uppdaterar posten måste du även uppdatera DMARC TXT-posten hos domänleverantören.

Lägga till eller uppdatera din post

Viktigt! Kontrollera att du har konfigurerat DKIM och SPF innan du konfigurerar DMARC. DKIM och SPF ska autentisera meddelanden i minst 48 timmar innan de aktiverar DMARC.

  1. Ha textfilen eller raden för DMARC-posten redo.
  2. Logga in på domänvärden, normalt där du köpte domännamnet. Om du inte är säker på vem din domänvärd är kan du läsa om hur du identifierar din domänregistrar.
  3. Öppna sidan där du uppdaterar DNS TXT-poster för domänen. Läs domänleverantörens dokumentation för hjälp med att hitta den här sidan.

  4. Lägg till eller uppdatera TXT-posten med den här informationen (se dokumentationen för domänen): 

    Fältnamn Värde att ange
    Typ Posttypen är TXT.
    Värd (namn, värdnamn, alias) Värdet ska vara _dmarc.example.com (ersätt example.com med ditt domännamn).
    Värde Strängen som utgör TXT-posten. Exempel: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s. Mer information finns i Förbered DMARC-posten (tidigare på den här sidan).
    Obs! Vissa domänvärdar lägger till domännamnet automatiskt. När du har lagt till eller uppdaterat TXT-posten verifierar du domännamnet i DMARC-posten så att det har rätt format.
  5. Spara ändringarna.
  6. Om du ställer in DMARC för fler än en domän utför du dessa steg för varje domän. Varje domän kan ha olika policyer och rapportalternativ (definieras i posten).

Steg 7: Verifiera DMARC-posten

Viktigt! Domänerna som används i stegen nedan är endast exempel. Ersätt dessa exempeldomäner med dina egna domäner.

Vissa domänvärdar lägger automatiskt till ditt domännamn i slutet av TXT-postens namn. Detta kan leda till att DMARC TXT-postens namn är felaktigt formaterat. Om du till exempel anger _dmarc.solarmora.com och domänvärden automatiskt lägger till ditt domännamn, formateras TXT-postens namn som _dmarc.solarmora.com.solarmora.com.

När du har lagt till DMARC TXT-posten enligt stegen i Lägga till eller uppdatera posten kontrollerar du TXT-postens namn för att verifiera att den är korrekt formaterad.

I Google Admin Toolbox kan du använda funktionen Dig för att se och verifiera DMARC TXT-posten:

  1. Öppna Google Admin Toolbox och välj funktionen Dig.
  2. I fältet Namn anger du _dmarc. följt av ditt fullständiga domännamn. Om domännamnet till exempel är example.com anger du _dmarc.example.com.
  3. Klicka på TXT fältet Namn.
  4. Verifiera namnet för din DMARC TXT-post i resultaten. Leta efter textraden som börjar med _dmarc.

Relaterade ämnen


Google, Google Workspace och relaterade märken och logotyper är varumärken som tillhör Google LLC. Alla andra företags- och produktnamn är varumärken som tillhör de företag som de är kopplade till.

Var det här till hjälp?

Hur kan vi förbättra den?

Behöver du mer hjälp?

Testa detta härnäst:

Gör ett inlägg i hjälpforumet Få svar från communityn
Kontakta oss Berätta mer så hjälper vi dig
true
Testa kostnadsfritt i 14 dagar

E-post för arbetet, onlinelagring, delade kalendrar, videomöten med mera. Påbörja din kostnadsfria provperiod på G Suite i dag.

Sök
Rensa sökning
Stäng sökrutan
Huvudmeny
438204318223185763
true
Sök i hjälpcentret
true
true
true
true
true
73010
false
false