作为管理员,在设置 SPF 和 DKIM 后,您可以设置基于网域的邮件身份验证、报告和一致性协议 (DMARC)。借助 DMARC,您可以告知接收邮件的服务器在收到未通过 SPF 或 DKIM 身份验证检查的邮件时如何处理。您还可以获取报告,帮助您识别发自您网域的邮件是否可能存在身份验证问题和恶意活动。
DMARC 可帮助用户防范冒充身份的电子邮件,
并可让您管理未通过 SPF 或 DKIM 检查的邮件。
本页内容
- 第 1 步:启用 SPF 和 DKIM
- 第 2 步:检查是否已设置 DMARC
- 第 3 步:设置接收报告的群组或邮箱
- 第 4 步:确保对所有第三方服务进行身份验证
- 第 5 步:准备 DMARC 记录
- 第 6 步:添加 DMARC 记录
- 第 7 步:验证您的 DMARC 记录
- 相关主题
第 1 步:启用 SPF 和 DKIM
您必须先为您的网域启用 SPF 和 DKIM,才能使用 DMARC。如果您尚未设置 SPF 和 DKIM,请参阅帮助防范仿冒邮件、钓鱼邮件和垃圾邮件。
SPF、DKIM 和 DMARC 都是按网域应用的。如果您管理多个网域,则必须为每个网域分别启用 SPF、DKIM 和 DMARC。
重要提示:
- 如果您在启用 DMARC 之前没有设置 SPF 和 DKIM,那么您网域发出的邮件可能会遇到递送问题。
- 设置 SPF 和 DKIM 后,需等待 48 小时才能设置 DMARC。
第 2 步:检查是否已设置 DMARC
如果您使用的是 Google Workspace,请使用 Google 管理员工具箱检查是否已设置 DMARC。否则,请按照域名提供商的检查步骤操作。
使用 Google 管理员工具箱进行检查:
- 转到 Google 管理员工具箱。
- 转到验证 DNS 问题 检查 MX。
- 在域名字段中输入您的域名,然后点击执行检查!
- 检查结果会指明您的网域是否有 DMARC 记录:
- 尚未设置 DMARC - 说明您的网域还没有 DMARC 记录。
- DMARC 格式设置政策 - 说明您的网域已有 DMARC 记录。
请与您的域名提供商联系:
- 登录域名提供商的管理控制台。
- 前往用于更新网域 DNS TXT 记录的页面。
- 如果您有 DMARC 记录,则会在 _dmarc.example.com 子网域(其中 example 是您的域名)下看到以 v=DMARC 开头的 TXT 记录条目。
根据结果继续操作:
- 如果已设置 DMARC,您应查看 DMARC 报告,确保 DMARC 能够有效验证邮件,并且邮件能够按预期递送。
- 如果未设置 DMARC,请继续设置接收报告的群组或邮箱(在此页面上)。
第 3 步:设置接收报告的群组或邮箱
您通过电子邮件收到的 DMARC 报告数量可能会有所变动,具体取决于您的网域所发送的电子邮件数量。您每天可能会收到很多报告。大型单位每天可能收到多达上百甚至上千份报告。
Google 建议您创建群组或专门的邮箱来接收和管理 DMARC 报告。
通过 DMARC 报告,您可以了解从您网域发送的邮件中哪些已通过 SPF 和 DKIM 身份验证,以及是否有任何邮件经常未通过身份验证。您还可以通过该报告查看为您的网域发送邮件的发件人有哪些,同时在有潜在垃圾邮件发件人时收到提醒。在部署阶段,监控 DMARC 报告特别有用。请参阅 DMARC 部署建议。
第 4 步:确保对所有第三方服务进行身份验证
如果您使用第三方服务为贵组织发送邮件,则必须确保第三方服务发送的邮件已通过身份验证,并通过 SPF 和 DKIM 检查:
- 请与您的第三方提供商联系,确保 DKIM 已正确设置。
- 确保提供商的信包发件人域名与您的域名一致。将提供商的邮件发送服务器的 IP 地址添加到您网域的 SPF 记录。
- 使用 SMTP 中继服务设置,通过 Google 转送利用第三方提供商外发的邮件。
第 5 步:准备 DMARC 记录
DMARC 政策是由名为“DMARC 记录”的一行文本值所定义。DMARC 记录规定了:
- DMARC 检查邮件的严格程度
- 接收服务器在收到未通过身份验证检查邮件时的建议操作
DMARC 政策记录示例(将 example.com 替换为您的网域):
v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s。
您必须先列出 v 和 p 标记。其他标记则可按任意顺序排列。
刚开始使用 DMARC 时,我们建议将政策选项 (p) 设置为 none。如果您已了解接收服务器如何对来自您网域的邮件进行身份验证,就可以更新您的政策。随着时间的推移,可以先将收件人政策改为 quarantine (or,最后再改为 reject)。请参阅 DMARC 部署建议。
DMARC 记录标记定义和值
标记 | 说明和值 |
v |
(必填)DMARC 版本。必须为 DMARC1。 |
p | (必填)指示邮件接收服务器如何处理未通过身份验证的邮件。
BIMI 注意事项:如果您的网域使用 BIMI,DMARC 的 p 选项必须设为 quarantine 或 reject。BIMI 不支持 p 选项设置为 none 的 DMARC 政策。 |
pct |
(可选)指定未通过身份验证的邮件中有百分之多少受 DMARC 政策约束。在逐步部署 DMARC 时,您可以先从一小部分邮件开始。随着更多来自您网域的邮件通过接收服务器的身份验证,请更新您的记录,将此选项的值设为更高的百分比,直至达到 100%。 必须是 1 到 100 之间的整数。如果您不在记录中使用此选项,则系统会将 DMARC 政策应用于从您网域发出的所有邮件。 BIMI 注意事项:如果您的网域使用 BIMI,DMARC 政策的 pct 值必须为 100。BIMI 不支持 pct 值小于 100 的 DMARC 政策。 |
rua |
(可选)将 DMARC 报告发送到某个电子邮件地址。该电子邮件地址必须包含 mailto:。
|
ruf |
不支持。Gmail 不支持用于发送失败报告的 ruf 标记。失败报告也称为取证报告。 |
sp | (可选)为主网域中的子网域发送的邮件设置政策。如果您想为子网域指定不同的 DMARC 政策,请使用此选项。
如果您不在记录中使用此选项,则子网域会沿用针对父级网域设置的 DMARC 政策。 |
adkim | (可选)设置 DKIM 匹配政策,用于指定邮件信息与 DKIM 签名应有的匹配程度。了解匹配的工作原理(本页面下文)。
|
aspf | (可选)设置 SPF 匹配政策,用于指定邮件信息与 SPF 签名应有的匹配程度。了解匹配的工作原理(本页面下文)。
|
DMARC 匹配
邮件能否通过 DMARC 检查,取决于发件人:标头中的域名与 SPF 或 DKIM 所指定的发信网域的匹配程度。这种方法叫做“匹配”。
目前有两种匹配模式可供选择:严格模式或宽松模式。您可以使用 DMARC 记录标记 aspf 和 adkim 在 DMARC 记录中设置 SPF 和 DKIM 匹配模式。
在某些情况下,Google 建议您考虑改用严格匹配模式,更有效地防范仿冒邮件:
- 由不受您控制的子网域为您的网域发送邮件。
- 您有由其他实体管理的子网域。
要通过 DMARC 检查,邮件必须至少通过以下检查之一:
- SPF 身份验证和 SPF 匹配
- DKIM 身份验证和 DKIM 匹配
如果邮件未通过以下任何检查,就无法通过 DMARC 检查:
- SPF(或 SPF 匹配)
- DKIM(或 DKIM 匹配)
第 6 步:添加 DMARC 记录
准备好 DMARC 记录的文本后,请在域名提供商处添加或更新 DMARC DNS TXT 记录。每当您更改 DMARC 政策以及更新记录后,都必须在域名提供商处更新 DMARC TXT 记录。
添加或更新您的记录
重要提示:请务必先设置 DKIM 和 SPF,然后再设置 DMARC。在启用 DMARC 前,DKIM 和 SPF 应提前至少 48 小时开始对邮件进行身份验证。
- 准备好您的 DMARC 记录的文本文件或文本行。
- 登录您的域名托管服务商(通常是您购买域名的公司)。如果您不确定自己的域名托管服务商是谁,请参阅确定您的域名注册商。
- 前往用于更新域名 DNS TXT 记录的页面。如需获取与查找此页面相关的帮助,请查看您域名的相关文档。
-
使用以下信息添加或更新 TXT 记录:
字段名称 输入的值 类型 记录类型为 TXT。 主机(名称、主机名、别名) 此值应为 _dmarc.example.com(将 example.com 替换为您的域名)。 值 构成 TXT 记录的字符串。例如:v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s。如需了解详情,请参阅准备 DMARC 记录(本页上文)。 注意:部分域名托管服务商会自动添加域名。添加或更新 TXT 记录后,请验证 DMARC 记录中的域名,确保其格式正确无误。 - 保存更改。
- 如果您要为多个网域设置 DMARC,请为每个网域完成这些步骤。每个网域可拥有不同的政策以及不同的报告选项,具体会在记录中定义。
第 7 步:验证您的 DMARC 记录
重要提示:以下步骤中使用的域名仅为示例。请将这些示例域名替换为您自己的域名。
部分域名托管服务商会自动将您的域名添加到 TXT 记录名称的末尾。这可能会导致 DMARC TXT 记录名称的格式错误。例如,如果您输入 _dmarc.example.com,而您的域名托管服务商自动添加了您的域名,则相应的 TXT 记录名称将出现如下格式错误:_dmarc.example.com.example.com。
按照添加或更新您的记录中的步骤添加 DMARC TXT 记录后,请检查 TXT 记录名称,确认其格式正确无误。
在 Google 管理员工具箱中,您可以使用 Dig 功能查看和验证您的 DMARC TXT 记录:
- 转到 Google 管理员工具箱,然后选择 Dig 功能。
- 在 Name(名称)字段中,输入 _dmarc.,并在后面添加您的完整域名。例如,如果您的域名是 example.com,请输入 _dmarc.example.com。
- 在 Name(名称)字段下方,点击 TXT。
- 在搜索结果中验证您的 DMARC TXT 记录名称。查找以 _dmarc 开头的文本行。
相关主题
“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。