DMARC 会告知接收电子邮件的服务器如何处理未通过 SPF 或 DKIM 身份验证的邮件。操作选项包括拒收、隔离或递送邮件。您还可以获取报告,帮助您识别发自您网域的邮件是否可能存在身份验证问题和恶意活动。 可通过向您的域名添加 DMARC DNS TXT 记录(DMARC 记录)来设置 DMARC。
DMARC 记录是您按照域名提供商的说明添加到您域名中的一行文本。以下是 DMARC 记录的示例:
v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s
当接收服务器收到来自您网域但未通过 SPF 或 DKIM 检查的电子邮件时,会检查您的 DMARC 记录,以确定对这些邮件执行哪些操作:拒收、隔离或正常递送。
DMARC 可帮助用户防范冒充身份的电子邮件,
并可让您管理未通过 SPF 或 DKIM 检查的邮件。
本页内容
准备工作
- 您必须先为您的域名启用 SPF 和/或 DKIM,然后才能使用 DMARC。如果您尚未设置 SPF 和/或 DKIM,请参阅帮助防范仿冒邮件、钓鱼邮件和垃圾邮件。
- 如果您在启用 DMARC 之前没有设置 SPF 和/或 DKIM,那么您网域发出的邮件可能会遇到递送问题。
- 设置 SPF 和/或 DKIM 后,需等待 48 小时才能设置 DMARC。
- 如需检查您的域名是否已设置 DMARC,您可以使用互联网上的各种免费工具。如果已设置 DMARC,您应查看 DMARC 报告,确保 DMARC 能够有效验证邮件,并且邮件能够按预期递送。
- 您无需在 Google 管理控制台中执行任何操作来设置 DMARC,按照本页中的说明确定 DMARC 记录即可。然后,登录您的域名托管服务商,并按照域名托管服务商的 DMARC 说明添加 DMARC 记录。
第 1 步:设置接收报告的群组或邮箱
您通过电子邮件收到的 DMARC 报告数量可能会有所变动,具体取决于您的网域所发送的电子邮件数量以及发送到的网域数量。您每天可能会收到很多报告。大型单位每天可能收到多达上百甚至上千份报告。 Google 建议您创建群组或专门的邮箱来接收和管理 DMARC 报告。
重要提示:通常,用于接收报告的电子邮件地址与托管 DMARC 记录的域名相同。如果电子邮件地址使用的是其他网域,您必须在该网域中添加 DNS 记录。 请参阅 DMARC 报告页面上的将报告发送到其他网域中的电子邮件地址。
第 2 步:确保第三方电子邮件经过身份验证
如果您使用第三方服务为组织发送邮件,则必须确保第三方服务发送的邮件经过身份验证,并通过 SPF 和 DKIM 检查:
- 请与您的第三方提供商联系,确保 SPF 和 DKIM 已正确设置。
- 确保提供商的信包发件人域名与您的域名一致。将提供商的邮件发送服务器的 IP 地址添加到您网域的 SPF 记录。
- 使用 SMTP 中继服务设置,通过 Google 转送利用第三方提供商外发的邮件。
第 3 步:确定您的 DMARC 记录
DMARC 政策是由名为“DMARC 记录”的一行文本值所定义。此记录定义以下内容:
- DMARC 检查邮件的严格程度
- 接收服务器在收到未通过身份验证检查邮件时的建议操作
DMARC 记录示例(将 example.com 替换为您的域名):
v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s。
您必须先列出 v 和 p 标记。其他标记则可按任意顺序排列。
刚开始使用 DMARC 时,我们建议将政策选项 (p) 设置为 none。如果您已了解接收服务器如何对来自您网域的邮件进行身份验证,就可以更新您的政策。随着时间的推移,可以先将收件人政策改为 quarantine (or,最后再改为 reject)。请参阅 DMARC 部署建议。
DMARC 记录标记定义和值
| 标记 | 说明和值 |
| v |
(必填)DMARC 版本。必须为 DMARC1。 |
| p | (必填)指示邮件接收服务器如何处理未通过身份验证的邮件。
BIMI 注意事项:如果您的网域使用 BIMI,DMARC 的 p 选项必须设为 quarantine 或 reject。BIMI 不支持 p 选项设置为 none 的 DMARC 政策。 |
| pct |
pct 标记是可选的,但 Google 建议您在部署 DMARC 时将其添加到 DMARC 记录中,以便您管理要应用 DMARC 政策的电子邮件的百分比。 指定未通过身份验证的邮件中有百分之多少受 DMARC 政策约束。在逐步部署 DMARC 时,您可以先从一小部分邮件开始。随着更多来自您网域的邮件通过接收服务器的身份验证,请更新您的记录,将此选项的值设为更高的百分比,直至达到 100%。 必须是 1 到 100 之间的整数。如果您不在记录中使用此选项,则系统会将 DMARC 政策应用于从您网域发出的所有邮件。 BIMI 注意事项:如果您的网域使用 BIMI,DMARC 政策的 pct 值必须为 100。BIMI 不支持 pct 值小于 100 的 DMARC 政策。 |
| rua |
rua 标记是可选的,但 Google 建议您始终在 DMARC 记录中添加此标记。 将 DMARC 报告发送到某个电子邮件地址。该电子邮件地址必须包含 mailto:。
|
| ruf |
(不受支持)Gmail 不支持用于发送失败报告的 ruf 标记。失败报告也称为取证报告。 |
| sp | (可选)为主网域中的子网域发送的邮件设置政策。如果您想为子网域指定不同的 DMARC 政策,请使用此选项。
如果您不在记录中使用此选项,则子网域会沿用针对父级网域设置的 DMARC 政策。 |
| adkim | (可选)设置 DKIM 匹配政策,用于指定邮件信息与 DKIM 签名应有的匹配程度。了解匹配的工作原理(本页面下文)。
|
| aspf | (可选)设置 SPF 匹配政策,用于指定邮件信息与 SPF 签名应有的匹配程度。了解匹配的工作原理(本页面下文)。
|
DMARC 匹配
邮件能否通过 DMARC 检查,取决于发件人:标头中的域名与 SPF 或 DKIM 所指定的发信网域的匹配程度。这种方法叫做“匹配”。
目前有两种匹配模式可供选择:严格模式或宽松模式。您可以使用 DMARC 记录标记 aspf 和 adkim 在 DMARC 记录中设置 SPF 和 DKIM 匹配模式。
在某些情况下,Google 建议您考虑改用严格匹配模式,更有效地防范仿冒邮件:
- 由不受您控制的子网域为您的网域发送邮件。
- 您有由其他实体管理的子网域。
要通过 DMARC 检查,邮件必须至少通过以下检查之一:
- SPF 身份验证和 SPF 匹配
- DKIM 身份验证和 DKIM 匹配
如果邮件未通过以下任何检查,就无法通过 DMARC 检查:
- SPF(或 SPF 匹配)
- DKIM(或 DKIM 匹配)
第 4 步:将 DMARC 记录添加到您的域名
重要提示:对于此步骤,请参阅您的域名托管服务提供商的 DMARC 帮助文档。添加 DMARC 记录的步骤因域名托管服务商而异。
添加或更新您的记录
重要提示:请务必先设置 DKIM 和 SPF,然后再设置 DMARC。在启用 DMARC 前,DKIM 和 SPF 应提前至少 48 小时开始对邮件进行身份验证。
- 准备好您的 DMARC 记录的文本文件或文本行。
- 登录您的域名托管服务商(通常是您购买域名的公司)。如果您不确定自己的域名托管服务商是谁,请参阅确定您的域名注册商。
- 前往用于更新域名 DNS TXT 记录的页面。如需获取与查找此页面相关的帮助,请查看您域名的相关文档。
-
使用以下信息添加或更新 TXT 记录(请参阅您域名的相关文档):
字段名称 输入的值 类型 记录类型为 TXT。 主机(名称、主机名、别名) 此值应为 _dmarc.example.com(将 example.com 替换为您的域名)。 值 构成 TXT 记录的字符串。例如:v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s。如需了解详情,请参阅确定您的 DMARC 记录(本页面上文)。 注意:部分域名托管服务商会自动添加域名。添加或更新 TXT 记录后,请验证 DMARC 记录中的域名,确保其格式正确无误。 - 保存更改。
- 如果您要为多个网域设置 DMARC,请为每个网域完成这些步骤。每个网域可拥有不同的政策以及不同的报告选项,具体会在记录中定义。
- 如需验证您的域名是否已设置 DMARC,您可以使用互联网上的各种免费工具。
相关主题
“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。
