設定 DMARC

透過 DMARC，您可以指示收件伺服器在收到未通過 SPF 或 DKIM 驗證的郵件時，應該如何處理，例如拒收、隔離或送達郵件。此外，您也可以取得報表，找出網域寄出的郵件中，是否有潛在的驗證問題與惡意活動。在網域中新增 DMARC DNS TXT 記錄 (DMARC 記錄)，即可設定 DMARC。

DMARC 記錄是一行文字，可依網域供應商的指示新增到網域中。這行文字會使用特殊語法，並列出為貴機構網域傳送電子郵件的所有伺服器。以下是 DMARC 記錄範例：

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

DMARC 可協助使用者防範偽造的電子郵件，
並讓您管理未通過 SPF 或 DKIM 驗證的郵件。

事前準備

您必須先開啟網域的 SPF 和/或 DKIM，才能使用 DMARC。如果您尚未設定 SPF 和/或 DKIM，請參閱「協助防範假冒郵件、網路釣魚郵件和垃圾郵件」。
- 如果您不先設定 SPF 和/或 DKIM 就啟用 DMARC，從您網域寄出的郵件可能會發生傳送問題。
- 設定 SPF 和/或 DKIM 後，請等候 48 小時再設定 DMARC。
如要檢查網域是否已設定 DMARC，請使用網際網路上提供的任一免費工具。如果已設定 DMARC，請檢閱 DMARC 報表，確保 DMARC 能有效驗證郵件，且郵件能正常傳送。
設定 DMARC 時，您不需在 Google 管理控制台操作，而是應按照本頁指示，判斷要使用的 DMARC 記錄。接著，請登入網域代管商網站，並按照相應的 DMARC 操作說明新增 DMARC 記錄。

步驟 1：設定用來接收報表的群組或信箱

您會從電子郵件收到多少 DMARC 報表並不一定，具體要看有多少郵件從您的網域寄出，以及收到您郵件的網域數量。所以您可能每天會收到很多份報表。大型機構一天可能收到幾百甚至上千份報表。因此，Google 建議您建立專門接收/管理 DMARC 報表的群組或信箱。

重要事項：接收報表的電子郵件地址通常會與代管 DMARC 記錄的網域相同。如果電子郵件地址所在的網域不同，您必須在其他網域中新增 DNS 記錄。請參閱 DMARC 報表頁面的「將報表傳送至位在其他網域的電子郵件地址」一節。

步驟 2：確認第三方電子郵件已通過驗證

如果貴機構採用第三方服務傳送郵件，請確保第三方服務寄送的郵件皆已通過 SPF 和 DKIM 驗證：

與第三方供應商聯絡，確認 SPF 和 DKIM 已正確設定。
確保供應商的寄件者地址網域與您的網域相同，方法是將供應商寄件伺服器的 IP 位址新增到您網域的 SPF 記錄中。
您可以使用 SMTP 轉發服務設定，透過 Google 轉送供應商的外寄郵件。

步驟 3：決定要使用的 DMARC 記錄

您的 DMARC 政策是由名為「DMARC 記錄」的一行文字值所定義。這個記錄定義了以下內容：

DMARC 執行郵件檢查的嚴格程度
當收件伺服器收到未通過驗證檢查的郵件時，建議採取何種行動

DMARC 記錄示例 (請將 example.com 替換為您的網域)：

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

開頭必須是 v 和 p 標記，其他標記則不限次序。

如果您剛開始使用 DMARC，建議將政策選項 (p) 設為 none。等您瞭解收件伺服器如何驗證來自您網域的郵件後，再更新政策，您可以逐步將接收方政策變更為 quarantine (orreject)。詳情請參閱「DMARC 部署建議」。

DMARC 記錄標記的定義和值

標記	說明和值
v	(必要) DMARC 版本。必須為 DMARC1。
p	(必要) 指示收件伺服器如何處理未通過驗證的郵件。 none：不對郵件採取任何處置，並將郵件傳送給指定的收件者。這會將郵件記錄在每日報告中，而該報告將傳送到記錄中使用 rua 選項指定的電子郵件地址。 quarantine—：將郵件標示為垃圾郵件，並傳送至收件者的垃圾郵件資料夾。收件者可以檢查是否有正常郵件被誤當成垃圾郵件。 reject—：拒絕郵件。指定這個值時，收件伺服器通常會傳送退件通知至寄件伺服器。 BIMI 注意事項：如果所屬網域採用 BIMI，DMARC 的 p 選項必須設為 quarantine 或 reject。如果將 p 選項設為 none，BIMI 就不支援 DMARC 政策。
pct	pct 標記為選用項目，但 Google 建議您在導入 DMARC 時將這個標記納入 DMARC 記錄，以便管理套用 DMARC 政策的電子郵件百分比。指定須依 DMARC 政策處理的未經驗證郵件比例。您在逐步部署 DMARC 時，可能會先從少量郵件開始。如果有越來越多通過收件伺服器驗證的郵件從您的網域寄出，這時就可以逐步調高記錄中的比例，直到達到百分之百。這個值必須是介於 1 至 100 之間的整數。如果不在記錄中使用這個標記，DMARC 政策就會適用於來自您網域的所有郵件。 BIMI 注意事項：如果所屬網域採用 BIMI，DMARC 政策的 pct 值必須設為 100，BIMI 不支援 pct 值低於 100 的 DMARC 政策。
rua	rua 標記為選用項目，但 Google 建議您一律在 DMARC 記錄中加入這個標記。請將 DMARC 報表傳送到一個電子郵件地址，電子郵件地址必須包含 mailto:。例如：mailto:dmarc-reports@example.com (請將 example.com 替換為您的網域)。如要將 DMARC 報表傳送到多個電子郵件地址，請以半形逗號分隔每個電子郵件地址，並在每個地址前加上 mailto: 前置字元。例如：mailto:dmarc-reports@example.com、mailto:dmarc-admin@example.com (請將 example.com 替換為您的網域)。使用這個標記可能導致系統傳送大量報表電子郵件。我們不建議您使用自己的電子郵件地址，請考慮指定專門處理 DMARC 報表的信箱、群組或第三方服務。如果要將 DMARC 報表傳送到的電子郵件地址，其所在網域與代管 DMARC 記錄的網域不同，請在電子郵件網域的 DNS 中新增 TXT 記錄。詳情請參閱「DMARC 報表」頁面中的「將報表傳送至位在其他網域的電子郵件地址」。
ruf	(不支援) Gmail 不支援用於傳送失敗報表的 ruf 標記。失敗報表又名鑑識報表。
sp	(選用) 為來自主網域底下子網域的郵件設定政策。如果您想為子網域設定不同的 DMARC 政策，請使用這個標記。 none—Take no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy. quarantine—：將郵件標示為垃圾郵件，並傳送至收件者的垃圾郵件資料夾。收件者可以檢查是否有正常郵件被誤當成垃圾郵件。 reject—：拒絕郵件。指定這個值時，收件伺服器應會傳送退件通知至寄件伺服器。如果不在記錄中使用這個標記，子網域就會沿用為上層網域設定的 DMARC 政策。
adkim	(選用) 設定 DKIM 校驗政策，定義郵件資訊與 DKIM 簽名的相符程度。瞭解校驗方式 (本頁後續內容)。 s—：嚴格校驗。寄件者的網域名稱與 DKIM 郵件標頭中相應的「d=domainname」*domainname必須完全吻合。 r—Relaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain* in the DKIM mail headers is accepted.
aspf	(選用) 設定 SPF 校驗政策，定義郵件資訊與 SPF 簽名的相符程度。瞭解校驗方式 (本頁後續內容)。 s—：嚴格校驗。郵件的「From:」標頭與 SMTP MAIL FROM 指令中的網域名稱必須完全吻合。 r—寬鬆校驗 (預設)。允許只有部分比對吻合，可接受網域名稱之下的任何有效子網域。

DMARC 校驗程序

步驟 4：在網域中新增 DMARC 記錄

重要事項：請參閱網域代管商的 DMARC 說明文件，瞭解如何完成此步驟。新增 DMARC 記錄的步驟會因網域代管商而異。

新增或更新記錄

重要事項：請務必先設定 DKIM 和 SPF，再設定 DMARC。請等 DKIM 和 SPF 開始驗證郵件至少 48 小時之後，再啟用 DMARC。

備妥 DMARC 記錄的文字檔或文字行。
登入網域代管商服務 (通常是您購買網域的公司)。如果不確定自己的網域代管商是哪家公司，請參閱「找出網域註冊商」一文。
前往用於更新網域 DNS TXT 記錄的頁面。如要瞭解如何找到這個頁面，請參閱網域的說明文件。

新增或更新 TXT 記錄，並加入以下資訊 (請參閱網域的說明文件)：

欄位名稱	應輸入的值
Type	記錄類型為 TXT。
Host (Name, Hostname, Alias)	這個值應為 _dmarc.example.com (請將 example.com 替換為您的網域名稱)。
Value	這是組成 TXT 記錄的字串，例如：v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s。詳情請參閱前面提到的「決定要使用的 DMARC 記錄」。

注意：部分網域代管商會自動加上網域名稱。新增或更新 TXT 記錄後，請驗證 DMARC 記錄中的網域名稱，確保格式正確無誤。

儲存變更。
如要為多個網域設定 DMARC，請為每個網域完成下列步驟。各網域可以有不同的政策和報表選項 (由記錄定義)。
如要驗證網域是否已設定 DMARC，請使用網際網路上提供的任一免費工具。

這對您有幫助嗎？

我們應如何改進呢？

驗證方式	嚴格校驗	寬鬆校驗
SPF	將寄件者地址 (也稱為回覆路徑或退信地址) 中的網域，與標頭「寄件者：」地址中的網域進行完全比對。	標頭「寄件者：」地址中的網域必須與寄件者地址 (也稱為回覆路徑或退信地址) 中的網域相符，或為後者的子網域。
DKIM	將相關 DKIM 網域與標頭「寄件者：」地址中的網域進行完全比對。	標頭「寄件者：」地址中的網域必須與 DKIM 簽名 d= 標記中指定的網域相符，或為後者的子網域。

設定 DMARC

本頁面提供下列資源說明：

事前準備

步驟 1：設定用來接收報表的群組或信箱

步驟 2：確認第三方電子郵件已通過驗證

步驟 3：決定要使用的 DMARC 記錄

DMARC 記錄標記的定義和值

DMARC 校驗程序

步驟 4：在網域中新增 DMARC 記錄

新增或更新記錄

相關主題

這對您有幫助嗎？

還有其他問題嗎？

嘗試以下步驟：

這個部分有什麼問題？

分享更多資訊或建議