ตั้งค่า DMARC

DMARC จะแจ้งเซิร์ฟเวอร์อีเมลในฝั่งผู้รับว่าต้องดำเนินการอย่างไรกับอีเมลที่ส่งจากโดเมนของคุณซึ่งไม่ผ่านการตรวจสอบสิทธิ์ SPF หรือ DKIM โดยตัวเลือกการดำเนินการ ได้แก่ ปฏิเสธ กักเก็บ หรือนำส่งข้อความ นอกจากนี้ คุณยังรับรายงานที่ช่วยให้คุณหาจุดที่อาจเกิดปัญหาด้านการตรวจสอบสิทธิ์และกิจกรรมที่เป็นอันตรายในอีเมลที่ส่งมาจากโดเมนของคุณได้ด้วย คุณตั้งค่า DMARC ได้โดยเพิ่มระเบียน TXT สำหรับ DNS ของ DMARC (ระเบียน DMARC) ลงในโดเมน

ระเบียน DMARC คือข้อความ 1 บรรทัดที่คุณเพิ่มลงในโดเมนโดยทำตามวิธีการของผู้ให้บริการโดเมน ตัวอย่างระเบียน DMARC มีดังนี้

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

เมื่อเซิร์ฟเวอร์ในฝั่งผู้รับได้รับข้อความอีเมลจากโดเมนของคุณที่ไม่ผ่าน SPF หรือ DKIM เซิร์ฟเวอร์จะตรวจสอบระเบียน DMARC เพื่อพิจารณาว่าจะดำเนินการอย่างไรกับข้อความดังกล่าว ไม่ว่าจะเป็นปฏิเสธ กักเก็บ หรือนำส่งตามปกติ

ในหน้านี้

ข้อควรปฏิบัติก่อนที่จะเริ่มต้น

  • คุณต้องเปิด SPF และ/หรือ DKIM ให้กับโดเมนก่อนจึงจะใช้ DMARC ได้ หากยังไม่ได้ตั้งค่า SPF และ/หรือ DKIM ให้ไปที่ ช่วยป้องกันการปลอมแปลง ฟิชชิง และสแปม

    • หากไม่ตั้งค่า SPF และ/หรือ DKIM ก่อนเปิดใช้ DMARC อีเมลที่ส่งจากโดเมนของคุณอาจมีปัญหาในการนำส่ง
    • หลังจากตั้งค่า SPF และ/หรือ DKIM แล้ว โปรดรอ 48 ชั่วโมงก่อน แล้วจึงตั้งค่า DMARC

  • หากต้องการตรวจสอบว่าตั้งค่า DMARC ให้กับโดเมนแล้วหรือไม่ ให้ใช้เครื่องมือฟรีมากมายที่มีให้บริการบนอินเทอร์เน็ต หากตั้งค่า DMARC แล้ว คุณควรตรวจสอบรายงาน DMARC เพื่อดูว่า DMARC ตรวจสอบสิทธิ์อีเมลได้อย่างมีประสิทธิภาพและอีเมลได้รับการนำส่งตามที่คาดไว้

  • คุณไม่จำเป็นต้องดำเนินการใดๆ ในคอนโซลผู้ดูแลระบบของ Google เพื่อตั้งค่า DMARC แต่ให้กำหนดระเบียน DMARC โดยทำตามวิธีการในหน้านี้ จากนั้นเข้าสู่ระบบโฮสต์ของโดเมนและเพิ่มระเบียน DMARC โดยทำตามวิธีการ DMARC ของโฮสต์ของโดเมน

ขั้นตอนที่ 1: ตั้งค่ากลุ่มหรือกล่องจดหมายสำหรับรายงาน

จำนวนรายงาน DMARC ที่คุณได้รับทางอีเมลอาจแตกต่างกันไป ซึ่งจะขึ้นอยู่กับจำนวนอีเมลที่โดเมนของคุณส่งและจำนวนโดเมนที่คุณส่งถึง คุณจึงจะได้รับรายงานจำนวนมากทุกวัน ดังนั้นองค์กรขนาดใหญ่อาจได้รับรายงานนับร้อยหรือนับพันรายการในแต่ละวัน Google ขอแนะนำให้คุณ สร้าง กลุ่ม หรือ กล่องจดหมาย เฉพาะสำหรับรับและจัดการ รายงาน DMARC

สำคัญ: โดยปกติแล้ว อีเมลสำหรับรับรายงานจะอยู่ในโดเมนเดียวกับโดเมนที่โฮสต์ระเบียน DMARC หากอีเมลมีโดเมนอื่น คุณต้องเพิ่มระเบียน DNS ในโดเมนอื่นนั้นด้วย โปรดดูหัวข้อส่งรายงานไปยังอีเมลในโดเมนอื่นในหน้ารายงาน DMARC

ขั้นตอนที่ 2: ตรวจสอบว่าอีเมลของบุคคลที่สามผ่านการตรวจสอบสิทธิ์แล้ว

หากคุณใช้บริการของบุคคลที่สามเพื่อส่งอีเมลให้กับองค์กร คุณต้องตรวจสอบว่าอีเมลที่ส่งจากบริการของบุคคลที่สามผ่านการตรวจสอบสิทธิ์และผ่านการตรวจสอบ SPF และ DKIM ดังนี้

  • ติดต่อผู้ให้บริการบุคคลที่สามเพื่อตรวจสอบว่าตั้งค่า SPF และ DKIM อย่างถูกต้องแล้ว
  • ตรวจสอบว่าโดเมนของผู้ส่งเอนเวโลปของผู้ให้บริการตรงกับโดเมนของคุณ เพิ่มที่อยู่ IP ของเซิร์ฟเวอร์ที่ส่งอีเมลของผู้ให้บริการลงในระเบียน SPF ของโดเมน
  • กำหนดเส้นทางอีเมลขาออกจากผู้ให้บริการผ่าน Google โดยใช้การตั้งค่าบริการ SMTP Relay

ขั้นตอนที่ 3: กำหนดระเบียน DMARC

คุณจะกำหนดค่านโยบาย DMARC ได้โดยใช้ค่าในบรรทัดข้อความที่เรียกว่า ระเบียน DMARC ซึ่งจะเป็นตัวกำหนดสิ่งต่อไปนี้

  • DMARC ควรตรวจสอบอีเมลด้วยความเข้มงวดมากเพียงใด
  • การดำเนินการที่แนะนำสำหรับเซิร์ฟเวอร์ที่ใช้รับ เมื่อเซิร์ฟเวอร์ได้รับอีเมลที่ไม่ผ่านการตรวจสอบสิทธิ์

ตัวอย่างระเบียน DMARC (แทนที่ example.com ด้วยโดเมนของคุณ)

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

ต้องระบุแท็ก v และ p เป็นอันดับแรก ส่วนแท็กอื่นๆ จะระบุตามลำดับใดก็ได้

เมื่อเริ่มใช้ DMARC เราขอแนะนำให้ตั้งค่าตัวเลือกนโยบาย (p) เป็น none เมื่อทราบว่าเซิร์ฟเวอร์อีเมลในฝั่งผู้รับตรวจสอบสิทธิ์อีเมลจากโดเมนของคุณอย่างไรแล้ว จึงค่อยอัปเดตนโยบาย โดยค่อยๆ เปลี่ยนนโยบายของฝั่งผู้รับเป็น quarantine (หรือ reject) โปรดดูวิธีการเปิดตัว DMARC ที่แนะนำ

คำนิยามและค่าแท็กของระเบียน DMARC

แท็ก คำอธิบายและค่า
v

(บังคับ) เวอร์ชัน DMARC ต้องเป็น DMARC1
p (บังคับ) กำหนดการดำเนินการที่เซิร์ฟเวอร์ในฝั่งผู้รับต้องทำกับอีเมลที่ไม่ผ่านการตรวจสอบสิทธิ์
  • none—ไม่ดำเนินการใดๆ และส่งอีเมลให้กับผู้รับที่ระบุ และบันทึกอีเมลในรายงานประจำวัน ระบบจะส่งรายงานไปยังอีเมลที่ระบุในตัวเลือก rua ในระเบียน
  • quarantine— ทำเครื่องหมายว่าอีเมลเป็นจดหมายขยะและส่งไปยังโฟลเดอร์จดหมายขยะของผู้รับ ผู้รับสามารถตรวจสอบจดหมายขยะเพื่อระบุอีเมลที่ไม่ใช่จดหมายขยะได้
  • reject—ปฏิเสธอีเมล โดยปกติแล้วเมื่อใช้ตัวเลือกนี้ เซิร์ฟเวอร์ในฝั่งผู้รับจะส่งข้อความตีกลับไปยังเซิร์ฟเวอร์ในฝั่งผู้ส่ง

หมายเหตุ BIMI: หากโดเมนใช้ BIMI คุณต้องตั้งค่าตัวเลือก p ของ DMARC เป็น quarantine หรือ reject แต่ BIMI จะไม่รองรับนโยบาย DMARC ที่ตั้งค่าตัวเลือก p ไว้เป็น none
pct

แท็ก pct เป็นแท็กที่ไม่บังคับ แต่ Google ขอแนะนำให้คุณใส่แท็กนี้ในระเบียน DMARC เมื่อเปิดตัว DMARC เพื่อให้คุณจัดการเปอร์เซ็นต์ของอีเมลที่นโยบาย DMARC จะมีผลบังคับใช้ได้

ระบุจำนวนเปอร์เซ็นต์ของอีเมลที่ไม่ผ่านการตรวจสอบสิทธิ์ซึ่งขึ้นอยู่กับนโยบาย DMARC โดยขณะที่คุณทยอยทำให้นโยบาย DMARC ใช้งานได้ ให้เริ่มใช้กับอีเมลในสัดส่วนที่ไม่มากก่อน เมื่ออีเมลจากโดเมนของคุณผ่านการตรวจสอบสิทธิ์จากเซิร์ฟเวอร์ในฝั่งผู้รับมากขึ้น ให้อัปเดตเปอร์เซ็นต์ในระเบียนให้สูงขึ้นเรื่อยๆ จนถึง 100 เปอร์เซ็นต์

ต้องเป็นจำนวนเต็มตั้งแต่ 1 ถึง 100 หากไม่ใช้ตัวเลือกนี้ในระเบียน ระบบจะใช้นโยบาย DMARC กับอีเมลที่ส่งมาจากโดเมนของคุณทั้งหมด 100%

หมายเหตุ BIMI: หากโดเมนใช้ BIMI นโยบาย DMARC ของคุณต้องมีค่า pct เป็น 100 โดย BIMI จะไม่รองรับนโยบาย DMARC ที่ตั้งค่า pct ไว้น้อยกว่า 100
rua

คุณใช้แท็ก rua หรือไม่ก็ได้ แต่ Google ขอแนะนำให้คุณใส่แท็กนี้ในระเบียน DMARC เสมอ

ส่งรายงาน DMARC ไปยังอีเมล โดยอีเมลต้องมี mailto:
เช่น mailto:dmarc-reports@example.com (แทนที่ example.com ด้วยโดเมนของคุณ)

  • หากต้องการส่งรายงาน DMARC ไปยังอีเมลหลายรายการ ให้คั่นแต่ละอีเมลด้วยเครื่องหมายคอมมา และเพิ่ม mailto: นำหน้าอีเมลแต่ละรายการ เช่น mailto:dmarc-reports@example.com, mailto:dmarc-admin@example.com (แทนที่ example.com ด้วยโดเมนของคุณ)
  • ตัวเลือกนี้อาจส่งผลให้มีอีเมลรายงานจำนวนมาก เราไม่แนะนำให้ใช้อีเมลของคุณเอง แต่ให้พิจารณาใช้กล่องจดหมาย กลุ่ม หรือบริการของบุคคลที่สามซึ่งเชี่ยวชาญในเรื่องรายงาน DMARC โดยเฉพาะแทน
  • หากต้องการส่งรายงาน DMARC ไปยังอีเมลที่อยู่ในโดเมนอื่นที่ไม่ใช่โดเมนที่โฮสต์ระเบียน DMARC ให้เพิ่มระเบียน TXT ลงใน DNS ของโดเมนอีเมล โปรดดูรายละเอียดที่หัวข้อส่งรายงานไปยังอีเมลในโดเมนอื่นในหน้ารายงาน DMARC
ruf

(ไม่รองรับ) Gmail ไม่รองรับแท็ก ruf สำหรับใช้ส่งรายงานความล้มเหลว ซึ่งมีอีกชื่อหนึ่งว่ารายงานการสืบสวน
sp (ไม่บังคับ) ตั้งค่านโยบายสำหรับอีเมลจากโดเมนย่อยของโดเมนหลัก ใช้ตัวเลือกนี้หากต้องการใช้นโยบาย DMARC อื่นกับโดเมนย่อย
  • noneไม่ดำเนินการใดๆ และส่งอีเมลให้กับผู้รับที่ระบุ และบันทึกอีเมลในรายงานประจำวัน ระบบจะส่งรายงานไปยังอีเมลที่ระบุในตัวเลือก rua ในนโยบาย
  • quarantineทำเครื่องหมายว่าอีเมลเป็นจดหมายขยะและส่งไปยังโฟลเดอร์จดหมายขยะของผู้รับ ผู้รับสามารถตรวจสอบจดหมายขยะเพื่อระบุอีเมลที่ไม่ใช่จดหมายขยะได้
  • reject**reject** —ปฏิเสธอีเมล เมื่อใช้ตัวเลือกนี้ เซิร์ฟเวอร์ในฝั่งผู้รับจะส่งข้อความตีกลับไปยังเซิร์ฟเวอร์ในฝั่งผู้ส่ง

หากไม่ได้ใช้ตัวเลือกนี้ในระเบียน โดเมนย่อยจะรับค่านโยบาย DMARC ที่กำหนดไว้สำหรับโดเมนหลัก
adkim (ไม่บังคับ) กำหนดนโยบายการตรวจสอบความสอดคล้องสำหรับ DKIM ซึ่งจะกำหนดว่าข้อมูลของอีเมลต้องตรงกันกับลายเซ็น DKIM มากเพียงใด ดูวิธีทำงานของการตรวจสอบความสอดคล้อง (ในส่วนท้ายของหน้านี้)
  • sการตรวจสอบความสอดคล้องแบบเข้มงวด ชื่อโดเมนของผู้ส่งต้องตรงกันกับ d=domainname ที่เกี่ยวข้องในส่วนหัวอีเมลของ DKIM ทุกประการ
  • rการตรวจสอบความสอดคล้องแบบไม่เข้มงวด (ค่าเริ่มต้น) อนุญาตให้ตรงกันเพียงบางส่วน ระบบจะยอมรับโดเมนย่อยที่ถูกต้องของ d=domain ในส่วนหัวอีเมลของ DKIM
aspf (ไม่บังคับ) กำหนดนโยบายการตรวจสอบความสอดคล้องสำหรับ SPF ซึ่งจะระบุว่าข้อมูลของอีเมลต้องตรงกันกับลายเซ็น SPF มากเพียงใด ดูวิธีทำงานของการตรวจสอบความสอดคล้อง (ในส่วนท้ายของหน้านี้)
  • sการตรวจสอบความสอดคล้องแบบเข้มงวด ส่วนหัวจาก: ของข้อความต้องตรงกับ domain.name ในคำสั่ง SMTP MAIL FROM ทุกประการ
  • rการตรวจสอบความสอดคล้องแบบไม่เข้มงวด (ค่าเริ่มต้น) อนุญาตให้ตรงกันเพียงบางส่วน ระบบจะยอมรับโดเมนย่อยของชื่อโดเมนทั้งหมด

การตรวจสอบความสอดคล้อง DMARC

DMARC จะให้อีเมลผ่านหรือไม่ผ่านโดยพิจารณาว่าโดเมนในส่วนหัว From: ใกล้เคียงกับโดเมนในฝั่งผู้ส่งที่ระบุใน SPF หรือ DKIM มากน้อยเพียงใด การดําเนินการนี้เรียกว่า การตรวจสอบความสอดคล้อง

โหมดการตรวจสอบความสอดคล้องที่เลือกได้มีอยู่ 2 แบบ ได้แก่ แบบเข้มงวดและไม่เข้มงวด คุณกำหนดโหมดความสอดคล้องให้กับ SPF และ DKIM ในระเบียน DMARC ได้โดยใช้แท็กระเบียน DMARC ที่ชื่อว่า aspf และ adkim

วิธีการตรวจสอบสิทธิ์ การตรวจสอบความสอดคล้องแบบเข้มงวด การตรวจสอบความสอดคล้องแบบไม่เข้มงวด
SPF โดเมนในอีเมลผู้ส่งเอนเวโลป (หรือที่เรียกว่าอีเมลเส้นทางส่งกลับหรืออีเมลสำหรับตีกลับ) และโดเมนในอีเมลส่วนหัว From: มีข้อมูลตรงกันทุกประการ โดเมนของอีเมลในช่อง From: ในส่วนหัวต้องตรงกับหรือต้องเป็นโดเมนย่อยของโดเมนในอีเมลผู้ส่งเอนเวโลป (หรือที่เรียกว่าอีเมลเส้นทางส่งกลับหรืออีเมลสำหรับตีกลับ)
DKIM โดเมน DKIM ที่เกี่ยวข้องและโดเมนของอีเมลในช่อง From: ในส่วนหัวมีข้อมูลตรงกันทุกประการ โดเมนในส่วนหัว From: ต้องตรงกับหรือเป็นโดเมนย่อยของโดเมนที่ระบุไว้ในแท็ก d= ของลายเซ็น DKIM

ในบางกรณีต่อไปนี้ Google ขอแนะนำให้คุณเปลี่ยนไปใช้การตรวจสอบความสอดคล้องแบบเข้มงวดเพื่อการป้องกันการปลอมแปลง

  • อีเมลส่งถึงโดเมนของคุณจากโดเมนย่อยที่คุณไม่ได้ควบคุม
  • คุณมีโดเมนย่อยที่อยู่ภายใต้การจัดการของผู้อื่น

อีเมลจะต้องผ่านการตรวจสอบดังต่อไปนี้อย่างน้อย 1 รายการจึงจะผ่านการตรวจสอบ DMARC

  • การตรวจสอบสิทธิ์ SPF และการตรวจสอบความสอดคล้อง SPF
  • การตรวจสอบสิทธิ์ DKIM และการตรวจสอบความสอดคล้อง DKIM

อีเมลจะไม่ผ่านการตรวจสอบ DMARC หากไม่ผ่านการตรวจสอบดังต่อไปนี้ทั้งสองรายการ

  • SPF (หรือการตรวจสอบความสอดคล้อง SPF)
  • DKIM (หรือ การตรวจสอบความสอดคล้อง DKIM)

ขั้นตอนที่ 4: เพิ่มระเบียน DMARC ลงในโดเมน

สำคัญ: ใช้เอกสารประกอบความช่วยเหลือเกี่ยวกับ DMARC ของโฮสต์ของโดเมนสำหรับขั้นตอนนี้ ขั้นตอนการเพิ่มระเบียน DMARC จะแตกต่างกันไปตามโฮสต์ของโดเมน

เพิ่มหรืออัปเดตระเบียน

สำคัญ: ตรวจสอบว่าได้ตั้งค่า DKIM และ SPF ก่อนตั้งค่า DMARC โดยควรให้ DKIM และ SPF เริ่มตรวจสอบสิทธิ์อีเมลเป็นเวลาอย่างน้อย 48 ชั่วโมง ก่อนที่จะเปิดใช้ DMARC

  1. เตรียมไฟล์หรือบรรทัดข้อความสำหรับระเบียน DMARC ของคุณให้พร้อม
  2. ลงชื่อเข้าใช้โฮสต์ของโดเมน ซึ่งโดยปกติแล้วคือที่ที่คุณซื้อชื่อโดเมนมา หากไม่แน่ใจว่าโฮสต์ของโดเมนคือใคร โปรดดูหัวข้อ ระบุผู้รับจดทะเบียนโดเมนของคุณ
  3. ไปที่หน้าที่ใช้อัปเดตระเบียน TXT ของ DNS สำหรับโดเมน หากต้องการความช่วยเหลือในการค้นหาหน้านี้ โปรดดูเอกสารประกอบสำหรับโดเมนของคุณ

  4. เพิ่มหรืออัปเดตระเบียน TXT ด้วยข้อมูลต่อไปนี้ (โปรดดูเอกสารประกอบสำหรับโดเมน)

    ชื่อฟิลด์ ค่าที่จะต้องป้อน
    ประเภท ประเภทระเบียนคือ TXT
    โฮสต์ (ชื่อ ชื่อโฮสต์ อีเมลแทน) ค่านี้ควรเป็น _dmarc.example.com (แทนที่ example.com ด้วยชื่อโดเมนของคุณ)
    ค่า สตริงที่ประกอบขึ้นเป็นระเบียน TXT เช่น v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s โปรดดูรายละเอียดที่หัวข้อ กำหนดระเบียน DMARC (ก่อนหน้านี้ในหน้านี้)
    หมายเหตุ: โฮสต์ของโดเมนบางรายจะเพิ่มชื่อโดเมนโดยอัตโนมัติ หลังจากเพิ่มหรืออัปเดตระเบียน TXT แล้ว ให้ยืนยันชื่อโดเมนในระเบียน DMARC เพื่อยืนยันว่าจัดรูปแบบอย่างถูกต้อง
  5. บันทึกการเปลี่ยนแปลง
  6. หากคุณตั้งค่า DMARC สำหรับโดเมนมากกว่า 1 รายการ ให้ทำตามขั้นตอนต่อไปนี้สำหรับแต่ละโดเมน โดยโดเมนแต่ละรายการจะมีนโยบายและตัวเลือกการรายงานแตกต่างกันได้ ตามที่กำหนดไว้ในระเบียน
  7. หากต้องการยืนยันว่าตั้งค่า DMARC ให้กับโดเมนแล้ว ให้ใช้เครื่องมือฟรีมากมายที่มีให้บริการบนอินเทอร์เน็ต


Google, Google Workspace รวมถึงเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของบริษัทที่เกี่ยวข้อง