Konfigurera DMARC

DMARC anger för mottagande e-postservrar vilka åtgärder som ska vidtas för meddelanden som skickas från din domän och som inte klarar SPF- eller DKIM-autentisering. Åtgärdsalternativen är att avvisa, sätta meddelandet i karantän eller leverera det. Du kan också få rapporter som hjälper dig att identifiera eventuella autentiseringsproblem och skadlig aktivitet för meddelanden som skickas från din domän. Konfigurera DMARC genom att lägga till en DMARC DNS TXT-post ( DMARC-post ) till din domän.

En DMARC-post är en textrad som du lägger till på din domän enligt din domänleverantörs instruktioner. Här är ett exempel på en DMARC-post:

v=DMARC1; p=avvisa; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

När mottagande servrar får e-postmeddelanden från din domän som inte klarar SPF eller DKIM, kontrollerar de din DMARC-post för att avgöra vilken åtgärd som ska vidtas på meddelandena: Avvisa, sätta i karantän eller leverera normalt.

På den här sidan

Innan du börjar

  • Du måste aktivera SPF och/eller DKIM för din domän innan du kan använda DMARC. Om du inte har konfigurerat SPF och/eller DKIM går du till Hjälp till att förhindra förfalskning, nätfiske och spam .

    • Om du inte konfigurerar SPF och/eller DKIM innan du aktiverar DMARC kommer meddelanden som skickas från din domän förmodligen att ha leveransproblem.
    • Vänta 48 timmar efter att du har konfigurerat SPF och/eller DKIM innan du konfigurerar DMARC.

  • För att kontrollera om DMARC redan är konfigurerat för din domän kan du använda ett av de många gratisverktyg som finns tillgängliga på internet. Om DMARC redan är konfigurerat bör du granska dina DMARC-rapporter för att kontrollera att DMARC autentiserar meddelanden effektivt och att de levereras som förväntat.

  • Du behöver inte göra någonting i Googles administratörskonsol för att konfigurera DMARC. Identifiera istället din DMARC-post genom att följa instruktionerna på den här sidan. Logga sedan in på din domänvärd och lägg till DMARC-posten enligt domänvärdens DMARC-instruktioner.

Steg 1: Konfigurera en grupp eller postlåda för rapporter

Antalet DMARC-rapporter du får via e-post kan variera och beror på hur mycket e-post din domän skickar och hur många domäner du skickar till. Du kan få många rapporter varje dag. Stora organisationer kan få upp till hundratals eller till och med tusentals rapporter dagligen. Google rekommenderar att du skapar en grupp eller en dedikerad postlåda för att ta emot och hantera DMARC-rapporter .

Viktigt: Vanligtvis är e-postadressen för rapporter i samma domän som domänen som är värd för din DMARC-post. Om e-postadressen har en annan domän måste du lägga till en DNS-post på den andra domänen. Se Skicka rapporter till en e-postadress i en annan domän på sidan DMARC-rapporter.

Steg 2: Se till att e-postadressen från tredje part är autentiserad

Om du använder en tredjepartstjänst för att skicka e-post för din organisation måste du se till att meddelanden som skickas av tredjepartstjänster är autentiserade och klarar SPF- och DKIM-kontroller:

  • Kontakta din tredjepartsleverantör för att säkerställa att SPF och DKIM är korrekt konfigurerade.
  • Se till att leverantörens kuvertavsändardomän matchar din domän. Lägg till IP-adressen för leverantörens avsändande e-postservrar i SPF-posten för din domän.
  • Dirigera utgående e-post från leverantören via Google med hjälp av inställningen för SMTP-relätjänst .

Steg 3: Fastställ din DMARC-post

Din DMARC-policy definieras i en rad med textvärden som kallas en DMARC- post. Denna post definierar:

  • Hur strikt DMARC ska kontrollera meddelanden
  • Rekommenderade åtgärder för den mottagande servern när den tar emot meddelanden som inte klarar autentiseringskontrollerna

Exempel på en DMARC-post (ersätt example.com med din domän):

v=DMARC1; p=avvisa; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s .

Taggarna v och p måste listas först. Andra taggar kan listas i valfri ordning.

När du börjar använda DMARC rekommenderar vi att du ställer in policyalternativet ( p ) till inget . Uppdatera din policy allt eftersom du lär dig hur meddelanden från din domän autentiseras av mottagande servrar. Ändra mottagarpolicyn med tiden till karantän (eller avvisa ). Se Rekommenderad DMARC-utrullning .

Definitioner och värden för DMARC-posttaggar

Märka Beskrivning och värden
v

(Obligatorisk) DMARC-version. Måste vara DMARC1 .

p (Obligatoriskt) Instruerar den mottagande e-postservern vad den ska göra med meddelanden som inte klarar autentiseringen.
  • none — Utför inga åtgärder på meddelandet och leverera det till den avsedda mottagaren. Logga meddelanden i en daglig rapport. Rapporten skickas till den e-postadress som anges med rua- alternativet i posten.
  • quarantine— Markera meddelandena som skräppost och skicka dem till mottagarens skräppostmapp. Mottagare kan granska skräppostmeddelanden för att identifiera legitima meddelanden.
  • reject— — Avvisa meddelandet. Med det här alternativet skickar den mottagande servern vanligtvis ett avvisningsmeddelande till den sändande servern.

BIMI-anmärkning: Om din domän använder BIMI måste DMARC p- alternativet vara inställt på karantän eller avvisa . BIMI stöder inte DMARC-policyer med p- alternativet inställt på ingen .

pct

pct- taggen är valfri men Google rekommenderar att du inkluderar den i din DMARC-post när du lanserar DMARC så att du kan hantera andelen e-postmeddelanden som din DMARC-policy gäller för.

Anger andelen oautentiserade meddelanden som omfattas av DMARC-policyn. När du gradvis distribuerar DMARC kan du börja med en liten andel av dina meddelanden. Allt eftersom fler meddelanden från din domän passerar autentisering med mottagande servrar, uppdatera din post med en högre andel tills du når 100 procent.

Måste vara ett heltal från 1 till 100. Om du inte använder det här alternativet i posten gäller din DMARC-policy för 100 % av meddelandena som skickas från din domän.

BIMI-anmärkning: Om din domän använder BIMI måste din DMARC-policy ha ett procentvärde100. BIMI stöder inte DMARC-policyer med procentvärdet inställt på mindre än 100.

rua

rua- taggen är valfri men Google rekommenderar att du alltid inkluderar den i din DMARC-post.

Skicka DMARC-rapporter till en e-postadress. E-postadressen måste innehålla mailto: .
Till exempel: mailto:dmarc-reports@example.com (ersätt example.com med din domän).

  • För att skicka DMARC-rapporter till flera e-postadresser, separera varje e-postadress med ett kommatecken och lägg till prefixet mailto: före varje adress. Till exempel: mailto:dmarc-reports@example.com , mailto:dmarc-admin@example.com (ersätt example.com med din domän).
  • Det här alternativet kan potentiellt resultera i en hög volym av e-postmeddelanden med rapporter. Vi rekommenderar inte att du använder din egen e-postadress. Överväg istället att använda en dedikerad e-postadress, en grupp eller en tredjepartstjänst som specialiserar sig på DMARC-rapporter.
  • För att skicka DMARC-rapporter till en e-postadress som finns i en annan domän än den domän som är värd för din DMARC-post, lägg till en TXT-post i e-postdomänens DNS. För mer information, se Skicka rapporter till en e-postadress i en annan domän på sidan DMARC-rapporter .
ruf

(Stöds inte) Gmail stöder inte ruf- taggen, som används för att skicka felrapporter. Felrapporter kallas även forensiska rapporter.

sp (Valfritt) Anger policyn för meddelanden från underdomäner till din primära domän. Använd det här alternativet om du vill använda en annan DMARC-policy för dina underdomäner.
  • none Vidta inga åtgärder på meddelandet och leverera det till den avsedda mottagaren. Logga meddelanden i en daglig rapport. Rapporten skickas till den e-postadress som anges med rua alternativet i policyn.
  • quarantine Markera meddelandena som skräppost och skicka dem till mottagarens skräppostmapp. Mottagare kan granska skräppostmeddelanden för att identifiera legitima meddelanden.
  • reject Avvisa meddelandet. Med det här alternativet ska den mottagande servern skicka ett avvisningsmeddelande till den sändande servern.

Om du inte använder det här alternativet i posten ärver underdomäner DMARC-policyn som är inställd för den överordnade domänen.

adkim (Valfritt) Ställer in justeringspolicyn för DKIM, som definierar hur strikt meddelandeinformation måste matcha DKIM-signaturer. Lär dig hur justering fungerar (senare på den här sidan).
  • s Strikt justering. Avsändarens domännamn måste exakt matcha motsvarande d= domännamn i DKIM-e-postrubrikerna.
  • r Avslappnad justering (standard). Tillåter partiella matchningar. Alla giltiga underdomäner till d= domain i DKIM-e-postrubrikerna accepteras.
aspf (Valfritt) Ställer in justeringspolicyn för SPF, som anger hur strikt meddelandeinformation måste matcha SPF-signaturer. Lär dig hur justering fungerar (senare på den här sidan).
  • s Strikt justering. Meddelandets rubrik From: måste exakt matcha domännamnet i SMTP MAIL FROM-kommandot.
  • r Avslappnad justering (standard). Tillåter ofullständiga matchningar. Alla giltiga underdomäner av domännamnet accepteras.

DMARC-justering

DMARC godkänner eller underkänner ett meddelande baserat på hur nära domänen i From: -rubriken matchar den avsändande domänen som anges av antingen SPF eller DKIM. Detta kallas alignment .

Du kan välja mellan två justeringslägen: strikt eller avslappnat. Du ställer in justeringsläget för SPF och DKIM i DMARC-posten med hjälp av DMARC-posttaggarna aspf och adkim .

Autentiseringsmetod Strikt anpassning Avslappnad justering
SPF En exakt matchning mellan domänen i kuvert-avsändaradressen (även kallad returväg eller studsadress) och domänen i från- adressen i rubriken. Domänen i rubriken Från: -adressen måste matcha eller vara en underdomän till domänen i Envelope-Sender-adressen (även kallad Return-Path eller studs-adressen).
DKIM En exakt matchning mellan den relevanta DKIM-domänen och domänen i rubriken Från: adress. Domänen i rubriken Från: -adressen måste matcha eller vara en underdomän till den domän som anges i DKIM-signaturens d= -tagg.

I vissa fall rekommenderar Google att du överväger att byta till strikt justering för ökat skydd mot förfalskning:

  • E-post skickas för din domän från en underdomän utanför din kontroll.
  • Du har underdomäner som hanteras av en annan enhet.

För att klara DMARC måste ett meddelande klara minst en av dessa kontroller:

  • SPF-autentisering och SPF-justering
  • DKIM-autentisering och DKIM-justering

Ett meddelande misslyckas med DMARC-kontrollen om meddelandet misslyckas med båda:

  • SPF (eller SPF-justering)
  • DKIM (eller DKIM-justering)

Steg 4: Lägg till din DMARC-post till din domän

Viktigt: Använd din domänvärds DMARC-hjälpdokumentation för detta steg. Stegen för att lägga till en DMARC-post varierar beroende på domänvärden.

Lägg till eller uppdatera din post

Viktigt: Se till att du har konfigurerat DKIM och SPF innan du konfigurerar DMARC. DKIM och SPF bör autentisera meddelanden i minst 48 timmar innan DMARC aktiveras.

  1. Ha textfilen eller raden för din DMARC-post redo.
  2. Logga in på din domänvärd, vanligtvis där du köpte ditt domännamn. Om du är osäker på vem din domänvärd är, se identifiera din domänregistrator .
  3. Gå till sidan där du uppdaterar DNS TXT-poster för din domän. För hjälp med att hitta den här sidan, se dokumentationen för din domän.

  4. Lägg till eller uppdatera TXT-posten med denna information (se dokumentationen för din domän):

    Fältnamn Värde att ange
    Typ Posttypen är TXT .
    Värd (namn, värdnamn, alias) Detta värde ska vara _dmarc.example.com (ersätt example.com med ditt domännamn).
    Värde Strängen som utgör TXT-posten. Till exempel: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s . Mer information finns i Bestäm din DMARC-post (tidigare på den här sidan).
    Obs ! Vissa domänvärdar lägger automatiskt till domännamnet. När du har lagt till eller uppdaterat TXT-posten, verifiera domännamnet i DMARC-posten för att se till att det är korrekt formaterat.
  5. Spara dina ändringar.
  6. Om du konfigurerar DMARC för mer än en domän, slutför dessa steg för varje domän. Varje domän kan ha en annan policy och olika rapportalternativ, enligt definitionen i posten.
  7. För att verifiera att DMARC är konfigurerat för din domän kan du använda ett av de många gratisverktyg som finns tillgängliga på internet.


Google, Google Workspace och relaterade varumärken och logotyper är varumärken som tillhör Google LLC. Alla andra företags- och produktnamn är varumärken som tillhör de företag som de är associerade med.