ตั้งค่า DMARC

DMARC จะแจ้งเซิร์ฟเวอร์อีเมลในฝั่งผู้รับว่าต้องดำเนินการอย่างไรกับข้อความที่ส่งจากโดเมนของคุณที่ไม่ผ่านการตรวจสอบสิทธิ์ SPF หรือ DKIM โดยตัวเลือกการดำเนินการ ได้แก่ ปฏิเสธ กักเก็บ หรือนำส่งข้อความ นอกจากนี้ คุณยังรับรายงานที่ช่วยให้คุณหาจุดที่อาจเกิดปัญหาด้านการตรวจสอบสิทธิ์และกิจกรรมที่เป็นอันตรายในอีเมลที่ส่งมาจากโดเมนของคุณได้ คุณตั้งค่า DMARC ได้โดยเพิ่มระเบียน TXT สำหรับ DNS ของ DMARC (ระเบียน DMARC) ลงในโดเมน

ระเบียน DMARC คือบรรทัดข้อความที่คุณเพิ่มลงในโดเมน โดยทำตามวิธีการของผู้ให้บริการโดเมน ตัวอย่างระเบียน DMARC มีดังนี้

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

เมื่อเซิร์ฟเวอร์ฝั่งผู้รับได้รับข้อความอีเมลจากโดเมนของคุณที่ไม่ผ่าน SPF หรือ DKIM เซิร์ฟเวอร์จะตรวจสอบระเบียน DMARC เพื่อพิจารณาว่าจะดำเนินการใดกับข้อความดังกล่าว ได้แก่ ปฏิเสธ กักเก็บ หรือนำส่งตามปกติ

ในหน้านี้

ก่อนเริ่มต้น

  • คุณต้องเปิด SPF และ/หรือ DKIM สำหรับโดเมนก่อนจึงจะใช้ DMARC ได้ หากยังไม่ได้ตั้งค่า SPF และ/หรือ DKIM โปรดไปที่หัวข้อช่วยป้องกันการปลอมแปลง ฟิชชิง และสแปม
    • หากไม่ตั้งค่า SPF และ/หรือ DKIM ก่อนเปิดใช้ DMARC อีเมลที่ส่งจากโดเมนของคุณอาจมีปัญหาในการนำส่ง
    • หลังจากตั้งค่า SPF และ/หรือ DKIM แล้ว โปรดรอ 48 ชั่วโมงก่อน แล้วจึงตั้งค่า DMARC
  • หากต้องการตรวจสอบว่าตั้งค่า DMARC สำหรับโดเมนแล้วหรือไม่ ให้ใช้เครื่องมือฟรีที่มีอยู่มากมายบนอินเทอร์เน็ต หากตั้งค่า DMARC แล้ว คุณควรตรวจสอบรายงาน DMARC เพื่อดูว่า DMARC ตรวจสอบสิทธิ์ข้อความได้อย่างมีประสิทธิภาพและนำส่งข้อความตามที่คาดไว้
  • คุณไม่จำเป็นต้องดำเนินการใดๆ ในคอนโซลผู้ดูแลระบบของ Google เพื่อตั้งค่า DMARC แต่ให้กำหนดระเบียน DMARC โดยทำตามวิธีการในหน้านี้แทน จากนั้นเข้าสู่ระบบโฮสต์ของโดเมนและเพิ่มระเบียน DMARC โดยทำตามวิธีการ DMARC ของโฮสต์ของโดเมน

ขั้นตอนที่ 1: ตั้งค่ากลุ่มหรือกล่องจดหมายสำหรับรายงาน

จำนวนรายงาน DMARC ที่คุณได้รับทางอีเมลอาจแตกต่างกันไป ซึ่งจะขึ้นอยู่กับจำนวนอีเมลที่โดเมนของคุณส่งและจำนวนโดเมนที่คุณส่งถึง คุณจึงจะได้รับรายงานจำนวนมากทุกวัน ดังนั้นองค์กรขนาดใหญ่อาจได้รับรายงานนับร้อยหรือนับพันรายการในแต่ละวัน Google ขอแนะนำให้คุณสร้างกลุ่มหรือกล่องจดหมายเฉพาะสำหรับรับและจัดการรายงาน DMARC

สำคัญ: โดยปกติแล้ว อีเมลสำหรับรายงานจะอยู่ในโดเมนเดียวกับโดเมนที่โฮสต์ระเบียน DMARC หากอีเมลมีโดเมนอื่น คุณต้องเพิ่มระเบียน DNS ในโดเมนอื่นนั้นด้วย โปรดดูหัวข้อส่งรายงานไปยังอีเมลในโดเมนอื่นในหน้ารายงาน DMARC

ขั้นตอนที่ 2: ตรวจสอบว่าอีเมลของบุคคลที่สามได้รับการตรวจสอบสิทธิ์

หากคุณใช้บริการของบุคคลที่สามเพื่อส่งอีเมลสำหรับองค์กร คุณต้องตรวจสอบว่าข้อความที่ส่งโดยบริการของบุคคลที่สามได้รับการตรวจสอบสิทธิ์และผ่านการตรวจสอบ SPF และ DKIM โดยทำดังนี้

  • ติดต่อผู้ให้บริการบุคคลที่สามเพื่อตรวจสอบว่าตั้งค่า SPF และ DKIM อย่างถูกต้องแล้ว
  • ตรวจสอบว่าโดเมนผู้ส่งเอนเวโลปของผู้ให้บริการตรงกับโดเมนของคุณ เพิ่มที่อยู่ IP ของเซิร์ฟเวอร์ที่ส่งอีเมลของผู้ให้บริการลงในระเบียน SPF ของโดเมน
  • กำหนดเส้นทางของอีเมลขาออกที่ส่งจากผู้ให้บริการผ่าน Google โดยใช้การตั้งค่าบริการส่งต่อ SMTP

ขั้นตอนที่ 3: กำหนดระเบียน DMARC

คุณจะกำหนดค่านโยบาย DMARC ได้โดยใช้ค่าในบรรทัดข้อความที่เรียกว่าระเบียน DMARC ซึ่งจะเป็นตัวกำหนดสิ่งต่อไปนี้

  • DMARC ควรตรวจสอบอีเมลด้วยความเข้มงวดมากเพียงใด
  • การดำเนินการที่แนะนำสำหรับเซิร์ฟเวอร์ที่ใช้รับ เมื่อเซิร์ฟเวอร์ได้รับอีเมลที่ไม่ผ่านการตรวจสอบสิทธิ์

ตัวอย่างระเบียน DMARC (แทนที่ example.com ด้วยโดเมนของคุณ)

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

คุณจะต้องระบุแท็ก v และ p ก่อน คุณจะระบุแท็กอื่นๆ ตามลำดับใดก็ได้

เมื่อเริ่มใช้ DMARC เราขอแนะนำให้ตั้งค่าตัวเลือกนโยบาย (p) เป็น none เมื่อทราบว่าเซิร์ฟเวอร์อีเมลในฝั่งผู้รับตรวจสอบสิทธิ์อีเมลจากโดเมนของคุณอย่างไรแล้ว จึงค่อยอัปเดตนโยบาย โดยค่อยๆ เปลี่ยนนโยบายของฝั่งผู้รับเป็น quarantine (หรือ reject) โปรดดูวิธีการเปิดตัว DMARC ที่แนะนำ

คำนิยามและค่าแท็กของระเบียน DMARC

แท็ก คำอธิบายและค่า
v

(ต้องระบุ) เวอร์ชัน DMARC ต้องเป็น DMARC1
p (บังคับ) กำหนดการดำเนินการที่เซิร์ฟเวอร์ในฝั่งผู้รับต้องทำกับอีเมลที่ไม่ผ่านการตรวจสอบสิทธิ์
  • none—ไม่ดำเนินการใดๆ และส่งอีเมลให้กับผู้รับที่ระบุ และบันทึกอีเมลในรายงานประจำวัน ระบบจะส่งรายงานไปยังอีเมลที่ระบุในตัวเลือก rua ในระเบียน
  • quarantine—ทำเครื่องหมายว่าอีเมลเป็นจดหมายขยะและส่งไปยังโฟลเดอร์จดหมายขยะของผู้รับ ผู้รับสามารถตรวจสอบจดหมายขยะเพื่อระบุอีเมลที่ไม่ใช่จดหมายขยะได้
  • reject—ปฏิเสธอีเมล โดยปกติแล้วเมื่อใช้ตัวเลือกนี้ เซิร์ฟเวอร์ในฝั่งผู้รับจะส่งข้อความตีกลับไปยังเซิร์ฟเวอร์ในฝั่งผู้ส่ง

หมายเหตุ BIMI: หากโดเมนใช้ BIMI คุณต้องตั้งค่าตัวเลือก p ของ DMARC เป็น quarantine หรือ reject BIMI ไม่รองรับนโยบาย DMARC ที่ตั้งค่าตัวเลือก p ไว้เป็น none
pct

คุณใช้แท็ก pct หรือไม่ก็ได้ แต่ Google ขอแนะนำให้คุณใส่แท็กนี้ในระเบียน DMARC เมื่อเปิดตัว DMARC เพื่อให้คุณจัดการเปอร์เซ็นต์ของอีเมลที่นโยบาย DMARC ใช้ได้

ระบุจำนวนเปอร์เซ็นต์ของอีเมลที่ไม่ผ่านการตรวจสอบสิทธิ์ซึ่งขึ้นอยู่กับนโยบาย DMARC โดยขณะที่คุณทยอยทำให้นโยบาย DMARC ใช้งานได้ ให้เริ่มใช้กับอีเมลในสัดส่วนที่ไม่มากก่อน เมื่ออีเมลจากโดเมนของคุณผ่านการตรวจสอบสิทธิ์จากเซิร์ฟเวอร์ในฝั่งผู้รับมากขึ้น ให้อัปเดตเปอร์เซ็นต์ในระเบียนให้สูงขึ้นเรื่อยๆ จนถึง 100 เปอร์เซ็นต์

ต้องเป็นจำนวนเต็มตั้งแต่ 1 ถึง 100 หากไม่ใช้ตัวเลือกนี้ในระเบียน ระบบจะใช้นโยบาย DMARC กับอีเมลที่ส่งมาจากโดเมนของคุณทั้งหมด 100%

หมายเหตุ BIMI: หากโดเมนใช้ BIMI นโยบาย DMARC ของคุณต้องมีค่า pct เป็น 100 BIMI ไม่รองรับนโยบาย DMARC ที่ตั้งค่า pct ไว้น้อยกว่า 100
rua

คุณใช้แท็ก rua หรือไม่ก็ได้ แต่ Google ขอแนะนำให้คุณใส่แท็กนี้ในระเบียน DMARC เสมอ

ส่งรายงาน DMARC ไปยังอีเมล อีเมลต้องมี mailto:
เช่น: mailto:dmarc-reports@example.com (แทนที่ example.com ด้วยโดเมนของคุณ)

  • หากต้องการส่งรายงาน DMARC ไปยังอีเมลหลายรายการ ให้คั่นแต่ละอีเมลด้วยเครื่องหมายคอมมา และเพิ่ม mailto: นำหน้าอีเมลแต่ละรายการ เช่น: mailto:dmarc-reports@example.com, mailto:dmarc-admin@example.com (แทนที่ example.com ด้วยโดเมนของคุณ)
  • ตัวเลือกนี้อาจทำให้มีอีเมลรายงานจำนวนมาก เราจึงไม่แนะนำให้ใช้อีเมลของคุณเอง แต่ให้พิจารณาใช้กล่องจดหมาย กลุ่ม หรือบริการของบุคคลที่สามซึ่งเชี่ยวชาญในเรื่องรายงาน DMARC โดยเฉพาะแทน
  • หากต้องการส่งรายงาน DMARC ไปยังอีเมลที่อยู่ในโดเมนอื่นที่ไม่ใช่โดเมนที่โฮสต์ระเบียน DMARC ให้เพิ่มระเบียน TXT ลงใน DNS ของโดเมนอีเมล โปรดดูรายละเอียดที่หัวข้อส่งรายงานไปยังอีเมลในโดเมนอื่นในหน้ารายงาน DMARC
ruf

(ไม่รองรับ) Gmail ไม่รองรับแท็ก ruf สำหรับใช้ส่งรายงานความล้มเหลว ซึ่งมีอีกชื่อหนึ่งว่ารายงานการสืบสวน
sp (ไม่บังคับ) ตั้งค่านโยบายสำหรับข้อความจากโดเมนย่อยของโดเมนหลัก ใช้ตัวเลือกนี้หากต้องการใช้นโยบาย DMARC อื่นกับโดเมนย่อย
  • noneTake no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.
  • quarantineทำเครื่องหมายว่าอีเมลเป็นจดหมายขยะและส่งไปยังโฟลเดอร์จดหมายขยะของผู้รับ ผู้รับสามารถตรวจสอบจดหมายขยะเพื่อระบุอีเมลที่ไม่ใช่จดหมายขยะได้
  • rejectปฏิเสธอีเมล เมื่อใช้ตัวเลือกนี้ เซิร์ฟเวอร์ในฝั่งผู้รับจะส่งข้อความตีกลับไปยังเซิร์ฟเวอร์ในฝั่งผู้ส่ง

หากไม่ได้ใช้ตัวเลือกนี้ในระเบียน โดเมนย่อยจะรับค่านโยบาย DMARC ที่กำหนดไว้สำหรับโดเมนหลัก
adkim (ไม่บังคับ) กำหนดนโยบายการตรวจสอบความสอดคล้องสำหรับ DKIM ซึ่งจะกำหนดว่าข้อมูลของอีเมลต้องตรงกันกับลายเซ็น DKIM มากเพียงใด ดูวิธีการทำงานของการตรวจสอบความสอดคล้อง (อ่านต่อในหน้านี้)
  • sการตรวจสอบความสอดคล้องแบบเข้มงวด ชื่อโดเมนของผู้ส่งต้องตรงกันกับ d=domainname ที่เกี่ยวข้องในส่วนหัวอีเมลของ DKIM ทุกประการ
  • rRelaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf (ไม่บังคับ) กำหนดนโยบายการตรวจสอบความสอดคล้องสำหรับ SPF ซึ่งจะระบุว่าข้อมูลของอีเมลต้องตรงกันกับลายเซ็น SPF มากเพียงใด ดูวิธีการทำงานของการตรวจสอบความสอดคล้อง (อ่านต่อในหน้านี้)
  • sการตรวจสอบความสอดคล้องแบบเข้มงวด ส่วนหัวจาก: ของข้อความต้องตรงกับ domain.name ในคำสั่ง SMTP MAIL FROM ทุกประการ
  • rการตรวจสอบความสอดคล้องแบบไม่เข้มงวด (ค่าเริ่มต้น) อนุญาตให้ตรงกันเพียงบางส่วน ระบบจะยอมรับโดเมนย่อยของชื่อโดเมนทั้งหมด

การตรวจสอบความสอดคล้อง DMARC

DMARC จะให้อีเมลผ่านหรือไม่ผ่านโดยพิจารณาว่าโดเมนในส่วนหัว From: ใกล้เคียงกับโดเมนในฝั่งผู้ส่งที่ระบุใน SPF หรือ DKIM มากน้อยเพียงใด การดําเนินการนี้เรียกว่าการตรวจสอบความสอดคล้อง

โหมดการตรวจสอบความสอดคล้องที่เลือกได้มีอยู่ 2 แบบ ได้แก่ แบบเข้มงวดและไม่เข้มงวด คุณกำหนดโหมดความสอดคล้องให้กับ SPF และ DKIM ในระเบียน DMARC ได้โดยใช้แท็กระเบียน DMARC ที่ชื่อว่า aspf และ adkim

วิธีการตรวจสอบสิทธิ์ การตรวจสอบความสอดคล้องแบบเข้มงวด การตรวจสอบความสอดคล้องแบบไม่เข้มงวด
SPF โดเมนในอีเมลผู้ส่งเอนเวโลป (หรือที่เรียกว่าอีเมลเส้นทางส่งกลับหรืออีเมลสำหรับตีกลับ) และโดเมนในอีเมลส่วนหัว From: มีข้อมูลตรงกันทุกประการ โดเมนของอีเมลในช่อง From: ในส่วนหัวต้องตรงกับหรือต้องเป็นโดเมนย่อยของโดเมนในอีเมลผู้ส่งเอนเวโลป (หรือที่เรียกว่าอีเมลเส้นทางส่งกลับหรืออีเมลสำหรับตีกลับ)
DKIM โดเมน DKIM ที่เกี่ยวข้องและโดเมนของอีเมลในช่องจาก: ในส่วนหัวมีข้อมูลตรงกันทุกประการ โดเมนของอีเมลในส่วนหัว From: ต้องตรงกับหรือต้องเป็นโดเมนย่อยของโดเมนที่ระบุไว้ในแท็ก d= ของลายเซ็น DKIM

ในบางกรณีต่อไปนี้ Google ขอแนะนำให้คุณเปลี่ยนไปใช้การตรวจสอบความสอดคล้องแบบเข้มงวดเพื่อการป้องกันการปลอมแปลง

  • อีเมลส่งถึงโดเมนของคุณจากโดเมนย่อยที่คุณไม่ได้ควบคุม
  • คุณมีโดเมนย่อยที่อยู่ภายใต้การจัดการของผู้อื่น
ข้อสำคัญ: โดยทั่วไปการตรวจสอบความสอดคล้องแบบไม่เข้มงวดจะให้การป้องกันการปลอมแปลงที่เพียงพอแล้ว การตรวจสอบความสอดคล้องแบบเข้มงวดอาจส่งผลให้อีเมลจากโดเมนย่อยที่เกี่ยวข้องถูกปฏิเสธหรือส่งไปยังสแปม

อีเมลจะต้องผ่านการตรวจสอบดังต่อไปนี้อย่างน้อย 1 รายการจึงจะผ่านการตรวจสอบ DMARC

  • การตรวจสอบสิทธิ์ SPF และการตรวจสอบความสอดคล้อง SPF
  • การตรวจสอบสิทธิ์ DKIM และการตรวจสอบความสอดคล้อง DKIM

อีเมลจะไม่ผ่านการตรวจสอบ DMARC หากไม่ผ่านการตรวจสอบดังต่อไปนี้ทั้งสองรายการ

  • SPF (หรือการตรวจสอบความสอดคล้อง SPF)
  • DKIM (หรือ การตรวจสอบความสอดคล้อง DKIM)

ขั้นตอนที่ 4: เพิ่มระเบียน DMARC ลงในโดเมน

สำคัญ: ใช้เอกสารประกอบความช่วยเหลือเกี่ยวกับ DMARC ของโฮสต์โดเมนสำหรับขั้นตอนนี้ ขั้นตอนการเพิ่มระเบียน DMARC จะแตกต่างกันไปตามโฮสต์ของโดเมน

เพิ่มหรืออัปเดตระเบียน

สำคัญ: ตรวจสอบว่าได้ตั้งค่า DKIM และ SPF ก่อนตั้งค่า DMARC โดยควรให้ DKIM และ SPF เริ่มตรวจสอบสิทธิ์อีเมลเป็นเวลาอย่างน้อย 48 ชั่วโมง ก่อนที่จะเปิดใช้ DMARC

  1. เตรียมไฟล์หรือบรรทัดข้อความสำหรับระเบียน DMARC ให้พร้อม
  2. ลงชื่อเข้าใช้โฮสต์ของโดเมน ซึ่งโดยปกติแล้วคือที่ที่คุณซื้อชื่อโดเมนมา หากไม่แน่ใจว่าโฮสต์ของโดเมนคือใคร โปรดดูหัวข้อระบุผู้รับจดทะเบียนโดเมนของคุณ
  3. ไปที่หน้าที่ใช้อัปเดตระเบียน TXT ของ DNS สำหรับโดเมน หากต้องการความช่วยเหลือในการค้นหาหน้านี้ โปรดดูเอกสารประกอบสำหรับโดเมนของคุณ

  4. เพิ่มหรืออัปเดตระเบียน TXT ด้วยข้อมูลนี้ (โปรดดูเอกสารประกอบสำหรับโดเมนของคุณ)

    ชื่อฟิลด์ ค่าที่จะต้องป้อน
    ประเภท ประเภทระเบียนคือ TXT
    โฮสต์ (ชื่อ ชื่อโฮสต์ อีเมลแทน) ค่านี้ควรเป็น _dmarc.example.com (แทนที่ example.com ด้วยชื่อโดเมนของคุณ)
    ค่า สตริงที่ประกอบเป็นระเบียน TXT ตัวอย่างเช่น v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s โปรดดูรายละเอียดที่หัวข้อพิจารณาระเบียน DMARC (ก่อนหน้านี้ในหน้านี้)

    หมายเหตุ: โฮสต์ของโดเมนบางรายจะเพิ่มชื่อโดเมนโดยอัตโนมัติ หลังจากเพิ่มหรืออัปเดตระเบียน TXT แล้ว ให้ยืนยันชื่อโดเมนในระเบียน DMARC เพื่อให้แน่ใจว่าจัดรูปแบบอย่างถูกต้อง

  5. บันทึกการเปลี่ยนแปลง
  6. หากคุณตั้งค่า DMARC สำหรับโดเมนมากกว่า 1 รายการ ให้ทำตามขั้นตอนต่อไปนี้สำหรับแต่ละโดเมน โดยโดเมนแต่ละรายการจะมีนโยบายและตัวเลือกการรายงานแตกต่างกันได้ ตามที่กำหนดไว้ในระเบียน
  7. หากต้องการยืนยันว่าได้ตั้งค่า DMARC สำหรับโดเมนแล้ว ให้ใช้เครื่องมือฟรีที่มีอยู่มากมายบนอินเทอร์เน็ต


Google, Google Workspace รวมถึงเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของบริษัทที่เกี่ยวข้อง