设置 DMARC

DMARC 会告知接收电子邮件的服务器如何处理未通过 SPF 或 DKIM 身份验证的邮件。操作选项包括拒收、隔离或递送邮件。您还可以获取报告,帮助您识别发自您网域的邮件是否可能存在身份验证问题和恶意活动。可通过向您的网域添加 DMARC DNS TXT 记录(DMARC 记录)来设置 DMARC。

DMARC 记录是您按照域名提供商的说明添加到您域名中的一行文本。以下是 DMARC 记录的示例:

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

当接收服务器收到来自您网域但未通过 SPF 或 DKIM 检查的电子邮件时,会检查您的 DMARC 记录,以确定对这些邮件执行哪些操作:拒收、隔离或正常递送。

本页内容

准备工作

  • 您必须先为您的网域启用 SPF 和/或 DKIM,然后才能使用 DMARC。如果您尚未设置 SPF 和/或 DKIM,请参阅帮助防范仿冒邮件、钓鱼邮件和垃圾邮件
    • 如果您在启用 DMARC 之前没有设置 SPF 和/或 DKIM,那么您网域发出的邮件可能会遇到递送问题。
    • 设置 SPF 和/或 DKIM 后,需等待 48 小时才能设置 DMARC。
  • 如需检查您的网域是否已设置 DMARC,您可以使用互联网上的各种免费工具。如果已设置 DMARC,您应查看 DMARC 报告,确保 DMARC 能够有效验证邮件,并且邮件能够按预期递送。
  • 您无需在 Google 管理控制台中执行任何操作来设置 DMARC,按照本页中的说明确定 DMARC 记录即可。然后,登录您的域名托管服务商,并按照域名托管服务商的 DMARC 说明添加 DMARC 记录。

第 1 步:设置接收报告的群组或邮箱

您通过电子邮件收到的 DMARC 报告数量可能会有所变动,具体取决于您的网域所发送的电子邮件数量以及发送到的网域数量。您每天可能会收到很多报告。大型组织每天可能收到多达上百甚至上千份报告。Google 建议您创建群组专门的邮箱来接收和管理 DMARC 报告

重要提示:通常,用于接收报告的电子邮件地址与托管 DMARC 记录的域名相同。如果电子邮件地址使用的是其他网域,您必须在该网域中添加 DNS 记录。请参阅 DMARC 报告页面上的将报告发送到其他网域中的电子邮件地址

第 2 步:确保第三方电子邮件经过身份验证

如果您使用第三方服务为组织发送邮件,则必须确保第三方服务发送的邮件经过身份验证,并通过 SPF 和 DKIM 检查:

  • 请与您的第三方提供商联系,确保 SPF 和 DKIM 已正确设置。
  • 确保提供商的信包发件人域名与您的域名一致。将提供商的邮件发送服务器的 IP 地址添加到您网域的 SPF 记录。
  • 使用 SMTP 中继服务设置,通过 Google 转送利用第三方提供商外发的邮件。

第 3 步:确定您的 DMARC 记录

DMARC 政策是由名为“DMARC 记录”的一行文本值所定义。此记录定义以下内容:

  • DMARC 检查邮件的严格程度
  • 接收服务器在收到未通过身份验证检查邮件时的建议操作

DMARC 记录示例(将 example.com 替换为您的网域):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

您必须先列出 vp 标记。其他标记则可按任意顺序排列。

刚开始使用 DMARC 时,我们建议将政策选项 (p) 设置为 none。如果您已了解接收服务器如何对来自您网域的邮件进行身份验证,就可以更新您的政策。随着时间的推移,可以先将收件人政策改为 quarantine(或 reject)。请参阅 DMARC 部署建议

DMARC 记录标记定义和值

标记 说明和值
v

(必需)DMARC 版本。必须为 DMARC1
p (必填)指示邮件接收服务器如何处理未通过身份验证的邮件。
  • none:不对邮件执行任何操作,并将其递送给目标收件人。系统会将邮件记录在每日报告中,并会将报告发送到记录中 rua 选项指定的电子邮件地址。
  • quarantine—将邮件标记为垃圾邮件,并将其发送至收件人的“垃圾邮件”文件夹。收件人可以查看垃圾邮件,并识别其中的正常邮件。
  • reject—拒绝邮件。使用此选项后,邮件接收服务器通常会向邮件发送服务器发送系统退信。

BIMI 注意事项:如果您的网域使用 BIMI,DMARC p 选项必须设为 quarantinereject。BIMI 不支持 p 选项设置为 none 的 DMARC 政策。
pct

pct 标记是可选的,但 Google 建议您在部署 DMARC 时将其添加到 DMARC 记录中,以便您管理要应用 DMARC 政策的电子邮件的百分比。

指定未通过身份验证的邮件中有百分之多少受 DMARC 政策约束。在逐步部署 DMARC 时,您可以先从一小部分邮件开始。随着更多来自您网域的邮件通过接收服务器的身份验证,请更新您的记录,将此选项的值设为更高的百分比,直至达到 100%。

必须是 1100 之间的整数。如果您不在记录中使用此选项,则系统会将 DMARC 政策应用于从您网域发出的所有邮件。

BIMI 注意事项:如果您的网域使用 BIMI,DMARC 政策的 pct 值必须为 100。BIMI 不支持 pct 值小于 100 的 DMARC 政策。
rua

rua 标记是可选的,但 Google 建议您始终在 DMARC 记录中添加此标记。

将 DMARC 报告发送到某个电子邮件地址。电子邮件地址必须包含 mailto:
例如:mailto:dmarc-reports@example.com(将 example.com 替换为您的域名)。

  • 如需将 DMARC 报告发送到多个电子邮件地址,请使用英文逗号分隔各个电子邮件地址,并在每个地址前添加 mailto: 前缀。例如:mailto:dmarc-reports@example.com, mailto:dmarc-admin@example.com(将 example.com 替换为您的域名)。
  • 此选项可能会导致系统发送大量报告电子邮件。我们建议您不要使用自己的电子邮件地址,而是考虑使用专用邮箱、群组或专门处理 DMARC 报告的第三方服务。
  • 如需将 DMARC 报告发送到与托管 DMARC 记录的网域不同的网域中的电子邮件地址,请向电子邮件网域的 DNS 添加 TXT 记录。如需了解详情,请参阅 DMARC 报告页面上的将报告发送到其他网域中的电子邮件地址
ruf

(不受支持)Gmail 不支持用于发送失败报告的 ruf 标记。失败报告也称为取证报告。
sp (可选)为主网域中的子网域发送的邮件设置政策。如果您想为子网域指定不同的 DMARC 政策,请使用此选项。
  • noneTake no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.
  • quarantine将邮件标记为垃圾邮件,并将其发送至收件人的“垃圾邮件”文件夹。收件人可以查看垃圾邮件,并识别其中的正常邮件。
  • reject拒绝邮件。使用此选项后,邮件接收服务器会向邮件发送服务器发送系统退信。

如果您不在记录中使用此选项,则子网域会沿用针对父级网域设置的 DMARC 政策。
adkim (可选)设置 DKIM 匹配政策,用于指定邮件信息与 DKIM 签名应有的匹配程度。了解匹配的工作原理(本页面下文)。
  • s严格匹配。发件人域名必须与 DKIM 邮件标头中对应的 d=domainname 完全匹配。
  • rRelaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf (可选)设置 SPF 匹配政策,用于指定邮件信息与 SPF 签名应有的匹配程度。了解匹配的工作原理(本页面下文)。
  • s严格匹配。邮件的 From: 标头必须与 SMTP MAIL FROM 命令中的域名完全匹配。
  • r宽松匹配(默认)。允许部分匹配。接受域名的任何有效子网域。

DMARC 匹配

邮件能否通过 DMARC 检查,取决于发件人:标头中的域名与 SPF 或 DKIM 所指定的发信网域的匹配程度。这种检查方式叫做“匹配”。

目前有两种匹配模式可供选择:严格模式或宽松模式。您可以使用 DMARC 记录标记 aspfadkim 在 DMARC 记录中设置 SPF 和 DKIM 匹配模式。

身份验证方法 严格匹配 宽松匹配
SPF 信包发件人(也称为“返回路径”或“退回”)地址中的域名与发件人:标头地址中的域名完全匹配。 发件人:标头地址中的域名必须与信包发件人(也称为“返回路径”或“退回”)地址中的域名匹配,或者属于其子域名。
DKIM 相关 DKIM 域名与发件人:标头地址中的域名完全匹配。 发件人:标头地址中的域名必须与 DKIM 签名 d= 标记中指定的域名匹配,或者属于其子域名。

在某些情况下,Google 建议您考虑改用严格匹配模式,更有效地防范仿冒邮件:

  • 由不受您控制的子网域为您的网域发送邮件。
  • 您有由其他实体管理的子网域。
重要提示:通常情况下,宽松匹配模式就足以防范仿冒邮件。严格匹配模式可能会导致来自关联的子网域的邮件被拒或发送到“垃圾邮件”文件夹。

要通过 DMARC 检查,邮件必须至少通过以下检查之一:

  • SPF 身份验证和 SPF 匹配
  • DKIM 身份验证和 DKIM 匹配

如果邮件未通过以下任何检查,就无法通过 DMARC 检查:

  • SPF(或 SPF 匹配)
  • DKIM(或 DKIM 匹配)

第 4 步:将 DMARC 记录添加到您的域名

重要提示:对于此步骤,请参阅您的域名托管服务提供商的 DMARC 帮助文档。添加 DMARC 记录的步骤因域名托管服务商而异。

添加或更新您的记录

重要提示:请务必先设置 DKIM 和 SPF,然后再设置 DMARC。在启用 DMARC 前,DKIM 和 SPF 应提前至少 48 小时开始对邮件进行身份验证。

  1. 准备好您的 DMARC 记录的文本文件或文本行。
  2. 登录您的域名托管服务商(通常是您购买域名的公司)。如果您不确定自己的域名托管服务商是谁,请参阅确定您的域名注册商
  3. 前往用于更新域名 DNS TXT 记录的页面。如需获取与查找此页面相关的帮助,请查看您网域的相关文档。

  4. 使用以下信息添加或更新 TXT 记录(请参阅您域名的相关文档):

    字段名称 输入的值
    类型 记录类型为 TXT
    主机(名称、主机名、别名) 此值应为 _dmarc.example.com(将 example.com 替换为您的域名)。
    构成 TXT 记录的字符串。例如 v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s。如需了解详情,请参阅确定您的 DMARC 记录(本页面上文)。

    注意:部分域名托管服务商会自动添加域名。添加或更新 TXT 记录后,请验证 DMARC 记录中的域名,确保其格式正确无误。

  5. 保存更改。
  6. 如果您要为多个网域设置 DMARC,请为每个网域完成这些步骤。每个网域可拥有不同的政策以及不同的报告选项,具体会在记录中定义。
  7. 如需验证您的域名是否已设置 DMARC,您可以使用互联网上的各种免费工具。


Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。