設定 DMARC

如果從您網域寄出的郵件未通過 SPF 或 DKIM 驗證,DMARC 會指示收件電子郵件伺服器該如何處理這類郵件。可用動作選項包括拒絕、隔離或傳送郵件。此外,您也可以取得報表,找出網域寄出的郵件中,是否有潛在的驗證問題與惡意活動。在網域中新增 DMARC DNS TXT 記錄 (簡稱「DMARC 記錄」),即可設定 DMARC。

DMARC 記錄是一行文字,可依網域供應商的指示新增到網域中。以下是 DMARC 記錄範例:

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

如果收件伺服器收到來自您網域的電子郵件,但郵件未通過 SPF 或 DKIM 驗證,伺服器就會根據您的 DMARC 記錄,決定要拒收、隔離或正常傳送郵件。

本頁內容

事前準備

  • 您必須先開啟網域的 SPF 和/或 DKIM,才能使用 DMARC。如果您尚未設定 SPF 和/或 DKIM,請參閱「協助防範假冒郵件、網路釣魚郵件和垃圾郵件」。
    • 如果您不先設定 SPF 和/或 DKIM 就啟用 DMARC,從您網域寄出的郵件可能會發生傳送問題。
    • 設定 SPF 和/或 DKIM 後,請等候 48 小時再設定 DMARC。
  • 如要檢查網域是否已設定 DMARC,請使用網際網路上提供的任一免費工具。如果已設定 DMARC,請檢閱 DMARC 報表,確保 DMARC 能有效驗證郵件,且郵件能正常傳送。
  • 設定 DMARC 時,您不需在 Google 管理控制台操作,而是應按照本頁指示,判斷要使用的 DMARC 記錄。接著,請登入網域代管商網站,並按照相應的 DMARC 操作說明新增 DMARC 記錄。

步驟 1:設定用來接收報表的群組或信箱

您會從電子郵件收到多少 DMARC 報表並不一定,具體要看有多少郵件從您的網域寄出,以及收到您郵件的網域數量。因此您可能每天會收到很多份報表。大型機構一天可能收到幾百甚至上千份報表。因此,Google 建議您建立專門接收/管理 DMARC 報表群組信箱

重要事項:接收報表的電子郵件地址通常會與代管 DMARC 記錄的網域相同。如果電子郵件地址所在的網域不同,您必須在其他網域中新增 DNS 記錄。請參閱 DMARC 報表頁面的「將報表傳送至位在其他網域的電子郵件地址」一節。

步驟 2:確認第三方電子郵件已通過驗證

如果貴機構採用第三方服務傳送郵件,請確保第三方服務寄送的郵件皆已通過 SPF 和 DKIM 驗證:

  • 與您的第三方供應商聯絡,確認已正確設定 SPF 和 DKIM。
  • 確保供應商的郵件寄件者網域與您的網域相同,方法是將供應商寄件伺服器的 IP 位址新增到您網域的 SPF 記錄中。
  • 您可以使用 SMTP 轉發服務設定,透過 Google 轉送供應商的外寄郵件。

步驟 3:決定要使用的 DMARC 記錄

您的 DMARC 政策是由名為「DMARC 記錄」的一行文字值所定義。這項記錄定義了以下內容:

  • DMARC 執行郵件檢查的嚴格程度
  • 當收件伺服器收到未通過驗證檢查的郵件時,建議採取何種行動

DMARC 記錄示例 (請將 example.com 替換為您的網域):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

開頭必須是 vp 標記,其他標記則不限次序。

如果您剛開始使用 DMARC,建議將政策選項 (p) 設為 none。等您瞭解收件伺服器如何驗證來自您網域的郵件後,再更新政策,您可以逐步將接收方政策變更為 quarantine (或 reject)。詳情請參閱「建議的 DMARC 推出方式」。

DMARC 記錄標記的定義和值

標記 說明和值
v

(必要) DMARC 版本。必須為 DMARC1
p (必要) 指示收件伺服器如何處理未通過驗證的郵件。
  • none:不對郵件採取任何處置,並將郵件傳送給指定的收件者。這會將郵件記錄在每日報告中,而該報告將傳送到記錄中使用 rua 選項指定的電子郵件地址。
  • quarantine—:將郵件標示為垃圾郵件,並傳送至收件者的垃圾郵件資料夾。收件者可以檢查是否有正常郵件被誤當成垃圾郵件。
  • reject—:拒絕郵件。指定這個值時,收件伺服器通常會傳送退件通知至寄件伺服器。

BIMI 注意事項:如果所屬網域採用 BIMI,DMARC 的 p 選項必須設為 quarantinereject。如果將 p 選項設為 none,BIMI 就不支援 DMARC 政策。
pct

pct 標記為選用項目,但 Google 建議您在導入 DMARC 時將這個標記納入 DMARC 記錄,以便管理套用 DMARC 政策的電子郵件百分比。

指定須依 DMARC 政策處理的未經驗證郵件比例。逐步部署 DMARC 時,您可能會先從少量郵件開始。如果越來越多通過收件伺服器驗證的郵件從您的網域寄出,這時就可以逐步調高記錄中的比例,直到達到百分之百。

這個值必須是介於 1100 之間的整數。如果不在記錄中使用這個標記,DMARC 政策就會適用於來自您網域的所有郵件。

BIMI 注意事項:如果所屬網域採用 BIMI,DMARC 政策的 pct 值必須設為 100。BIMI 不支援 pct 值低於 100 的 DMARC 政策。
rua

rua 標記為選用項目,但 Google 建議您一律在 DMARC 記錄中加入這個標記。

將 DMARC 報表傳送到電子郵件地址。電子郵件地址必須包含 mailto:
例如:mailto:dmarc-reports@example.com (請將 example.com 替換為您的網域)。

  • 如要將 DMARC 報表傳送到多個電子郵件地址,請以半形逗號分隔每個電子郵件地址,並在每個地址前加上 mailto: 前置字元。例如:mailto:dmarc-reports@example.commailto:dmarc-admin@example.com (請將 example.com 替換為您的網域)。
  • 使用這個標記可能導致系統傳送大量報表電子郵件。我們不建議您使用自己的電子郵件地址,請考慮指定專門處理 DMARC 報表的信箱、群組或第三方服務。
  • 如果要將 DMARC 報表傳送到的電子郵件地址,其所在網域與代管 DMARC 記錄的網域不同,請在電子郵件網域的 DNS 中新增 TXT 記錄。詳情請參閱「DMARC 報表」頁面中的「將報表傳送至位在其他網域的電子郵件地址」。
ruf

(不支援) Gmail 不支援用於傳送失敗報表的 ruf 標記。失敗報表又名鑑識報表。
sp (選用) 為來自主網域底下子網域的郵件設定政策。如果您想為子網域設定不同的 DMARC 政策,請使用這個標記。
  • noneTake no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.
  • quarantine:將郵件標示為垃圾郵件,並傳送至收件者的垃圾郵件資料夾。收件者可以檢查是否有正常郵件被誤當成垃圾郵件。
  • reject:拒絕郵件。指定這個值時,收件伺服器應會傳送退件通知至寄件伺服器。

如果不在記錄中使用這個標記,子網域就會沿用為上層網域設定的 DMARC 政策。
adkim (選用) 設定 DKIM 校驗政策,定義郵件資訊與 DKIM 簽名的相符程度。瞭解校驗方式 (本頁後續內容)。
  • s:嚴格校驗。寄件者的網域名稱與 DKIM 郵件標頭中相應的「d=domainname」必須完全吻合。
  • rRelaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf (選用) 設定 SPF 校驗政策,定義郵件資訊與 SPF 簽名的相符程度。瞭解校驗方式 (本頁後續內容)。
  • s:嚴格校驗。郵件的「From:」標頭與 SMTP MAIL FROM 指令中的網域名稱必須完全吻合。
  • r寬鬆校正 (預設)。允許只有部分比對吻合,可接受網域名稱之下的任何有效子網域。

DMARC 校驗

DMARC 會根據「寄件者:」標頭網域與 SPF/DKIM 所指定寄件網域的相似程度,決定是否讓郵件通過檢查。這就是所謂的「校驗」程序。

我們提供「嚴格」與「寬鬆」這兩種校驗模式供您選擇。您需使用 aspfadkim DMARC 記錄標記,在 DMARC 記錄中設定 SPF 和 DKIM 的校驗模式。

驗證方式 嚴格校驗 寬鬆校驗
SPF 將寄件者地址 (也稱為回覆路徑或退信地址) 中的網域,與標頭「寄件者:」地址中的網域進行完全比對。 標頭「寄件者:」地址中的網域必須與寄件者地址 (也稱為回覆路徑或退信地址) 中的網域相符,或為後者的子網域。
DKIM 將相關 DKIM 網域與標頭「寄件者:」地址中的網域進行完全比對。 標頭「寄件者:」地址中的網域必須與 DKIM 簽名 d= 標記中指定的網域相符,或為後者的子網域。

在下列特定情況中,Google 會建議您改用嚴格校驗模式,提高對假冒攻擊的防禦力:

  • 由不受您控制的子網域為您的網域寄出郵件。
  • 您有受到其他實體管理的子網域。
重要事項:寬鬆校驗通常足以抵禦假冒攻擊。如果採用嚴格校驗,來自關聯子網域的郵件可能會遭拒或歸類為垃圾郵件。

如要通過 DMARC 檢查,郵件必須至少通過下列其中一項檢查:

  • SPF 驗證和 SPF 校驗
  • DKIM 驗證和 DKIM 校驗

如果郵件未能通過下列任一檢查,就不能通過 DMARC 檢查:

  • SPF (或 SPF 校驗)
  • DKIM (或 DKIM 校驗)

步驟 4:在網域中新增 DMARC 記錄

重要事項:請參閱網域代管商的 DMARC 說明文件,瞭解如何完成此步驟。新增 DMARC 記錄的步驟會因網域代管商而異。

新增或更新記錄

重要事項:請務必先設定 DKIM 和 SPF,再設定 DMARC。請等 DKIM 和 SPF 開始驗證郵件至少 48 小時之後,再啟用 DMARC。

  1. 備妥 DMARC 記錄的文字檔或文字行。
  2. 登入網域代管商服務 (通常是您購買網域的公司)。如果不確定自己的網域代管商是哪家公司,請參閱「找出網域註冊商」一文。
  3. 前往用於更新網域 DNS TXT 記錄的頁面。如要瞭解如何找到這個頁面,請參閱網域的說明文件。

  4. 使用這項資訊新增或更新 TXT 記錄 (請參閱網域的說明文件):

    欄位名稱 應輸入的值
    類型 記錄類型為 TXT
    主機 (名稱、主機名稱、別名) 這個值應為 _dmarc.example.com (請將 example.com 替換為您的網域名稱)。
    這是組成 TXT 記錄的字串,例如:v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s。詳情請參閱前面提到的「決定要使用的 DMARC 記錄」。

    注意:部分網域代管商會自動加上網域名稱。新增或更新 TXT 記錄後,請驗證 DMARC 記錄中的網域名稱,確保格式正確無誤。

  5. 儲存變更。
  6. 如要為多個網域設定 DMARC,請為每個網域完成下列步驟。各網域可以有不同的政策和報表選項 (由記錄定義)。
  7. 如要確認網域已設定 DMARC,請使用網際網路上提供的任一免費工具。


Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標,所有其他公司和產品名稱則是與個別公司關聯的商標。