Intro
基於域的消息認證,報告和一致性(DMARC,Domain-based Message Authentication, Reporting and Conformance)是一套以SPF及DKIM為基礎的電子郵件認證機制,可以檢測及防止偽冒身份、對付網路釣魚或垃圾電郵。
網域管理員可以在域名系統公佈相關政策,讓外界得知旗下域名的電子郵件提供何種方式(SPF及/或DKIM)認證身份,以及如果寄件者身份未能百分之百確認時,收件者可以如何處理郵件(放進垃圾信箱或直接回絕)及回報。回報機制可以讓網域管理員了解是否有第三者正在偽冒其網域身份寄出電郵。
DNS Record
範例
| 處理方式 | TXT 記錄內容 |
|---|---|
| 對於未通過 DMARC 檢查的郵件,不採取任何處置。僅透過電子郵件將每日報告傳送至 dmarc@domain.com。 | v=DMARC1; p=none; rua=mailto:dmarc@domain.com |
| 在未通過 DMARC 檢查的郵件中,將 5% 的郵件移至收件者的垃圾郵件資料夾,另外透過電子郵件將每日報告傳送至 dmarc@domain.com | v=DMARC1; p=quarantine; pct=5; rua=mailto:dmarc@domain.com |
| 拒絕所有未通過 DMARC 檢查的郵件,並透過電子郵件將每日報告傳送至以下 2 個地址:postmaster@sdomain.com 和 dmarc@domain.com。 | v=DMARC1; p=reject; rua=mailto:postmaster@domain.com, mailto:dmarc@sdomain.com |
| 對於未通過 DMARC 檢查的郵件,不採取任何處置。僅接收 DMARC 失敗報告至 dmarc@domain.com。 | v=DMARC1; p=none; ruf=mailto:dmarc@domain.com |
參數規格
| 標記名稱 | 是否必要 | 說明和值 |
|---|---|---|
| v | 必要 | 通訊協定版本。此值必須為 DMARC1。 |
| p | 必要 | Policy 定義您的網域對可疑郵件的處理方式: - none (無):不對郵件採取任何處置,僅將可疑郵件記錄於每日報告中。 - quarantine (隔離):將郵件標示為垃圾郵件,並移至收件者的 Gmail 垃圾郵件資料夾中。收件者可以在 Gmail 中查看自己的垃圾郵件。 - reject (拒絕):要求收件伺服器拒絕郵件。在這種情況下,收件伺服器應將退回的郵件傳送至寄件伺服器。 |
| pct | 選用 | Percentage: 設定要套用 DMARC 政策的可疑郵件百分比值。可疑郵件是指未通過 DMARC 檢查的郵件。必須是介於 1 和 100 之間的整數,預設值為 100。 |
| rua | 選用 | 全名為 Reporting URI for Aggregate data。用於接收您網域中 DMARC 活動相關報告的電子郵件地址。您可以使用自己的電子郵件地址,也可以建立新的電子郵件地址來接收報告。 電子郵件地址必須包含 mailto:,例如:mailto:dmarc-reports@solarmora.com。 如要將報告傳送到多個電子郵件地址,請用半形逗號分隔各個地址。 |
| ruf | 選用 | 全名為 Reporting URI for Failure data。用於接收您網域中 DMARC 失敗報告的電子郵件地址。僅包含未通過 DMARC 驗證郵件的信息。 |
| sp | 選用 | Subdomain Policy 為主網域中的子網域所寄送的郵件設定政策。如果您想為子網域設定不同的 DMARC 政策,請使用這個選項。none (無):不對郵件採取任何處置,僅將可疑郵件記錄於每日報告中。 - quarantine (隔離):將郵件標示為垃圾郵件,並保留郵件以便進行其他處置。 - reject (拒絕):指示收件伺服器拒絕郵件。 |
| adkim | 選用 | 設定 DKIM 的校正模式,該模式會定義郵件資訊與 DKIM 簽名的相符程度。 - s:表示「嚴格」。寄件者的網域名稱與 DKIM 郵件標頭中相應的 d=name 必須完全符合。 - r:表示「寬鬆」(預設值)。允許部分比對吻合,可接受 DKIM 郵件標頭中 d=domain 的任何有效子網域。 |
| aspf | 選用 | 全名為 Alignment Mode for SPF,設定 SPF 的校正模式,該模式會定義郵件資訊與 SPF 簽名的相符程度。 - s:表示「嚴格」。郵件的 from: 標頭與 SMTP MAIL FROM 指令中的 domain.name 必須完全符合。 - r:表示「寬鬆」(預設值)。允許部分比對吻合,可接受 domain.name 的任何有效子網域。 |