DMARC 概述

DMARC 表示“基于域的消息验证、报告和一致性”，是一种邮件身份验证协议。它建立在广泛部署的 SPF 和 DKIM 协议上，还会添加一个报告功能，让发送人和接收人可以改善和监测域，防止收到欺骗性邮件。 

垃圾邮件制作者通常会在邮件中‘假冒’或‘伪造’‘发件人地址’，并让它看起来好像来自您的域。为了防止您的域出现这种类型的滥用，以及为了让其他收件人域了解您的发出域策略，您可以发布 DMARC 记录，使用 DMARC 标准的邮件服务可以使用该记录来处理未经身份验证的邮件。这也有助于控制使用您的域进行的‘网络欺诈’活动，并帮助保护您的域的声誉。

在发布 DMARC 之前

DMARC 策略让发件人可以指明其邮件受到 SPF 和/或 DKIM 的保护，并指导收件人如何操作，如果 SPF 和 DKIM 检查均失败，则可以隔离或拒绝邮件。DMARC 帮助收件人更好地处理失败的邮件，因此可限制或消除收件人端受到此类使用域的假冒邮件的影响。DMARC 也为收件人提供一种方法，向发件人发回报告以说明有关通过和/或未通过 DMARC 评估的邮件的情况。

仅当您使用您自己的域发送所有邮件时，DMARC 策略才有效。代表您的域或经由第三方服务发送的邮件将显示为未经验证，可能会基于已发布的 DMARC 策略而被拒绝。若要通过第三方提供商来授权邮件，您需要共享包括在邮件头中的 DKIM 密钥，或邮件应通过已发布授权 DKIM 密钥和 SPF 记录的 SMTP 服务器来发送。 

在发布 DMARC 策略之前，您需要为您的域配置 SPF 记录和 DKIM 密钥。DMARC 策略基于 SPF 和 DKIM 密钥，以便确保邮件真实性。使用您的域Zoho Mail 企业邮箱地址的邮件如未通过 SPF 测试和/或 DKIM 测试，将会触发 DMARC 策略。 

发布 DMARC 策略

若要发布 DMARC 策略，您需要按以下格式在您的 DNS 中创建 TXT 记录。 

TXT 记录的名称：

_dmarc.yourdomain.com 其中 yourdomain.com 必须用您的域名来替换。

TXT 记录值： 

"v=DMARC1; p=none; rua=mailto:admin@yourdomain.com"

p=none 是建议的基本策略。您可以在以后将它更改为 p=quarantine，然后更改为 p=reject。 

以分阶段方式铺开 DMARC 策略

我们强烈建议以分阶段方式铺开 DMARC 策略若要以分阶段方式铺开，您需要将参数‘p’从 none 更改为 quarantine，并最终更改为 reject。类似地，在第 2 阶段（隔离阶段）和第 3 阶段（拒绝阶段），您可以使用可选参数‘pct’来控制被隔离或拒绝的邮件百分比。 

第 1 阶段：监测报表和流量 

"v=DMARC1; p=none; rua=mailto:admin@yourdomain.com"

在此阶段，您可以将策略设置为 p=none。这样就会通过在策略中指定的邮箱地址向您发送违规报告。报告为您提供有关邮件异常、未获签名的邮件来源或似乎为假冒的邮件的信息。您可以查看来源，并可在您的 SPF 记录中包括有效的 IP 地址或使用 DKIM 配置来源（如果它们为合法）。一旦您发现报表仅包含有效的假冒邮件，您可以将策略更改为“隔离”。 

第 2 阶段：隔离邮件和分析

"v=DMARC1; p=quarantine; rua=mailto:admin@yourdomain.com"

在此阶段，您可以将策略设置为 p=quarantine。这样就会通过在策略中指定的邮箱地址向您发送违规报告，还会将此类邮件发送值隔离区。您可以监测隔离区中的邮件并从隔离区批准或拒绝邮件。您可以重新访问报表并监测隔离区邮件。

您也可以在 DMARC TXT 记录模板中使用‘pct’参数，以便指定受第 2 阶段中的策略影响的邮件百分比，并将百分比慢慢增加到 100% 以使部署完成。重要的方面是确保您定期监测邮件报表，以确保有效邮件不会被拒绝或受影响。

"v=DMARC1; p=quarantine; pct=20; rua=mailto:admin@yourdomain.com" 

在上面的示例中，只会隔离 20% 显示为假冒的邮件，报告中将仅包括其余邮件的详细信息。 

一旦您将 TXT 记录更改为上面示例中所示并删除 pct 参数，则未通过 DMARC 策略的所有邮件都将被拒绝。 

一旦您确信只有假冒的邮件将被拒绝，所有有效的邮件会获得签名，则您可以将策略更改为‘拒绝’以完全铺开 DMARC。 

第 3 阶段：拒绝假冒的邮件

"v=DMARC1; p=reject; rua=mailto:admin@yourdomain.com"

在此阶段，您可以将策略设置为 p=reject。在作出此更改之后，使用您的域名假冒的邮件将被拒绝。您可以通过收到的报表来追踪被拒绝的邮件，并通过邮件发送至 TXT 记录中提供的邮箱地址。