設定DMARC防範垃圾郵件和冒名郵件

什麼是DMARC？為何要設定？

DMARC的全名是Domain-based Message Authentication, Reporting & Conformance，可用來抵擋冒名郵件攻擊。

若有冒名信件成功躲過SPF和DKIM的驗證，DMARC會負責隔離或拒絕該信件。

除此之外，您還可以透過DMARC向郵件伺服器索取報表，找出潛在危害。

您也可以參考Google的影片：

點選右下角的小齒輪，可以把字幕更換成繁體中文喔，請見底下截圖。

設定DMARC前的準備

您可以先參考底下的介紹影片：

• 由於DMARC會在email接受SPF和DKIM檢查時，校驗郵件標頭(header)的「From:」欄位是否符合寄件網域，且只有符合才會讓email通行，所以在設定DMARC之前請務必先啟用SPF和DKIM。
• 若您希望收到DMARC報表，建議您建立一個群組信箱專用。
• 取得網域供應商的DNS後台登入資訊。DMARC要在DNS後台設定。
• DMARC要用TXT記錄值的形式新增到DNS後台，若您還不熟悉，請參考這篇說明了解TXT記錄值。
• 檢查貴公司網域是不是本來就有DMARC了。您可以使用Google Admin Toolbox檢查。輸入您的網域名稱，點選「執行檢查！」。往下滑若有找到「DMARC 格式設定政策」就代表已經有DMARC囉。

定義DMARC記錄值

DMARC和SPF一樣是一行字串，裡面會定義DMARC檢查email的嚴格程度，以及email檢驗未通過時的後續行動。

底下我們準備了範例說明：

v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; adkim=s; aspf=s

• v：請維持DMARC1
• p：代表您要如何處置未通過驗證的email。有三個選擇，none代表不做任何處置，但email會被記錄到報表裡面；quarantine代表將email標示為垃圾郵件；reject代表拒絕這封email，也就是俗稱的退信。
• rua：代表要由哪個信箱收取DMARC報表，假設要由dmarc@abc.com收取，那就要輸入mailto:dmarc@abc.com。多個email地址請用半形逗號隔開。
• adkim、aspf：代表SPF和DKIM要執行得多嚴格。s代表嚴格校正；r代表寬鬆校正。

開始設定DMARC

步驟一：到DNS後台新增DMARC

每家DNS後台的模樣可能會有差異，但是大抵來說會有以下輸入欄位。冒號左邊為欄位，右邊為您該輸入的值：

1. Type：TXT
2. Host：_dmarc.[貴公司網域名稱]。舉例：_dmarc.example.com
3. Value：上方定義的DMARC記錄值。舉例：v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; adkim=s; aspf=s

步驟二：確認DMARC有成功生效

• 前往Google Admin Toolbox，打開左側的導覽列，然後點選Dig。
• 在「名稱」欄位輸入您之前設定的DMARC記錄值，比方說_dmarc.example.com。
• 點選「TXT」。
• 若找到開頭為_dmarc的字串即成功。

更多「Google Workspace 用戶常見問題」相關常見問題