如何設定DMARC記錄 - Direct Mail

本文主要介紹什麼是DMARC，以及如何設定DMARC記錄。

一、DMARC

DMARC是（Domain-based Message Authentication, Reporting & Conformance）的縮寫，設定DMARC記錄，防止他人偽造貴司網域名稱，還可以擷取到他人嘗試偽造貴司網域名稱的情況。

當收信方（其MTA需支援DMARC協議）收到貴司網域名稱發送的郵件時，會進行DMARC校正，若校正失敗會發送一封report到DMARC記錄值中設定的郵箱帳號裡。

TXT="v=DMARC1; p=quarantine; pct=0; ri=3600; rua=mailto:abc@example.net; ruf=mailto:abc@example.net"

P：表示當出現偽造郵件時，網域名稱所有方，希望收信方採取的行為，有none/quarantine/reject
- p=none：允許存取所有來自您網域名稱的郵件，即使郵件未通過DMARC驗證。
- p=quarantine：隔離一部分郵件，通常為放入垃圾箱。配合pct參數（預設為100），設定未通過DMARC驗證的郵件中隔離的百分比。
- p=reject：執行嚴格拒絕，拒絕所有未通過身分識別驗證的郵件。
rua：用於接收收信服務商的匯總報告。
ruf：用於接收收信服務商拒信的詳細資料。
SP：子網域名稱策略（類似P，對子域生效），所以使用者如果主網域名稱配置了帶SP的dmarc策略，也可以起效。
ri：匯總報告之間要求的間隔（純文字32位無符號整型；可選的；預設為86400）.表明要求接收者產生匯總報告的間隔不超過要求的秒數。
ADKIM：dkim對齊模式，沒填或者r 為寬鬆，s為嚴格，寬鬆允許子域，嚴格則需要嚴格對齊。
ASPF：spf對齊模式，沒填或者r 為寬鬆，s為嚴格，寬鬆允許子域，嚴格則需要嚴格對齊。
v：版本（純文字；必要的）值為“DMARC1”，必須作為第一個標籤。
fo：故障報告選項（純文字；可選的；預設為0），以冒號分隔的列表，如果沒有指定“ruf”，那麼該標籤的內容將被忽略，建議搭配p=none用於觀察測試，設定為1會導致reject不生效。

1、在設定DMARC記錄之前，貴司須保證已經設定包含以下 SPF 記錄：“v=spf1 include:spf1.dm.aliyun.com -all”，或者已經按照控制台給的dkim值，配置了DKIM協議

2、當設定了SPF記錄後，可以設定如下DMARC記錄：

操作解析的網域名稱	解析記錄類型	解析記錄值
_dmarc	TXT	v=DMARC1; p=quarantine; rua=mailto:dmarc_report@service.aliyun.com

重要

解析記錄值中“dmarc_report@service.aliyun.com”為Direct Mail預設收集dmarc報告郵箱，使用者如果需要查看具體dmarc報告，需要填寫一個正常收發信的同組織郵箱地址（可以為子網域名稱郵箱）。
如果您的網域名稱不在阿里雲購買的，具體添加方法建議諮詢網域名稱所在服務商。

如下以阿里雲解析DNS為例：

1、登入阿里雲解析DNS，在列表中選擇需要解析的網域名稱。單擊“解析設定”，進入解析設定介面。

2、在解析設定介面，單擊“添加記錄”，填寫完成點擊“確認”。

樣本：

記錄類型：TXT

主機記錄：@

下圖為添加DMARC記錄樣本： DMARC

用dig命令/nslookup命令查詢DMARC記錄

Linux：% dig _dmarc.domain(查詢的網域名稱) txt

Windows：nslookup -qt=TXT _dmarc.domain(查詢的網域名稱)