DMARC 策略生成器
按需自由组合 DMARC 策略,并实时观察 DNS 记录自动生成——或者粘贴您已有的记录,将其还原为通俗易懂的选项。两者始终双向保持同步。
什么是 DMARC?
DMARC(基于域名的邮件认证、报告与一致性)是一条小小的 DNS 记录,它告诉全世界的邮箱:当邮件声称来自您的域名却无法证明时,应如何处理。说得直白些:它就是您用来阻止骗子向客户发送以假乱真的“you@yourcompany.com”钓鱼邮件的方式。
电子邮件本身没有内置的方式来验证邮件的真正发件人——任何人都可以在“From”一行里填上您的地址。两项较早的标准 SPF 和 DKIM 让接收方邮件服务器能够检查邮件是否确实来自您授权的服务器。DMARC 将二者结合起来:它让您告诉接收方在这些检查失败时该怎么做,并请求接收方向您发送报告,以便您了解谁在以您的域名发送邮件。
SPF
一份公开的服务器清单,列出获准代表您的域名发送邮件的邮件服务器。接收方会将发送服务器与该清单进行核对。
DKIM
为每封邮件添加的防篡改数字签名,让接收方能够确认邮件在传输途中未被伪造或篡改。
DMARC
位于两者之上。它决定当一封邮件同时未通过 SPF 和 DKIM 时会发生什么,并收集报告——也就是您在下方所配置的内容。
您可以将本工具生成的记录作为一条 TXT 记录发布到您 DNS 提供商处的 _dmarc.yourdomain.com。保存之后,更改可能需要一段时间才能在互联网上扩散(“DNS 传播”),因此报告不会立即开始。
构建您的策略
切换左侧的选项以适配您的实际情况。如果不确定,请阅读每个选项下方的说明——右侧的 DNS 记录会随之实时更新。已经有记录了?将它粘贴到记录框中,各选项就会自动填充以与之匹配。
策略向导
选择您想要的选项——记录会实时更新。
强制执行
p最关键的一项:当邮件未通过验证却声称来自您的域名时,您希望其他邮件提供商如何处理这类邮件。
仅监控。接收方仍会照常投递验证失败的邮件,但会向您发送报告。这是最安全的起点——您可以先观察几周,再逐步收紧策略。
按比例应用
pct一道安全阀:让接收方一开始只对一部分邮件(随机抽取)应用您的策略,这样万一出错也不会一次影响到所有人。大多数人会将其保持在 100%。
子域名策略
sp为 news.yourdomain.com 或 mail.yourdomain.com 等子域名设置单独的规则。若不设置,它们将直接沿用上面的主策略。
不存在的子域名
np专门针对您从未设置过的子域名的更严格规则。骗子很喜欢利用这类子域名,因为不存在会被误拦的真实邮件——所以在这里通常可以安全地使用拒绝。
DKIM 对齐
adkimDKIM 签名的域名必须与您的 From 地址匹配到何种程度。宽松模式将子域名(mail.yourdomain.com)视为与 yourdomain.com 匹配;严格模式则要求完全一致。通常选择宽松模式。
SPF 对齐
aspf对 SPF 而言同理:发送服务器的域名必须与您的 From 地址匹配到何种程度。宽松模式允许子域名匹配;严格模式则要求完全一致。通常选择宽松模式。
汇总报告
rua接收每日汇总报告的电子邮件地址。这些报告会显示谁在以您的域名发送邮件以及是否通过验证——这正是从“无”开始的全部意义所在。强烈推荐填写。
失败报告
ruf用于接收单封验证失败邮件详细报告的地址。它对排查问题很有用,但出于隐私原因,大多数提供商已不再发送这类报告——所以它是可选的。
报告间隔
ri您希望多久收到一次汇总报告。实际上,无论如何设置,接收方几乎总是每天发送一次,因此默认值(86400 seconds = 24 hours)保持不变即可。
DNS 记录
请在您的域名下发布此 TXT 记录。
在您的 DNS 提供商处将其添加为一条新记录。“类型”和“主机”是它要求填写的字段——有些提供商只需在主机字段中填写 _dmarc,并会自动为您补全域名。
在此粘贴现有记录,向导会自动更新以与之匹配。