Defaults.Exposed › Konfiguration › DMARC

Så konfigurerar du DMARC på Google Workspace

Lägg till ett DMARC-record i din DNS och tala om för mottagare vad de ska göra med e-post som misslyckas med dina SPF- och DKIM-kontroller.

Det här betyder för din verksamhet

DMARC är policyn som knyter ihop SPF och DKIM. Den talar om för mottagande e-postservrar vad de ska göra när ett mejl som påstås komma från din domän misslyckas med kontrollerna — ignorera det, skicka det till skräppost eller neka det direkt — och den kan skicka rapporter till dig som visar vem som skickar (och förfalskar) e-post som dig. Enkelt uttryckt: DMARC är det som faktiskt hindrar bedragare från att utge sig för att vara din domän för att lura dina kunder och anställda. Det är gratis och gör SPF och DKIM till ett verkligt skydd i stället för något som bara är “bra att ha”.

Gör SPF och DKIM först

DMARC är beroende av SPF och DKIM. Konfigurera dem innan, eller tillsammans med, DMARC. Ett DMARC-record på egen hand — utan fungerande SPF/DKIM — kan orsaka att din egen legitima e-post blockeras. Börja försiktigt (se policynoten nedan) och skärp inställningarna med tiden.

Viktigt: var detta görs

Precis som SPF är DMARC ett DNS-record, inte en inställning i Google Admin-konsolen. Google Workspace driver din e-post, men DMARC-recordet läggs till hos den leverantör där din domäns DNS finns — din registrar, webbhost, Cloudflare eller den som kontrollerar dina namnservrar. Det finns inget att aktivera i Google för DMARC; Googles del är helt enkelt att fungerande SPF och DKIM (konfigurerade separat) är vad DMARC förlitar sig på.

Först: vilket företag hanterar din DNS?

Ett DMARC-record fungerar bara om det läggs till hos den leverantör dit din domäns namnservrar pekar. Om du är osäker, kontrollera avsnittet Nameservers i ditt registrarkonto, eller fråga den som konfigurerade din webbplats. Lägg till recordet i det företagets DNS-inställningar (leta efter DNS / Records / Advanced DNS).

Vad du ska lägga till

Ett enda TXT-record på ett speciellt värdnamn: _dmarc.

Ett säkert startvärde som bara övervakar och aldrig blockerar något är:

v=DMARC1; p=none; rua=mailto:[email protected]

• p=none = övervakning endast; ingenting blockeras ännu. Bra för de första veckorna.
• rua=mailto:... = dit sammanfattningsrapporterna skickas. Använd en riktig postlåda du kontrollerar.
• När du har bekräftat (via rapporterna och den kostnadsfria kontrollen) att din genuina e-post passerar, kan du skärpa policyn till p=quarantine (skicka misslyckanden till skräppost) och senare p=reject (neka misslyckanden direkt).

Steg

1. Logga in på din DNS-host (din registrar, webbhost eller DNS-leverantör — inte Google Admin-konsolen).
2. Öppna DNS-inställningarna för din domän (leta efter DNS / Records / Advanced DNS).
3. Lägg till ett nytt record och välj TXT.
4. I fältet Name / Host, ange exakt _dmarc (med det inledande understrecket). Skriv inte _dmarc.yourdomain.com — DNS-hosten lägger till din domän automatiskt.
5. I fältet Value, klistra in din DMARC-sträng, t.ex. v=DMARC1; p=none; rua=mailto:[email protected] (ersätt e-postadressen med en riktig adress du övervakar).
6. Lämna TTL på standardvärdet.
7. Spara.

Vanliga misstag

• Det finns inte i Google Admin-konsolen. Många letar igenom Googles inställningar efter “DMARC” — det finns inte där. Det hör hemma hos din DNS-host.
• Värdnamnet är _dmarc, med understrecket. Om du utelämnar understrecket, eller skriver hela domänen efter det, hamnar recordet på fel plats och DMARC hittas inte.
• Var uppmärksam på citationstecken. Klistra in värdet utan formattering; de flesta DNS-hostar lägger till citationstecken åt dig. Omslut det inte med "..." själv.
• Bara ett DMARC-record. Det ska finnas exakt ett TXT-record på _dmarc. Om ett redan finns, redigera det i stället för att lägga till ett andra.
• Börja med p=none. Att hoppa direkt till p=reject innan SPF/DKIM är stabila kan blockera dina egna fakturor och offerter. Övervaka först, skärp sedan.
• Använd en riktig rapportpostlåda. Adressen för rua måste vara en du faktiskt kan ta emot e-post på.
• Ge det tid. DNS-ändringar kan ta från minuter upp till ett par timmar att slå igenom överallt.

Verifiera att det fungerade

När det är sparat, bekräfta att ditt DMARC-record är live och korrekt med den kostnadsfria kontrollen på Defaults.Exposed. Ange din domän så berättar den på enkelt språk om DMARC är korrekt konfigurerat och vad du ska göra härnäst. Dina uppgifter behandlas inom EU.

Klart? Kontrollera din domän gratis för att bekräfta att det fungerade — och se ditt fullständiga betyg mot alla 34 kontroller.