Defaults.Exposed › การตั้งค่า › DMARC
วิธีตั้งค่า DMARC บน Google Workspace
เพิ่ม DMARC record ใน DNS เพื่อบอกผู้รับว่าต้องทำอะไรกับอีเมลที่ไม่ผ่านการตรวจสอบ SPF และ DKIM ของคุณ
เหตุใดสิ่งนี้จึงสำคัญต่อธุรกิจของคุณ
DMARC คือ policy ที่เชื่อม SPF และ DKIM เข้าด้วยกัน ระบบบอกเมล์เซิร์ฟเวอร์ที่รับว่าต้องทำอะไรเมื่ออีเมลที่อ้างว่ามาจากโดเมนของคุณไม่ผ่านการตรวจสอบเหล่านั้น — เพิกเฉย ส่งไปสแปม หรือปฏิเสธโดยสิ้นเชิง — และสามารถส่งรายงานให้คุณแสดงว่าใครกำลังส่ง (และปลอมแปลง) เมลในนามคุณ พูดให้เข้าใจง่าย: DMARC คือสิ่งที่หยุดอาชญากรจากการปลอมแปลงโดเมนของคุณเพื่อหลอกลวงลูกค้าและพนักงานของคุณ ฟรี และเปลี่ยน SPF และ DKIM จาก “มีก็ดี” เป็นการป้องกันจริง ๆ
ทำ SPF และ DKIM ก่อน
DMARC ขึ้นอยู่กับ SPF และ DKIM ตั้งค่าสิ่งเหล่านั้นก่อนหรือพร้อมกับ DMARC DMARC record เพียงอย่างเดียว — โดยไม่มี SPF/DKIM ที่ทำงานได้ — อาจทำให้อีเมลแท้ของคุณเองถูกบล็อก เริ่มอย่างนุ่มนวล (ดูหมายเหตุ policy ด้านล่าง) และเข้มงวดขึ้นตามเวลา
สำคัญ: สิ่งนี้ทำได้ที่ไหน
เหมือน SPF, DMARC คือ DNS record ไม่ใช่การตั้งค่าในคอนโซลผู้ดูแลระบบของ Google Google Workspace รันอีเมลของคุณ แต่ DMARC record ถูกเพิ่มที่ที่ DNS ของโดเมนของคุณอยู่ — registrar, web host, Cloudflare หรือผู้ใดก็ตามที่ควบคุม nameserver ของคุณ ไม่มีอะไรต้องสลับใน Google สำหรับ DMARC ส่วนของ Google เพียงแค่ว่า SPF และ DKIM (ตั้งค่าแยกต่างหาก) ที่ทำงานได้คือสิ่งที่ DMARC ใช้
ก่อนอื่น: บริษัทใดรัน DNS ของคุณ?
DMARC record จะทำงานได้ก็ต่อเมื่อถูกเพิ่มที่ที่ nameserver ของโดเมนชี้ไป หากคุณไม่แน่ใจ ให้ตรวจสอบส่วน Nameservers ในบัญชี registrar ของคุณ หรือถามผู้ที่ตั้งค่าเว็บไซต์ของคุณ เพิ่ม record ในการตั้งค่า DNS ของบริษัทนั้น (มองหา DNS / Records / Advanced DNS)
สิ่งที่คุณจะเพิ่ม
TXT record เดียวที่ชื่อ host พิเศษ: _dmarc
ค่าเริ่มต้นที่ปลอดภัย ซึ่งตรวจสอบเท่านั้นและไม่บล็อกสิ่งใด คือ:
v=DMARC1; p=none; rua=mailto:[email protected]
p=none= ตรวจสอบเท่านั้น ยังไม่มีอะไรถูกบล็อก เหมาะสำหรับสองสามสัปดาห์แรกrua=mailto:...= ที่ที่รายงานสรุปถูกส่งไป ใช้กล่องจดหมายจริงที่คุณตรวจสอบ- เมื่อคุณยืนยัน (ผ่านรายงานและการตรวจสอบฟรี) ว่าเมลแท้ของคุณผ่าน คุณสามารถเข้มงวด policy เป็น
p=quarantine(ส่งที่ล้มเหลวไปสแปม) และต่อมาเป็นp=reject(ปฏิเสธที่ล้มเหลวโดยสิ้นเชิง)
ขั้นตอน
- ลงชื่อเข้าใช้ DNS host ของคุณ (registrar, web host หรือ DNS provider — ไม่ใช่คอนโซลผู้ดูแลระบบของ Google)
- เปิด DNS settings สำหรับโดเมนของคุณ (มองหา DNS / Records / Advanced DNS)
- เพิ่ม record ใหม่และเลือก TXT
- ในช่อง Name / Host ป้อนให้ตรงทั้งหมด
_dmarc(พร้อม underscore นำหน้า) อย่าพิมพ์_dmarc.yourdomain.com— DNS host ต่อโดเมนของคุณให้อัตโนมัติ - ในช่อง Value วาง DMARC string ของคุณ เช่น
v=DMARC1; p=none; rua=mailto:[email protected](แทนที่อีเมลด้วยที่อยู่จริงที่คุณตรวจสอบ) - ปล่อย TTL ไว้ที่ค่าเริ่มต้น
- บันทึก
ข้อผิดพลาดที่มักเกิดขึ้น
- ไม่ได้อยู่ในคอนโซลผู้ดูแลระบบของ Google คนมักค้นหา “DMARC” ในการตั้งค่าของ Google — ไม่มีที่นั่น มันอยู่ใน DNS host ของคุณ
- ชื่อ host คือ
_dmarcพร้อม underscore การลืม underscore หรือพิมพ์โดเมนเต็มต่อท้ายจะใส่ record ในที่ผิดและ DMARC จะไม่ถูกพบ - ระวังการครอบ วางค่าธรรมดา DNS hosts ส่วนใหญ่เพิ่มการครอบให้คุณ อย่าครอบด้วย
"..."เอง - มี DMARC record ได้แค่รายการเดียว ควรมี TXT record เพียงรายการเดียวที่
_dmarcหากมีอยู่แล้ว ให้แก้ไขแทนที่จะเพิ่มรายการที่สอง - เริ่มด้วย
p=noneการข้ามไปp=rejectก่อนที่ SPF/DKIM จะมั่นคงอาจบล็อกใบแจ้งหนี้และใบเสนอราคาของคุณเอง ตรวจสอบก่อน เข้มงวดทีหลัง - ใช้กล่องจดหมายรายงานจริง ที่อยู่
ruaต้องเป็นที่อยู่ที่คุณรับได้จริง ๆ - ให้เวลามัน การเปลี่ยนแปลง DNS อาจใช้เวลาตั้งแต่สองสามนาทีถึงสองสามชั่วโมงในการมีผลทุกที่
ตรวจสอบว่าได้ผล
เมื่อบันทึกแล้ว ยืนยันว่า DMARC record เผยแพร่และถูกต้องด้วยการตรวจสอบฟรีบน Defaults.Exposed ป้อนโดเมนของคุณแล้วระบบจะบอกคุณอย่างชัดเจนว่า DMARC ตั้งค่าถูกต้องหรือไม่และต้องทำอะไรต่อไป ข้อมูลของคุณประมวลผลในสหภาพยุโรป
เสร็จแล้ว? ตรวจสอบโดเมนของคุณฟรี เพื่อยืนยันว่าใช้งานได้ — และดูคะแนนเต็มของคุณใน 34 การตรวจสอบ