Defaults.Exposed › 修复 › DMARC（邮件冒充防护）

如何修复 DMARC（邮件冒充防护）

DMARC 是唯一一个真正命令全世界邮件服务商拦截那些伪造你公司名义的邮件的设置。SPF 和 DKIM 负责检查锁；DMARC 决定当一封伪造邮件没通过检查时该怎么办——扔掉、标记，还是放行。设错了，你的域名可被随意伪造；设对了，冒充在抵达收件箱前就被拦下。

对您业务的关键影响： 没有 DMARC 强制执行，罪犯就能发出看起来与你公司一模一样的邮件——发给你的客户、员工和供应商——而且它落进的是收件箱，不是垃圾箱。有人以你的名义被骗，骂的却是你。

这会让您付出什么代价

骗子「冒充你的财务团队」给客户发去一张做得很像的发票，上面是他自己的银行账户。客户付了款。几周后他们来催那批已经付了钱的货，你才发现——而他们认定责任在你。
一封伪造的「紧急付款」邮件发到你自己的财务那里，看上去出自你这位老板之手。还没等任何人想到核实，钱就汇出去了——一旦落进罪犯账户，几乎永远追不回来。
一个大客户在签约前对你的域名做安全检查，结果是「邮件未受保护——可被伪造」。你把单子输给了通过检查的竞争对手。
你的域名被卷入一波钓鱼浪潮。上当的客户留下愤怒的差评并提醒别人。这种名誉损害比攻击本身多持续好几个月。
连你正经的邮件也开始被丢进垃圾箱，因为 Gmail 和 Yahoo 越来越不信任——如今有时甚至直接拒收——没有强制 DMARC 的域名。

为什么它重要。 邮件从设计之初就无法证明发件人究竟是谁，所以伪造「发件人」地址轻而易举。DMARC 是唯一一个把「我们能识别伪造」变成「伪造被拦下」的控制项——它还给你每日报告，揭示究竟有谁在以你的品牌名义发信。大型邮箱服务商如今会把缺失或未强制的 DMARC 策略当作对你不利的信任信号，所以这也影响你自己的邮件能否被送达。

DMARC 是什么，大白话版

邮件有个见不得光的秘密：「发件人」那一行只是打上去的文字。任何人、在任何地方，都能把你的公司名字和地址填进一封邮件的「发件人」栏然后发出去。互联网从一开始就没设计成能阻止他们。

有三个设置，合在一起能修好这件事。把它们想象成一栋楼的安保：

SPF 是一份谁能进前门的名单（哪些邮件服务可以代你发信）。
DKIM 是一枚防篡改的封印，证明邮件在传输途中没被改动。
DMARC 是那位保安，他既查名单也查封印——而且至关重要的是，在两者对不上时决定怎么办：放行、扔进垃圾箱，还是当门挡回去。

你可以同时拥有名单（SPF）和封印（DKIM），却仍然没有保安。这正是最常见也最危险的处境：锁存在，却没有任何东西去执行它们。DMARC 就是那个执行环节。 它是「我们能看出这封邮件是假的」和「这封假邮件永远到不了你客户手里」之间的区别。

这会让你付出什么代价

这不是空谈。下面是一个不受保护的域名如何变成真金白银损失和真实伤害的具体方式：

假发票骗局。 罪犯给你的客户发去一封看上去与你财务团队真实发票一模一样的邮件——同样的名字、同样的域名、专业的版式——只是换成了他自己的银行账户。因为你的域名没被强制执行，它落进收件箱，而不是垃圾箱。客户付了款。几周后他们来问货在哪里，你才发现。钱通常已经没了，而客户往往认定你该为这次泄露负责。
冒充 CEO 的电汇诈骗。 一封看起来来自你这位老板、发给财务的邮件：「能不能紧急把这笔款打出去，我在开会。」它看起来完全真实，因为它就是你的地址——只是被伪造了。款打出去了。这种套路——商业邮件欺诈——是冲击中小企业最烧钱的骗局之一，恰恰因为邮件真的来自你自己的域名，所以一路绕过了所有怀疑。
丢掉的合同。 一个认真的客户在签约前做安全或采购检查。他们的工具把你的域名报告为「可被伪造——无邮件身份验证强制执行」。仅这一面红旗，就足以让合同花落于通过检查的竞争对手。你甚至永远不会听到真正的原因。
无法挽回的名誉打击。 你的域名被卷进一场钓鱼活动。几十个以你名义被骗的人发出警告和差评。攻击持续一周；「这家公司到底安不安全？」的疑问却萦绕数月。
你自己的邮件进垃圾箱。 Gmail 和 Yahoo 现在会主动不信任没有强制 DMARC 的域名。你真正发出的报价、发票和回复开始悄悄落进垃圾箱。生意停滞，你却永远查不出原因。

它到底是什么（以及「好」长什么样）

DMARC 以一行文字的形式存在于你的域名设置里——一条发布在特殊名称 _dmarc.你的域名 上的 DNS「TXT」记录。里面是几条简短的指令。其中两条最重要，也正是本次评估要检查的那两件事。

1. 策略（p=）——保安的命令。 这是检查中权重很高的部分。它可以是三者之一：

p=none——仅观察。 保安记下谁进来了，却谁都不拦。这不保护你免于任何东西；它是监控阶段，不是成品配置。（我们的引擎把它判为不通过——比完全没有 DMARC 强，但不是保护。）
p=quarantine——把伪造邮件送进垃圾箱。 真正的保护，但坚定的攻击者赌的是人们会去翻垃圾箱。一个扎实的过渡台阶——约得半分。
p=reject——当门拒收伪造邮件。 伪造邮件永远不会被送达。这是唯一能完全保护你、拿满分的设置。

「好」长什么样：p=reject。 任何不及于此都留着缺口。

我们的检查还看两个技术细节，值得了解，免得你被坑：

子域名策略（sp=）。 你可能给主域名设了强策略，却不小心把子域名（如 mail.你的域名 或 news.你的域名）大门敞开。我们的引擎对此严厉扣分——一个 p=reject 却 sp=none 的域名，得分被压低到接近毫无强制执行，因为攻击者干脆改去伪造子域名。好的做法是让 sp 继承你强力的主策略，或明确设为 reject。
百分比（pct=）。 在谨慎上线期，你可以只对一部分邮件应用强制执行（如 pct=25）。这是合法的过渡工具，但部分上线只给部分保护，我们的评分也如实反映——随着你从 25% 向 100% 推进，分数稳步上升，但满分需要完整覆盖。

2. 报告地址（rua=）——你的可见性。 这是本页的第二项检查。rua= 标签请求全世界每一家邮件服务商，每天给你发一份汇总，列出有谁试图以你的域名发信——你自己的系统以及任何冒充者。没有它，你就是在盲飞：你压根不知道谁在滥用你的名字。有了它，企业往往在头一天就能发现 5 到 50 个未经授权的发件方。

报告的「好」长什么样：一个有效的 rua=mailto: 地址（或一个报告服务的 https: URL），并且确实能收到报告。我们的检查会验证格式——一个拼错或格式错误的地址意味着报告悄悄发往无人之地，即便标签技术上「存在」，也只会得到部分或失败的结果。

如何修复（免费，约 30 分钟，分摊在两周内）

把这一节交给管理你域名、网站或 IT 的人——修复完全免费。 我们只对长期监控它是否保持正确、对管理一组域名、或对一次审计收费。改动本身分文不取。

黄金法则：永远别一步跳到 reject。 先打开监控，看报告，确认你真实的邮件都被识别，再收紧。按这个顺序来很安全；急着来则可能把你自己的邮件扔进垃圾箱。

第 1 步——先确保 SPF 和 DKIM 已就位。 DMARC 依赖它们。如果缺了任何一个，先在强制 DMARC 之前搞定（见 SPF 和 DKIM 页面）。

第 2 步——发布一条开启报告的监控记录。 添加一条 DNS TXT 记录：

Host / 名称： _dmarc.你的域名（你的 DNS 服务商可能只显示为 _dmarc）
类型： TXT
值： v=DMARC1; p=none; rua=mailto:dmarc@你的域名; adkim=s; aspf=s

这会观察并报告，但暂时不拦截任何东西。adkim=s; aspf=s 部分请求严格对齐——如果你拿不准，一开始可以先省略，等确认邮件干净后再加上。

第 3 步——读约两周的报告。 原始 DMARC 报告是密集的 XML。用一个免费报告服务（例如 dmarcian 或 Postmark 的免费 DMARC 工具）把它们变成可读的仪表盘。确认每一个合法发件方——你的邮箱服务商、邮件营销工具、CRM、客服系统、开票应用——都通过了。修好任何没通过的真实发件方。

第 4 步——切到 quarantine。 一旦你真实的邮件干净了，把 p=none 改成 p=quarantine。再观察几天。

第 5 步——切到 reject。 最后把 p=quarantine 改成 p=reject。你现在已受到完整保护。最终记录长这样：

v=DMARC1; p=reject; rua=mailto:dmarc@你的域名; adkim=s; aspf=s

第 6 步——别忘了子域名。 确保你没把 sp=none 留在原地。如果你完全不发布 sp，子域名会继承你的主 p= 策略，这正是你想要的。

常见平台说明：

Google Workspace / Microsoft 365： 两者都完全支持 DMARC。DMARC 记录本身要放进你的 DNS 服务商，而不是 Google 或 Microsoft 的管理后台——先确认在管理后台里启用了 SPF 和 DKIM，再到你的注册商/DNS 主机发布 DMARC TXT 记录。
Cloudflare： DNS > Records > Add record > TXT，名称填 _dmarc，粘贴那个值。Cloudflare 还提供内置的 DMARC 管理，可以帮你完成设置并替你收集报告。
常见主机商 / 注册商： 找到「DNS」「DNS 区域」或「高级 DNS」，添加一条名称为 _dmarc、值为上面那串的 TXT 记录。生效通常需要几分钟到一小时。

常见错误

止步于 p=none。 迄今最常见的错误。监控是开始，不是终点——卡在 none 上的域名仍然可被完全伪造。我们的引擎正因如此把它判为不通过。
不做监控就直接跳到 reject。 反向的错误。没有报告阶段，你可能没意识到某个合法发件方（常常是邮件营销或开票工具）没有对齐——于是开始拦截你自己的邮件。
忘了子域名策略。 强力的 p=reject 配上 sp=none，等于把一扇侧门敞开；攻击者干脆改去伪造子域名。
报告地址写错了。 拼错的 rua=（或漏掉 mailto: 前缀）意味着报告发往无人之地，你却在不知情中持续盲飞。格式必须是有效的 mailto: 或 https: URI，否则报告永远送不到。
「我们不发邮件所以跳过它。」 一个不发信的域名恰恰是头号靶子，正因为没人盯着它。发布一条严格的 reject 策略把它彻底锁死。

关于评分的说明

策略检查（p=）是整个评估中权重最重的项目之一——因为它是你的公司能否被冒充的最大单一因素。reject 拿满分；quarantine 约得半分；none 和缺失记录都判为不通过。较弱的子域名策略或部分 pct= 上线，会把分数压低到与你实际拥有的真实保护水平相符。

报告检查（rua=）也确有分量，但与其把它当作一个要打勾的格子，不如把它看成让你安全抵达 reject 的工具。在配置监控记录的同时把它一起配好，它在第一天就以可见性回报你的投入。

在您的托管服务商上完成设置

热门服务商的分步指引：

常见问题

我完全不懂技术——这真的是我能处理的事吗？

能，但你不必亲自上手。修复就是往你的域名设置里加几行字，而且免费。最简单的路径是把下面的「如何修复」一节转给管你网站或 IT 支持的人。他们通常远不到一小时就能搞定，分摊在两周左右的稳妥监控期里。

打开 DMARC 会不会不小心让我自己的邮件发不出去？

有可能——但只在你跳过稳妥上线流程时。从「仅监控」（p=none）并开启报告起步，整个目的就是观察两周，在切换到拦截之前确认每一个合法发件方（你的邮箱、邮件营销工具、开票应用）都被正确识别。按这个顺序来，你真正的邮件毫发无损。不看报告就直接冲到「reject」，是唯一会搞坏送达的常见错误。

我已经配好了 SPF 和 DKIM。这还不够吗？

不够——这是最需要理解的一点。SPF 和 DKIM 是锁；DMARC 是那句指令——「如果锁对不上，就拒收这封邮件」。没有设为「reject」的 DMARC，收件服务器即便发现一封邮件是伪造的，仍可能照样送达。SPF 和 DKIM 是 DMARC 生效的前提，但单靠它们自己，并不能阻止伪造邮件抵达收件箱。

「none」「quarantine」和「reject」有什么区别？我需要哪个？

「none」只观察并报告——它什么都不拦，所以并不保护你。「quarantine」把伪造邮件送进垃圾箱。「reject」直接拒收，让它们根本到不了。「reject」是目标，也是唯一能拿满分的设置。「quarantine」是合理的过渡台阶；「none」是头两周的起点，不是终点。

这个「rua」报告是什么东西，我需要它吗？

rua 标签请求邮件服务商每天给你发一份汇总，列出所有试图以你域名发信的系统——包括罪犯。企业正是靠它发现某个域名第一天通常就有 5 到 50 个未经授权的发件方在滥用。它单独看权重不及策略，但它是你安全地走向「reject」、又不搞坏真实邮件的途径，所以请同时配好它。

我们几乎不发邮件，或者根本不用这个域名发邮件。还需要 DMARC 吗？

尤其需要。一个很少或根本不发真实邮件的域名，正是罪犯冒充的完美低噪靶子，因为没人盯着它。一个你从不用来发信的域名应当发布一条严格的 reject 策略——这是一个干净、低风险的胜利，把门彻底关死。