Defaults.Exposed › 设置 › DMARC

如何在 Cloudflare 上设置 DMARC

在 Cloudflare 中添加 DMARC 记录，告诉收件方的邮件服务商：当一封冒用你域名的邮件没通过验证时，该如何处理。

这件事对你的生意意味着什么

DMARC 把 SPF 和 DKIM 串了起来，并补上了那条缺失的指令：当一封声称来自你的邮件没通过验证时，收件方的邮件服务商到底该怎么办？ 没有 DMARC，每家服务商只能各自瞎猜。有了它，由你来决定——而且你还能要求他们把报告发给你，让你看清到底是谁在用你的名义发信。

说白了：DMARC 才是真正能阻止骗子冒用你域名去诈骗你的客户或员工的那道防线。它是架在 SPF 和 DKIM 这两把锁之上的策略——免费，花几分钟就值回票价。

先把 SPF 和 DKIM 配好

DMARC 的工作原理，是去检查 SPF 和 DKIM 的验证结果。如果这两项你还没加，先加它们——一条底下空无一物的 DMARC 策略，根本没有东西可以执行。

确认你的 DNS 是由 Cloudflare 托管的

和任何 DNS 记录一样，这一招只有在 Cloudflare 正在为你的域名应答 DNS 时才管用。Cloudflare 是你的 DNS 托管方，不是你的邮箱服务商；它的 DNS 只有在你域名的名称服务器（nameservers）指向控制台里显示的那几台 Cloudflare 名称服务器时才生效。在 Cloudflare 中打开你的域名，查看 Overview（概览） 页面，确认 Cloudflare 处于激活状态。如果你的名称服务器指向别处，就改在真正托管你 DNS 的那家服务商那里添加 DMARC 记录。

在 Cloudflare 上的逐步操作

1. 登录 Cloudflare 并选择你的域名。
2. 在左侧菜单中，进入 DNS 设置（找 DNS / Records（记录））。
3. 点击 Add record（添加记录）。
4. 把 Type（类型） 设为 TXT。
5. 在 Name（名称） 字段中，准确填入： _dmarc 不要在它后面再打你的域名——Cloudflare 会自动帮你补上域名。
6. 在 Content（内容） 字段中，先用一条只监控、不动手的策略稳妥起步： v=DMARC1; p=none; rua=mailto:[email protected] 把那个地址换成一个你真的会去看的邮箱。这只是请服务商把汇总报告发邮件给你，暂时不改变任何邮件的处理方式。
7. TTL 保持在 Auto（自动）。
8. 点击 Save（保存）。

选择你的策略（p= 那一段）

• p=none —— 仅监控。什么都不拦，你只收到报告。从这里开始。
• p=quarantine —— 把没通过的邮件丢进垃圾邮件箱。
• p=reject —— 直接拒收没通过的邮件（最强的防护）。

先跑 p=none 几周，读报告确认你所有的正常邮件都能通过，然后再升到 quarantine，最后到 reject。还没看报告就直接跳到 reject，有可能把你自己真正的邮件给拦了。

Cloudflare 上大家常踩的坑

• 名称是 _dmarc，带下划线。 常见错误是漏掉下划线，或者打成 _dmarc.yourdomain.com——在 Cloudflare 里你只填 _dmarc。开头那个下划线是必需的，别丢。
• 别自己加引号。 直接粘贴以 v=DMARC1; 开头的纯文本值。Cloudflare 会自己加引号；手动加 " 反而可能破坏记录。
• DMARC 记录只能有一条。 和 SPF 一样，必须只有单独一条 DMARC TXT 记录。如果已经存在一条，去编辑它，而不是再加第二条。
• TXT 记录不要走代理。 DMARC 放在 TXT 记录里，TXT 永远不会被代理——这里没有橙色/灰色云朵开关要操心。
• 用一个真实、会看的报告邮箱。 rua=mailto: 后面的地址应该是你真的会去查收的，否则报告白发。它可以和域名同域，也可以是另一个域。
• 给它一点时间。 DNS 改动可能要几分钟、最多一两个小时才会生效。

验证是否生效

保存并传播完成后，用本站的免费检测跑一下。它会用大白话告诉你：你的 DMARC 记录是否已就位，以及你设的是哪种策略。

完成了？ 免费检查您的域名 以确认设置已生效——并查看您在全部 34 项检查中的完整评级。