Defaults.Exposed

Defaults.Exposed › 设置 › DMARC

如何在 Microsoft 365 上设置 DMARC

在你的 DNS 中添加 DMARC 记录,告诉收件方:当一封邮件没通过你的 SPF 和 DKIM 验证时该如何处理。

这件事对你的生意意味着什么

DMARC 是把 SPF 和 DKIM 串到一起的那条策略。当一封声称来自你域名的邮件没通过这两项验证时,它会告诉收件方的邮件服务器该怎么做——无视它、丢进垃圾邮件、还是直接拒收——而且它还能把报告发邮件给你,让你看清谁在用你的名义发信(以及谁在伪造)。说白了:DMARC 才是真正能阻止骗子冒用你域名去诈骗你的客户和员工的那道防线。它免费,而且能把 SPF 和 DKIM 从「有了更好」变成真正的防护。

先做 SPF 和 DKIM

DMARC 依赖 SPF 和 DKIM。请在配置 DMARC 之前、或同时把这两项做好。一条孤零零的 DMARC 记录——底下没有可用的 SPF/DKIM——反而可能把你自己的正常邮件给拦了。请稳妥起步(见下方策略说明),再逐步收紧。

重要:这事在哪里做

和 SPF 一样,DMARC 是一条 DNS 记录,而不是 Microsoft 365 里的某个设置。Microsoft 365 是你的邮件平台(它运行邮箱),但 DMARC 记录是加在你域名 DNS 所在的地方——你的域名注册商、虚拟主机、Cloudflare,或者掌管你名称服务器的那一方。如果你让 Microsoft 管理你的 DNS,那就在 Microsoft 365 管理中心 → 设置 → 域 → DNS 记录 里添加;否则它就加在你的 DNS 托管方那里。Microsoft 内部没有单独的「DMARC 开关」——Microsoft 那一部分的作用,仅仅是它提供了可用的 SPF 和 DKIM(这两项另行配置),而 DMARC 正是依赖它们的。

第一步:哪家公司在托管你的 DNS?

DMARC 记录只有加在你域名名称服务器(nameservers)所指向的地方才管用。如果你不确定,去你的注册商账户里查看 Nameservers(名称服务器) 部分,或问问当初帮你搭建网站的人。把记录加在那家公司的 DNS 设置里(找 DNS / Records / Advanced DNS)。

你要添加的内容

在一个特殊主机名 _dmarc 上添加一条 TXT 记录

一个稳妥的起始值——只监控、绝不拦截任何东西——是:

v=DMARC1; p=none; rua=mailto:[email protected]

步骤

  1. 登录你的 DNS 托管方(你的注册商、虚拟主机或 DNS 服务商——如果是 Microsoft 在管理你的 DNS,则登录 Microsoft 365 管理中心)。
  2. 打开你域名的 DNS 设置(找 DNS / Records / Advanced DNS)。
  3. 添加一条新记录,选 TXT
  4. Name(名称) / Host(主机) 字段中,准确填入 _dmarc(带开头的下划线)。不要_dmarc.yourdomain.com——DNS 托管方会自动补上你的域名。
  5. Value(值) 字段中粘贴你的 DMARC 字符串,例如 v=DMARC1; p=none; rua=mailto:[email protected](把邮箱换成一个你真的会去看的真实地址)。
  6. TTL 保持默认。
  7. 保存。

大家常踩的坑

验证是否生效

保存后,用 Defaults.Exposed 上的免费检测确认你的 DMARC 记录已生效且设置合理。输入你的域名,它会用大白话告诉你 DMARC 是否配置正确,以及下一步该怎么做。你的数据在欧盟境内处理。

完成了? 免费检查您的域名 以确认设置已生效——并查看您在全部 34 项检查中的完整评级。