Defaults.Exposed

Defaults.Exposed › 設置 › DMARC

如何在 Google Workspace 上設定 DMARC

在你的 DNS 中新增 DMARC 記錄,告訴收件方:當一封郵件沒通過你的 SPF 和 DKIM 驗證時該如何處理。

這件事對你的業務意味著什麼

DMARC 是把 SPF 和 DKIM 串到一起的那條原則。當一封聲稱來自你網域的郵件沒通過這兩項驗證時,它會告訴收件方的郵件伺服器該怎麼做——無視它、丟進垃圾郵件、還是直接拒收——而且它還能把報告傳送郵件給你,讓你看清誰在用你的名義發信(以及誰在偽造)。說白了:DMARC 才是真正能阻止詐騙者假冒你網域去詐騙你的客戶和員工的那道防線。它免費,而且能把 SPF 和 DKIM 從「有了更好」變成真正的防護。

先做 SPF 和 DKIM

DMARC 依賴 SPF 和 DKIM。請在設定 DMARC 之前、或同時把這兩項做好。一條孤零零的 DMARC 記錄——底下沒有可用的 SPF/DKIM——反而可能把你自己的正常郵件給攔了。請穩妥起步(見下方原則說明),再逐步收緊。

重要:這事在哪裡做

和 SPF 一樣,DMARC 是一條 DNS 記錄,而不是 Google 管理主控台裡的某個設定。Google Workspace 負責運行你的郵件,但 DMARC 記錄是加在你網域 DNS 所在的地方——你的網域註冊商、虛擬主機、Cloudflare,或者掌管你名稱服務器的那一方。Google 內部沒有任何 DMARC 開關可撥;Google 那一部分的作用,僅僅是它提供了可用的 SPF 和 DKIM(這兩項另行設定),而 DMARC 正是依賴它們的。

第一步:哪家公司在託管你的 DNS?

DMARC 記錄只有加在你網域名稱服務器(nameservers)所指向的地方才管用。如果你不確定,去你的註冊商帳戶裡查看 Nameservers(名稱服務器) 部分,或問問當初幫你搭建網站的人。把記錄加在那家公司的 DNS 設定裡(找 DNS / Records / Advanced DNS)。

你要新增的內容

在一個特殊主機名 _dmarc 上新增一條 TXT 記錄

一個穩妥的起始值——僅監控、絕不攔截任何東西——是:

v=DMARC1; p=none; rua=mailto:[email protected]

步驟

  1. 登入你的 DNS 託管方(你的註冊商、虛擬主機或 DNS 服務商——不是 Google 管理主控台)。
  2. 打開你網域的 DNS 設定(找 DNS / Records / Advanced DNS)。
  3. 新增一條新記錄,選 TXT
  4. Name(名稱) / Host(主機) 欄位中,準確填入 _dmarc(帶開頭的底線)。不要_dmarc.yourdomain.com——DNS 託管方會自動補上你的網域。
  5. Value(值) 欄位中貼上你的 DMARC 字串,例如 v=DMARC1; p=none; rua=mailto:[email protected](把信箱換成一個你真的會去看的真實地址)。
  6. TTL 保持預設。
  7. 儲存。

大家常踩的坑

驗證是否生效

儲存後,用 Defaults.Exposed 上的免費檢測確認你的 DMARC 記錄已生效且設定合理。輸入你的網域,它會用大白話告訴你 DMARC 是否設定正確,以及下一步該怎麼做。你的資料在歐盟境內處理。

完成了? 免費檢查您的網域 以確認設置已生效——並查看您在全部 34 項檢查中的完整評級。