Defaults.Exposed › 設置 › DMARC
如何在 Microsoft 365 上設定 DMARC
在你的 DNS 中新增 DMARC 記錄,告訴收件方:當一封郵件沒通過你的 SPF 和 DKIM 驗證時該如何處理。
這件事對你的業務意味著什麼
DMARC 是把 SPF 和 DKIM 串到一起的那條原則。當一封聲稱來自你網域的郵件沒通過這兩項驗證時,它會告訴收件方的郵件伺服器該怎麼做——無視它、丟進垃圾郵件、還是直接拒收——而且它還能把報告傳送郵件給你,讓你看清誰在用你的名義發信(以及誰在偽造)。說白了:DMARC 才是真正能阻止詐騙者假冒你網域去詐騙你的客戶和員工的那道防線。它免費,而且能把 SPF 和 DKIM 從「有了更好」變成真正的防護。
先做 SPF 和 DKIM
DMARC 依賴 SPF 和 DKIM。請在設定 DMARC 之前、或同時把這兩項做好。一條孤零零的 DMARC 記錄——底下沒有可用的 SPF/DKIM——反而可能把你自己的正常郵件給攔了。請穩妥起步(見下方原則說明),再逐步收緊。
重要:這事在哪裡做
和 SPF 一樣,DMARC 是一條 DNS 記錄,而不是 Microsoft 365 裡的某個設定。Microsoft 365 是你的郵件平台(它運行信箱),但 DMARC 記錄是加在你網域 DNS 所在的地方——你的網域註冊商、虛擬主機、Cloudflare,或者掌管你名稱服務器的那一方。如果你讓 Microsoft 管理你的 DNS,那就在 Microsoft 365 管理中心 → 設定 → 網域 → DNS 記錄 裡新增;否則它就加在你的 DNS 託管方那裡。Microsoft 內部沒有單獨的「DMARC 開關」——Microsoft 那一部分的作用,僅僅是它提供了可用的 SPF 和 DKIM(這兩項另行設定),而 DMARC 正是依賴它們的。
第一步:哪家公司在託管你的 DNS?
DMARC 記錄只有加在你網域名稱服務器(nameservers)所指向的地方才管用。如果你不確定,去你的註冊商帳戶裡查看 Nameservers(名稱服務器) 部分,或問問當初幫你搭建網站的人。把記錄加在那家公司的 DNS 設定裡(找 DNS / Records / Advanced DNS)。
你要新增的內容
在一個特殊主機名 _dmarc 上新增一條 TXT 記錄。
一個穩妥的起始值——僅監控、絕不攔截任何東西——是:
v=DMARC1; p=none; rua=mailto:[email protected]
p=none= 僅監控;暫時不攔任何東西。適合頭幾週。rua=mailto:...= 彙總報告傳送至哪裡。用一個你真的會看的信箱。- 等你(通過報告和免費檢測)確認你的正常郵件都能通過後,就可以把原則收緊到
p=quarantine(把沒通過的丟進垃圾郵件),再之後到p=reject(直接拒收沒通過的)。Microsoft 建議,等你有把握後逐步推進到p=reject。
步驟
- 登入你的 DNS 託管方(你的註冊商、虛擬主機或 DNS 服務商——如果是 Microsoft 在管理你的 DNS,則登入 Microsoft 365 管理中心)。
- 打開你網域的 DNS 設定(找 DNS / Records / Advanced DNS)。
- 新增一條新記錄,選 TXT。
- 在 Name(名稱) / Host(主機) 欄位中,準確填入
_dmarc(帶開頭的底線)。不要打_dmarc.yourdomain.com——DNS 託管方會自動補上你的網域。 - 在 Value(值) 欄位中貼上你的 DMARC 字串,例如
v=DMARC1; p=none; rua=mailto:[email protected](把信箱換成一個你真的會去看的真實地址)。 - TTL 保持預設。
- 儲存。
大家常踩的坑
- 它不是信箱裡的某個設定。 有人在 Microsoft 365 的設定裡翻來翻去找「DMARC」開關——那裡沒有。它屬於你的 DNS。
- 主機名是
_dmarc,帶底線。 漏掉底線,或在它後面打上完整網域,都會把記錄放錯地方,DMARC 就找不到了。 - 當心引號。 直接貼上純文字值;大多數 DNS 託管方會幫你加引號。別自己用
"..."包起來。 - 只能有一條 DMARC 記錄。 在
_dmarc上應該恰好只有一條 TXT 記錄。如果已經存在一條,去編輯它,而不是再加第二條。 - 從
p=none開始。 在 SPF/DKIM 還沒站穩之前就直接跳到p=reject,可能會把你自己的發票和報價單都攔掉。先監控,再收緊。 - 用一個真實的報告信箱。
rua那個地址必須是你真的能收到信的。 - 留出時間。 DNS 改動可能要幾分鐘、最多一兩個小時才會在各處全部生效。
驗證是否生效
儲存後,用 Defaults.Exposed 上的免費檢測確認你的 DMARC 記錄已生效且設定合理。輸入你的網域,它會用大白話告訴你 DMARC 是否設定正確,以及下一步該怎麼做。你的資料在歐盟境內處理。
完成了? 免費檢查您的網域 以確認設置已生效——並查看您在全部 34 項檢查中的完整評級。