DMARC 記錄 dmarc-record

什麼是DMARC? what-is-dmarc

網域型訊息驗證、報告和符合性 (DMARC) 是一種電子郵件驗證方法,可讓網域擁有者保護其網域免受未經授權的使用。透過向電子郵件提供者和網際網路服務提供者(ISP)提供明確的原則,這有助於防止惡意行為者傳送聲稱來自您網域的電子郵件。 實作 DMARC 可降低合法電子郵件遭標示為垃圾郵件或遭拒絕的風險,並改善電子郵件傳遞能力。

DMARC還提供驗證失敗的訊息報告,以及對於未通過DMARC驗證的電子郵件處理的控制。 根據實作的DMARC原則,這些電子郵件可以被監視、隔離或拒絕。 這些功能可讓您採取動作來減少和解決潛在的錯誤。

為了協助您避免傳遞問題,同時控制無法通過驗證的郵件,Journey Optimizer現在直接在其管理介面中支援DMARC技術。 了解更多

DMARC如何運作? how-dmarc-works

SPF和DKIM都可用來將電子郵件與網域建立關聯,並共同驗證電子郵件。 DMARC更進一步地進行,並透過比對DKIM和SPF檢查的網域來協助防止詐騙。

NOTE
在Journey Optimizer中,已為您設定SPF和DKIM。

若要傳遞DMARC,訊息必須傳遞SPF或DKIM:

  • SPF (Sender Policy Framework)會根據網域的授權IP位址清單,檢查傳送伺服器的IP位址,以協助確認電子郵件訊息是否來自授權來源。
  • DKIM (DomainKeys Identified Mail)在電子郵件訊息中新增數位簽名,讓收件者可驗證訊息的完整性和真實性。

如果兩者或兩者皆未通過驗證,DMARC將會失敗,而電子郵件將會根據您選取的DMARC原則傳送。

DMARC原則 dmarc-policies

如果電子郵件無法通過DMARC驗證,您可以決定要對該郵件套用哪個動作。 DMARC有三個原則選項:

  • 監視(p=none):指示信箱提供者/ISP執行通常對郵件執行的動作。
  • 隔離(p=隔離):指示信箱提供者/ISP傳送不會將DMARC傳遞給收件者的垃圾郵件或垃圾郵件資料夾的郵件。
  • 拒絕(p=reject):指示信箱提供者/ISP封鎖未傳遞DMARC的郵件,進而導致退信。
NOTE
本節中瞭解如何使用Journey Optimizer設定DMARC原則。

DMARC需求更新 dmarc-update

作為強制執行業界最佳實務的一部分,Google 和 Yahoo! 都要求您擁有​ DMARC記錄,才能使用任何網域來傳送電子郵件給他們。 這項新要求於 2024 年 2 月 1 日 ​起生效。

CAUTION
未能遵循 Gmail 和 Yahoo! 的這項新要求可能導致電子郵件進入垃圾郵件資料夾或遭到封鎖。

因此,Adobe強烈建議您採取下列動作:

  • 確定已為​ 您已委派 ​到Journey Optimizer中Adobe的所有子網域設定​ DMARC記錄了解作法

  • 當​ 將任何新子網域 ​委派給Adobe時,您可以​ 直接在Journey Optimizer管理介面 ​中​ 設定DMARC了解作法

在Journey Optimizer中實作DMARC implement-dmarc

Journey Optimizer管理介面可讓您為已委派或正在委派給Adobe的所有子網域設定DMARC記錄。 詳細步驟如下所述。

檢查您現有的子網域以取得DMARC check-subdomains-for-dmarc

若要確定您已在Journey Optimizer中委派的所有子網域設定DMARC記錄,請遵循下列步驟。

  1. 存取​ 管理 > 管道 > 子網域 ​功能表,然後按一下​ 設定子網域

  2. 對於每個委派的子網域,請檢查​ DMARC記錄 ​欄。 如果指定的子網域找不到記錄,則會顯示警示。

    note caution
    CAUTION
    為符合Gmail和Yahoo!的新要求,並避免頂級ISP出現傳遞問題,建議為所有委派的子網域設定DMARC記錄。 了解更多
  3. 選取沒有DMARC記錄關聯的子網域,並根據您組織的需求填寫​ DMARC記錄 ​區段。 在本節中詳細說明填入DMARC記錄欄位的步驟。

  4. 請考量下列兩個選項:

    • 如果您正在編輯以CNAME設定的子網域,您必須將DMARC的DNS記錄複製到您的託管解決方案中,以產生相符的DNS記錄。

      請確定DNS記錄已產生至您的網域託管解決方案,並勾選「我確認……」方塊。

    • 如果您正在編輯已完全委派給Adobe的子網域🔗,只要填入此區段中詳細說明的​ DMARC記錄 ​欄位即可。 不需要進一步動作。

  5. 儲存您的變更。

為新子網域設定DMARC set-up-dmarc

將新子網域委派給Journey Optimizer中的Adobe時,將會為您的網域在DNS中建立DMARC記錄。 請依照下列步驟實作DMARC。

CAUTION
為符合Gmail和Yahoo!的新要求,並避免頂級ISP出現傳遞問題,建議為所有委派的子網域設定DMARC記錄。 了解更多
  1. 設定新的子網域。 了解作法

  2. 移至​ DMARC記錄 ​區段。

    如果子網域有現有的DMARC記錄,而且它由Journey Optimizer擷取,您可以使用介面中反白顯示的相同值,或視需要變更它們。

    note note
    NOTE
    如果您未新增任何值,則會使用預先填入的預設值。
  3. 定義在DMARC失敗時收件者伺服器將執行的動作。 根據您要套用的DMARC原則,選取下列三個選項之一:

    • (預設值):告訴接收者不要對未通過DMARC驗證的郵件執行任何動作,但仍會傳送電子郵件報告給寄件者。
    • 隔離:通知接收電子郵件伺服器隔離未通過DMARC驗證的電子郵件 — 這通常表示將這些郵件放入收件者的垃圾郵件或垃圾郵件資料夾。
    • 拒絕:告知接收者完全拒絕(退回)驗證失敗之網域的任何電子郵件。 啟用此原則後,只有經過網域驗證為100%驗證的電子郵件才有機會放置收件匣。
    note note
    NOTE
    為了瞭解DMARC的潛在影響,建議您將DMARC原則從​ None ​提升至​ Quarantine,再提升至​ Reject,藉此逐步推出DMARC實作,以符合最佳作法。
  4. 選擇性地新增您選擇的一或多個電子郵件地址,以指出電子郵件中驗證失敗的​ DMARC報告 ​應該位於貴組織內的哪個位置。 您最多可以為每個報表新增5個地址。

    note note
    NOTE
    請確定您的控制中有正版收件匣(非Adobe)可接收這些報告。

    ISP會產生兩種不同的報告,傳送者可透過其DMARC原則中的RUA/RUF標籤接收這些報告:

    • 彙總報表 (RUA):不包含任何可能區分大小寫GDPR的PII (個人識別資訊)。
    • 鑑證失敗報告 (RUF):這些報告包含GDPR敏感的電子郵件地址。 在使用之前,請在內部檢查如何處理需要符合GDPR的資訊。
    note note
    NOTE
    這些高度技術性的報告提供企圖詐騙的電子郵件概觀。 最好透過協力廠商工具加以消化。
  5. 選取DMARC的​ 適用百分比 ​電子郵件。

    此百分比取決於您對電子郵件基礎結構的信心以及對誤判(標籤為欺詐的合法電子郵件)的容忍度。 組織通常會從DMARC原則設定為​ ​開始,逐漸增加DMARC原則百分比,並密切監視對合法電子郵件傳送的影響。

    note note
    NOTE
    隨著您對電子郵件驗證實務更有信心,請與您的電子郵件管理員和IT團隊合作,逐步提高此百分比。

    作為最佳實務,請以高DMARC相容率為目標,最好接近100%,以便在最大限度提高安全性的同時,將誤報風險降到最低。

  6. 選取24到168小時之間的​ 報告間隔。 它可讓網域擁有者定期接收電子郵件驗證結果的更新,並採取必要動作來改善電子郵件安全性。

recommendation-more-help
b22c9c5d-9208-48f4-b874-1cefb8df4d76