DMARC, 是 Domain-based Message Authentication, Reporting & Conformance 的簡稱. 它搭配寄件者原則架構 (SPF) 和網域金鑰識別郵件 (DKIM) 來驗證郵件寄件者，以網域為基礎的進行郵件驗證、報告和一致性 (DMARC) 並確保目的地電子郵件系統信任您網域傳送的郵件。DMARC 可協助接收方郵件系統決定如何處理未通過 SPF 或 DKIM 檢查的您網域傳送的郵件。

簡言之, 它就是個郵件規則的公告. 告知收信方：「如果你有 DMARC 的檢查機制, 麻煩您參考我的 DMARC 規則設定, 針對那些以我名義寄信卻沒法通過 SPF & DKIM 檢查的郵件來進行處理」

要設定DMARC 的前提是

• 郵件網域要有設定SPF 記錄 (如何設置請參考這篇 如何設定SPF記錄)
• 郵件伺服器要有設定DKIM寄信簽章 (如何設置請參考這篇 如何設定 DKIM 寄信簽章)

有了上述的前提, 那設置 DMARC 就很簡單, 就如同 SPF, DKIM 一般, 它只是在 DNS 記錄裡加一筆 TXT 記錄, 此記錄名稱為 _dmarc

舉例來說:

我的網域為 raidenmaild.com

那麼我就要建立一筆 TXT 為 _dmarc.raidenmaild.com ,

內容為 "v=DMARC1; p=none; rua=mailto:arnor@raidenmaild.com"

 

上述字串裡主要需特別了解的是以下這兩個參數:

1) p 參數, 共有三個值可設, 就是給收信方參考的郵件規則.

none : 原則為無, 也就是假如信件沒法通過 SPF & DKIM 檢查也讓它通過

quarantine: 原則為隔離, 也就是假如信件沒法通過 SPF & DKIM 檢查, 把它隔離(放到垃圾信匣)

reject: 原則為拒絕, 也就是假如信件沒法通過 SPF & DKIM 檢查, 把它拒絕(直接丟棄或拒連)

2) rua 參數, 設定一個該網域的信箱接收?信方的垃圾信報告

 

註: dmarc 記錄的詳細參數請自行 google dmarc 以了解更多.

 

 

看到這邊是不是感覺設置 DMARC 很簡單? 如果您已經有 SPF, DKIM 設定了, 那麼就去多做這個 DMARC 吧, 花不到你幾分鐘的時間.

 

DMARC 之我見:

在這 DMARC 問世之前, 其實郵件伺服器早就有 SPF, DKIM 等檢查機制來對付垃圾信/假冒信, 而這些檢查當然早就會有相應的郵件規則來處理那些垃圾信(通過/隔離/丟棄..等), 哪需要等到 DMARC 來指指點點該要怎麼處理? 所以, 小弟認為 DMARC 算是蠻多餘的設置, 無奈就是有收信方的系統可能會要求要有這個設定, 那麼為了把信正確寄給對方, 只好跟著設DMARC囉, 反正多做又不會多錯. 只要是對郵件伺服器有幫助的設定, 多多益善嘛.

對於 rua 的設置, 蠻讓我不解的. rua 是要設定一個信箱來接收報告信. 從世界各地的郵件系統若有收到以你名義的假冒信時就要回報到這信箱. 我的老天額呀, 壞人假冒我的網域到處亂寄, 然後我會得到一堆報告信, 這些如雪片般飛來的報告信是在懲罰我嗎? 試問誰那麼閒管別人用我的名義在外面做了什麼壞事被擋了? 這些報告信有必要去了解它? 就算我知道這些個 IP, 我能對世界各地的那些壞 IP 做什麼事? 根本就無能為力呀! 不是嗎?

另外, 還要特別注意當你有設 DMARC 後, 若哪天不想啟用 SPF 或 DKIM 了, DMARC 的設置最好也一併拿掉, 不要到時也害了自己的信因 DMARC 的拒絕或隔離而影響到.

以上是小弟個人以伺服器作者的實作角度去看它的實用性, 所以不會一定講漂亮話告訴你這個機制有多了不起 blah blah blah 之類的話讓您來信教 XD, 望您多多見諒. 不過, 畢竟小弟還是 DMARC 的初學者, 上述的心得可能也並不完全正確, 若有誤解的部份, 歡迎來信或到討論區批評指教.

 

感謝您的閱讀

回上頁

2018/04/11