网络诊断工具

DMARC 检测

检查并评估您的 DMARC 策略

什么是 DMARC 记录?

DMARC 在 SPF 和 DKIM 之上,告诉接收方该如何处理验证失败的邮件,以及把报告发往何处。p=none 策略仅作监控;quarantine 和 reject 才能真正保护你的域名免遭冒用。IPeek 会读取 _dmarc.your-domain 上的记录,解析每个标签,并对策略强度进行评级。

DMARC 如何借助对齐工作

DMARC 是位于 _dmarc.your-domain 的 TXT 记录,以 v=DMARC1 开头。当一封邮件通过 SPF 或 DKIM,且通过验证的域名与可见的 From 域名对齐时,DMARC 即通过。对齐是关键:伪造者可以在自己的域名上让原始 SPF 或 DKIM 通过,却无法让它与你的域名对齐。像 v=DMARC1; p=reject; rua=mailto:reports@your-domain; adkim=s; aspf=s 这样的记录会强制拒收,并对 DKIM 和 SPF 都要求严格对齐。

解读 p=none、quarantine 和 reject

p 标签设定你的策略。p=none 仅作监控——邮件照常投递,但你会收集报告以了解谁在以你的名义发件。p=quarantine 将失败邮件投入垃圾箱,p=reject 则直接拦截,是抵御冒用最强的保护。pct 标签可逐步提升强制比例(例如 pct=25),sp 则为子域名设定单独的策略。先从 none 开始收集数据,待确认合法发件人都能通过后,再收紧到 quarantine 和 reject。IPeek 会为你当前策略的强度评级。

DMARC 报告与 rua 标签

DMARC 的报告机制是它真正可落地的关键。rua 标签指定一个邮箱,用于接收每日的汇总 XML 报告,报告会概括哪些来源以你的域名发件,以及它们是否通过 SPF、DKIM 和对齐。利用这些报告,在收紧策略前找出那些你遗漏授权的合法发件人。可选的 ruf 标签用于请求取证(逐封失败)报告,不过出于隐私原因,多数接收方已不再发送。没有 rua,你就是在盲目地强制执行策略。

常见问题

DMARC 记录中的 p=none 是什么意思?

p=none 是仅监控策略。它告诉接收方对验证失败的邮件不采取特殊处理,因此邮件照常投递,但你仍会收到汇总报告,了解谁在以你的域名发件。用 p=none 收集数据、识别合法发件人,然后切换到 quarantine 或 reject 以获得真正的防冒用保护。

DMARC 中 quarantine 和 reject 有什么区别?

两者都强制执行策略,但方式不同。p=quarantine 告诉接收方把失败邮件投递到垃圾箱或 junk 文件夹,而 p=reject 告诉接收方彻底拦截,使其永远到不了收件人。reject 是抵御冒用最强的保护,quarantine 通常是在完全拒收之前的一个过渡步骤。

什么是 DMARC 对齐?

对齐要求由 SPF 或 DKIM 验证通过的域名,与可见 From 头中的域名相匹配。只有当两者中至少有一项对齐时,DMARC 才通过。宽松对齐(默认)允许子域名与组织域名匹配;严格对齐(adkim=s、aspf=s)则要求完全一致。对齐正是阻止攻击者在自己域名上通过验证的手段。

DMARC 记录发布在哪里?

DMARC 记录是发布在你域名 _dmarc 子域上的 TXT 记录——例如 _dmarc.example.com。它必须以 v=DMARC1 开头,每个组织域名只发布一条。接收方会查询这个确切位置来获取你的策略。IPeek 会自动读取 _dmarc.your-domain 上的记录,并解析其中的每个标签。

DMARC 通过是否需要同时配置 SPF 和 DKIM?

不需要。只要 SPF 或 DKIM 其中之一通过并与你的 From 域名对齐,DMARC 即可通过,因此并非严格需要两者。不过强烈建议同时配置:这能增加冗余,而且 DKIM 在邮件转发后仍然有效,SPF 往往在转发时失效。两种验证方式都对齐,能让你获得最可靠的 DMARC 结果。

相关工具

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어