Technical Reference · 2026 Edition

อธิบายข้อกำหนด BIMI DMARC p=reject

Last updated min read

อธิบายข้อกำหนด BIMI DMARC p=reject

การติดตั้ง BIMI ที่ล้มเหลวส่วนใหญ่มีสาเหตุมาจากปัญหาเดียว: นโยบาย DMARC ที่ไม่ถูกต้อง องค์กรต่างๆ มุ่งเน้นไปที่การสร้างไฟล์โลโก้ SVG และมองข้ามข้อกำหนดด้านการยืนยันตัวตนที่กำหนดว่าโลโก้จะแสดงได้หรือไม่

BIMI เป็นโปรโตคอลด้านความปลอดภัย ไม่ใช่ฟีเจอร์ด้านแบรนด์ ผู้ให้บริการกล่องจดหมายจะแสดงโลโก้ของคุณก็ต่อเมื่อยืนยันด้วยการเข้ารหัสว่าข้อความนั้นมาจากโดเมนของคุณจริงเท่านั้น [1]

บทความนี้อธิบายข้อกำหนดเบื้องต้นของ DMARC สำหรับ BIMI เปรียบเทียบนโยบายการบังคับใช้ทั้งสามระดับ และระบุวิธีเตรียมโดเมนของคุณ

DMARC คืออะไร?

Domain-based Message Authentication, Reporting, and Conformance (DMARC) เป็นมาตรฐานการยืนยันตัวตนอีเมลที่ป้องกันไม่ให้ผู้ส่งที่ไม่ได้รับอนุญาตใช้โดเมนของคุณในส่วนหัว From

DMARC สร้างขึ้นบนโปรโตคอลพื้นฐานสองตัว:

  1. SPF (Sender Policy Framework): ตรวจสอบว่าที่อยู่ IP ของผู้ส่งได้รับอนุญาตจากเจ้าของโดเมน
  2. DKIM (DomainKeys Identified Mail): ใส่ลายเซ็นการเข้ารหัสในแต่ละข้อความเพื่อให้ผู้รับสามารถยืนยันได้ว่าข้อความไม่ถูกแก้ไขระหว่างการส่ง

ระเบียน DMARC สั่งเซิร์ฟเวอร์ผู้รับ เช่น Gmail และ Yahoo ว่าจะจัดการกับข้อความที่ไม่ผ่านการตรวจสอบทั้ง SPF และ DKIM อย่างไร

นโยบาย DMARC สามระดับ

คุณเผยแพร่ระเบียน DMARC เป็นระเบียน TXT ในโซน DNS ของคุณ แท็ก p= กำหนดนโยบายการบังคับใช้

1. p=none (โหมดตรวจสอบ)

เซิร์ฟเวอร์ผู้รับส่งข้อความที่ไม่ผ่านการตรวจสอบไปยังกล่องขาเข้าและส่งรายงานสรุปไปยังที่อยู่ที่คุณระบุ ใช้นโยบายนี้เพื่อระบุแหล่งส่งที่ถูกต้องก่อนที่จะเปลี่ยนไปใช้การบังคับใช้ สถานะ BIMI:ถูกปฏิเสธ ผู้ให้บริการกล่องจดหมายไม่แสดงโลโก้ BIMI สำหรับโดเมนที่ใช้ p=none

2. p=quarantine (โหมดบังคับใช้)

เซิร์ฟเวอร์ผู้รับส่งข้อความที่ไม่ผ่านการตรวจสอบไปยังโฟลเดอร์สแปมหรือขยะ สถานะ BIMI:ยอมรับ นี่คือนโยบายขั้นต่ำที่มีคุณสมบัติสำหรับ BIMI นโยบายต้องใช้กับข้อความ 100% ให้ใส่ pct=100 หรือไม่ใส่แท็ก pct (ค่าเริ่มต้นคือ 100)

3. p=reject (โหมดบังคับใช้อย่างเข้มงวด)

เซิร์ฟเวอร์ผู้รับทิ้งข้อความที่ไม่ผ่านการตรวจสอบ ข้อความจะไม่ถูกส่ง สถานะ BIMI:ยอมรับ นี่คือนโยบายที่แนะนำสำหรับ BIMI

ทำไม BIMI ถึงต้องการการบังคับใช้

ข้อกำหนดนี้มีอยู่เพื่อป้องกันการปลอมแปลงทางภาพ เมื่อผู้ให้บริการกล่องจดหมายแสดงโลโก้ของคุณถัดจากข้อความ นั่นเป็นการยืนยันต่อผู้รับว่าข้อความนั้นเป็นของแท้ [2]

หาก BIMI ยอมรับ p=none ผู้โจมตีสามารถปลอมแปลงโดเมนของคุณและทำให้ผู้ให้บริการกล่องจดหมายแสดงโลโก้ของคุณถัดจากข้อความฟิชชิ่งได้ การกำหนดให้ใช้ p=quarantine หรือ p=reject รับประกันว่าเจ้าของโดเมนได้บล็อกอีเมลที่ไม่ผ่านการยืนยันตัวตนก่อนที่จะได้รับโลโก้

ข้อควรพิจารณาสำหรับซับโดเมน

องค์กรขนาดใหญ่มักใช้ซับโดเมนสำหรับกระแสอีเมลที่แตกต่างกัน เช่น marketing.company.com หรือ receipts.company.com BIMI ต้องการให้โดเมนระดับองค์กรอยู่ในโหมดบังคับใช้

หากโดเมนระดับองค์กรของคุณเผยแพร่ p=reject แต่แทนที่ซับโดเมนด้วย sp=none BIMI จะล้มเหลวสำหรับอีเมลที่ส่งจากซับโดเมนเหล่านั้น การบังคับใช้ต้องใช้กับทั้งโดเมนระดับองค์กรและซับโดเมน

วิธีตรวจสอบโครงสร้างพื้นฐานของคุณ

ยืนยันสถานะ DMARC ของคุณก่อนที่จะสร้างไฟล์ SVG หรือสมัครขอ Verified Mark Certificate (VMC)

ใช้ makeBIMI เพื่อตรวจสอบโดเมนของคุณ เครื่องมือนี้สอบถามระเบียน DNS ของคุณ ประเมินการกำหนดค่า SPF และ DMARC และรายงานว่าโดเมนของคุณตรงตามข้อกำหนดการบังคับใช้สำหรับ BIMI หรือไม่

หลังจากโดเมนของคุณผ่านการตรวจสอบแล้ว ให้สร้างไฟล์ SVG ที่เป็นไปตามข้อกำหนด และติดต่อตัวแทนจำหน่าย CA เช่น veriBIMI เพื่อขอใบรับรองของคุณ

เอกสารอ้างอิง

[1] M. Blank, et al. "Brand Indicators for Message Identification (BIMI)." IETF Datatracker, RFC 9091, https://datatracker.ietf.org/doc/html/rfc9091 [2] DMARC.org. "Overview." DMARC, https://dmarc.org/overview/