Technical Reference · 2026 Edition

วิธีตั้งค่า DMARC: จาก p=none สู่ p=reject (คู่มือ 2026)

คู่มือฉบับสมบูรณ์สำหรับการตั้งค่า DMARC ในปี 2026 แบบทีละขั้นตอน เริ่มจากการตรวจสอบด้วย p=none ผ่าน p=quarantine ไปจนถึงการบังคับใช้ด้วย p=reject — ซึ่งเป็นข้อกำหนดเบื้องต้นสำหรับการแสดงโลโก้ BIMI ใน Gmail และ Apple Mail

Last updated min read

DMARC. ทีละขั้นตอน.

DMARC (Domain-based Message Authentication, Reporting, and Conformance) เป็นข้อกำหนดเบื้องต้นที่ขาดไม่ได้สำหรับ BIMI โดเมนที่มี p=none จะไม่สามารถแสดงโลโก้ใน Gmail หรือ Apple Mail ได้เลย ไม่ว่าไฟล์ SVG จะถูกกำหนดค่าอย่างสมบูรณ์แบบเพียงใดก็ตาม คู่มือนี้ครอบคลุมเส้นทางทั้งหมดตั้งแต่การติดตั้งเริ่มต้นจนถึงการบังคับใช้เต็มรูปแบบ

ข้อกำหนดเบื้องต้น

ก่อนสร้างระเบียน DMARC ให้ยืนยันว่าสิ่งต่อไปนี้ได้ถูกตั้งค่าเรียบร้อยแล้ว:

  1. ระเบียน SPF — ระเบียน TXT ที่โดเมนหลักของคุณ ระบุว่าเซิร์ฟเวอร์อีเมลใดได้รับอนุญาตให้ส่งในนามของคุณ ตัวอย่าง: v=spf1 include:_spf.google.com -all
  2. ระเบียน DKIM — คีย์สาธารณะที่เผยแพร่ใน DNS ซึ่งเซิร์ฟเวอร์ผู้รับใช้ยืนยันลายเซ็นอีเมลของคุณ ผู้ให้บริการอีเมลของคุณจะเป็นผู้สร้างสิ่งนี้
  3. สิทธิ์เข้าถึง DNS — สิทธิ์ในการเขียนไปยังโซน DNS ของโดเมนคุณ (Cloudflare, Route 53, GoDaddy หรือแผงควบคุมของผู้จดทะเบียนโดเมน)

DMARC ต้องการให้อย่างน้อย SPF หรือ DKIM ถูกกำหนดค่าอย่างถูกต้องและ สอดคล้อง กับโดเมน From: ก่อนจึงจะทำงานได้

ขั้นตอนที่ 1: สร้างระเบียนตรวจสอบ (p=none)

เริ่มต้นด้วยนโยบายตรวจสอบเท่านั้น นโยบายนี้จะบันทึกความล้มเหลวในการยืนยันตัวตนโดยไม่ส่งผลกระทบต่อการส่งอีเมล

text
_dmarc.yourdomain.com  IN  TXT  "v=DMARC1; p=none; rua=mailto:[email protected]; pct=100"

รายละเอียดแท็ก:

| แท็ก | จำเป็น | คำอธิบาย | |---|---|---| | v=DMARC1 | ใช่ | เวอร์ชันโปรโตคอล ต้องอยู่ลำดับแรก | | p=none | ใช่ | นโยบาย: ตรวจสอบเท่านั้น ไม่ดำเนินการใดๆ | | rua=mailto: | แนะนำ | ที่อยู่อีเมลสำหรับรับรายงานรวม | | pct=100 | ไม่บังคับ | เปอร์เซ็นต์ของอีเมลที่อยู่ภายใต้นโยบาย (ค่าเริ่มต้น: 100) |

เผยแพร่ระเบียนนี้และรอ 48–72 ชั่วโมงสำหรับการแพร่กระจาย DNS

ขั้นตอนที่ 2: อ่านรายงานรวมของคุณ

รายงานรวม (RUA) จะมาถึงในรูปแบบไฟล์แนบ XML โดยปกติวันละครั้งต่อแหล่งส่ง รายงานแสดง:

  • ที่อยู่ IP ใดส่งอีเมลโดยอ้างโดเมนของคุณ
  • SPF และ DKIM ผ่านหรือล้มเหลว
  • มีการส่งข้อความจำนวนเท่าใดจากแต่ละแหล่ง

สิ่งที่ต้องมองหา: บริการส่งที่ถูกต้องตามกฎหมายใดๆ (ESP, CRM, ระบบตั๋ว, แพลตฟอร์มการตลาดของคุณ) ที่ล้มเหลวในการสอดคล้องของ SPF หรือ DKIM จะต้องได้รับการแก้ไขก่อนที่คุณจะไปสู่การบังคับใช้ การย้ายไปที่ p=reject โดยมีความล้มเหลวในการสอดคล้องที่ยังไม่ได้แก้ไขจะทำให้อีเมลที่ถูกต้องถูกบล็อก

แหล่งทั่วไปที่ต้องกำหนดค่า DKIM/SPF แยกต่างหาก: Mailchimp, Salesforce, HubSpot, Zendesk, SendGrid, Google Workspace, Microsoft 365

ขั้นตอนที่ 3: ย้ายไปที่ p=quarantine

เมื่อแหล่งส่งที่ถูกต้องตามกฎหมายทั้งหมดผ่านการยืนยันตัวตนแล้ว ให้อัปเดตนโยบายเพื่อกักกันข้อความที่ล้มเหลว:

text
_dmarc.yourdomain.com  IN  TXT  "v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=25"

เริ่มต้นด้วย pct=25 เพื่อใช้นโยบายกักกันกับข้อความที่ล้มเหลวเพียง 25% ตรวจสอบเป็นเวลาหนึ่งถึงสองสัปดาห์ หากไม่มีอีเมลที่ถูกต้องถูกกักกัน ให้เพิ่มเป็น pct=100

ขั้นตอนที่ 4: ย้ายไปที่ p=reject

การบังคับใช้เต็มรูปแบบ ข้อความที่ไม่ได้รับการยืนยันตัวตนจะถูกปฏิเสธโดยตรงและไม่ถูกส่งมอบ

text
_dmarc.yourdomain.com  IN  TXT  "v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100"

นี่คือข้อกำหนดขั้นต่ำสำหรับ BIMI Gmail และ Apple Mail จะไม่ประมวลผลระเบียน BIMI ของคุณเว้นแต่โดเมนของคุณจะมี p=quarantine หรือ p=reject ที่มี pct=100 นโยบาย p=none จะมองไม่เห็นสำหรับ BIMI — โลโก้จะไม่ปรากฏโดยไม่คำนึงว่าการตั้งค่าส่วนที่เหลือจะถูกต้องเพียงใด

ทำไม p=none จึงบล็อก BIMI

ข้อกำหนด BIMI กำหนดให้ผู้ให้บริการกล่องจดหมายยืนยันว่าโดเมนผู้ส่งมีนโยบาย DMARC ที่บังคับใช้ก่อนแสดงโลโก้ เหตุผล: โลโก้เป็นสัญญาณความน่าเชื่อถือ การแสดงโลโก้สำหรับโดเมนที่ไม่ได้บังคับใช้การควบคุมป้องกันการปลอมแปลงจะทำให้ผู้โจมตีสามารถแสดงโลโก้ที่ได้รับการยืนยันบนอีเมลฟิชชิ่งได้ p=none ไม่มีการบังคับใช้ ดังนั้นผู้ให้บริการจึงปฏิเสธที่จะยอมรับระเบียน BIMI

การสอดคล้อง: รายละเอียดที่คู่มือส่วนใหญ่ข้ามไป

DMARC จะผ่านเฉพาะเมื่อโดเมนที่ได้รับการยืนยันตัวตน สอดคล้อง กับโดเมนส่วนหัว From: มีสองโหมดการสอดคล้อง:

  • ผ่อนคลาย (ค่าเริ่มต้น): โดเมนองค์กรต้องตรงกัน mail.example.com สอดคล้องกับ example.com
  • เข้มงวด: โดเมนต้องตรงกันทุกประการ mail.example.com ไม่สอดคล้องกับ example.com

สำหรับ BIMI ให้ใช้การสอดคล้องแบบผ่อนคลาย (adkim=r; aspf=r) เว้นแต่คุณจะมีเหตุผลเฉพาะสำหรับแบบเข้มงวด การสอดคล้องแบบเข้มงวดทำให้เกิดความล้มเหลวสำหรับโดเมนย่อยและบริการส่งของบุคคลที่สาม

รายละเอียดระเบียนฉบับสมบูรณ์

text
_dmarc.yourdomain.com  IN  TXT  "v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s; rua=mailto:[email protected]; pct=100"

| แท็ก | ค่า | ความหมาย | |---|---|---| | p=reject | ปฏิเสธ | บล็อกอีเมลที่ไม่ได้รับการยืนยันตัวตน | | sp=reject | ปฏิเสธ | ใช้นโยบายเดียวกันกับโดเมนย่อย | | adkim=s | เข้มงวด | การสอดคล้อง DKIM ต้องตรงกันทุกประการ | | aspf=s | เข้มงวด | การสอดคล้อง SPF ต้องตรงกันทุกประการ | | rua= | อีเมล | ปลายทางรายงานรวม | | pct=100 | 100% | ใช้กับอีเมลทั้งหมด |

ขั้นตอนถัดไป

เมื่อโดเมนของคุณไปถึง p=reject:

  1. สร้าง SVG สำหรับ BIMI ของคุณ — ใช้ makeBIMI™ เพื่อสร้างไฟล์โลโก้ที่เป็นไปตามมาตรฐาน W3C SVG Tiny P/S ฟรี ไม่ต้องสมัครบัญชี
  2. ตรวจสอบ DMARC audit — เครื่องมือ makeBIMI Domain Audit ตรวจสอบสถานะระเบียน DMARC, SPF และ BIMI ของคุณแบบเร