วิธีตั้งค่า DMARC: จาก p=none สู่ p=reject (คู่มือ 2026)
คู่มือฉบับสมบูรณ์สำหรับการตั้งค่า DMARC ในปี 2026 แบบทีละขั้นตอน เริ่มจากการตรวจสอบด้วย p=none ผ่าน p=quarantine ไปจนถึงการบังคับใช้ด้วย p=reject — ซึ่งเป็นข้อกำหนดเบื้องต้นสำหรับการแสดงโลโก้ BIMI ใน Gmail และ Apple Mail
DMARC. ทีละขั้นตอน.
DMARC (Domain-based Message Authentication, Reporting, and Conformance) เป็นข้อกำหนดเบื้องต้นที่ขาดไม่ได้สำหรับ BIMI โดเมนที่มี p=none จะไม่สามารถแสดงโลโก้ใน Gmail หรือ Apple Mail ได้เลย ไม่ว่าไฟล์ SVG จะถูกกำหนดค่าอย่างสมบูรณ์แบบเพียงใดก็ตาม คู่มือนี้ครอบคลุมเส้นทางทั้งหมดตั้งแต่การติดตั้งเริ่มต้นจนถึงการบังคับใช้เต็มรูปแบบ
ข้อกำหนดเบื้องต้น
ก่อนสร้างระเบียน DMARC ให้ยืนยันว่าสิ่งต่อไปนี้ได้ถูกตั้งค่าเรียบร้อยแล้ว:
- ระเบียน SPF — ระเบียน TXT ที่โดเมนหลักของคุณ ระบุว่าเซิร์ฟเวอร์อีเมลใดได้รับอนุญาตให้ส่งในนามของคุณ ตัวอย่าง:
v=spf1 include:_spf.google.com -all - ระเบียน DKIM — คีย์สาธารณะที่เผยแพร่ใน DNS ซึ่งเซิร์ฟเวอร์ผู้รับใช้ยืนยันลายเซ็นอีเมลของคุณ ผู้ให้บริการอีเมลของคุณจะเป็นผู้สร้างสิ่งนี้
- สิทธิ์เข้าถึง DNS — สิทธิ์ในการเขียนไปยังโซน DNS ของโดเมนคุณ (Cloudflare, Route 53, GoDaddy หรือแผงควบคุมของผู้จดทะเบียนโดเมน)
DMARC ต้องการให้อย่างน้อย SPF หรือ DKIM ถูกกำหนดค่าอย่างถูกต้องและ สอดคล้อง กับโดเมน From: ก่อนจึงจะทำงานได้
ขั้นตอนที่ 1: สร้างระเบียนตรวจสอบ (p=none)
เริ่มต้นด้วยนโยบายตรวจสอบเท่านั้น นโยบายนี้จะบันทึกความล้มเหลวในการยืนยันตัวตนโดยไม่ส่งผลกระทบต่อการส่งอีเมล
_dmarc.yourdomain.com IN TXT "v=DMARC1; p=none; rua=mailto:[email protected]; pct=100"
รายละเอียดแท็ก:
| แท็ก | จำเป็น | คำอธิบาย |
|---|---|---|
| v=DMARC1 | ใช่ | เวอร์ชันโปรโตคอล ต้องอยู่ลำดับแรก |
| p=none | ใช่ | นโยบาย: ตรวจสอบเท่านั้น ไม่ดำเนินการใดๆ |
| rua=mailto: | แนะนำ | ที่อยู่อีเมลสำหรับรับรายงานรวม |
| pct=100 | ไม่บังคับ | เปอร์เซ็นต์ของอีเมลที่อยู่ภายใต้นโยบาย (ค่าเริ่มต้น: 100) |
เผยแพร่ระเบียนนี้และรอ 48–72 ชั่วโมงสำหรับการแพร่กระจาย DNS
ขั้นตอนที่ 2: อ่านรายงานรวมของคุณ
รายงานรวม (RUA) จะมาถึงในรูปแบบไฟล์แนบ XML โดยปกติวันละครั้งต่อแหล่งส่ง รายงานแสดง:
- ที่อยู่ IP ใดส่งอีเมลโดยอ้างโดเมนของคุณ
- SPF และ DKIM ผ่านหรือล้มเหลว
- มีการส่งข้อความจำนวนเท่าใดจากแต่ละแหล่ง
สิ่งที่ต้องมองหา: บริการส่งที่ถูกต้องตามกฎหมายใดๆ (ESP, CRM, ระบบตั๋ว, แพลตฟอร์มการตลาดของคุณ) ที่ล้มเหลวในการสอดคล้องของ SPF หรือ DKIM จะต้องได้รับการแก้ไขก่อนที่คุณจะไปสู่การบังคับใช้ การย้ายไปที่ p=reject โดยมีความล้มเหลวในการสอดคล้องที่ยังไม่ได้แก้ไขจะทำให้อีเมลที่ถูกต้องถูกบล็อก
แหล่งทั่วไปที่ต้องกำหนดค่า DKIM/SPF แยกต่างหาก: Mailchimp, Salesforce, HubSpot, Zendesk, SendGrid, Google Workspace, Microsoft 365
ขั้นตอนที่ 3: ย้ายไปที่ p=quarantine
เมื่อแหล่งส่งที่ถูกต้องตามกฎหมายทั้งหมดผ่านการยืนยันตัวตนแล้ว ให้อัปเดตนโยบายเพื่อกักกันข้อความที่ล้มเหลว:
_dmarc.yourdomain.com IN TXT "v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=25"
เริ่มต้นด้วย pct=25 เพื่อใช้นโยบายกักกันกับข้อความที่ล้มเหลวเพียง 25% ตรวจสอบเป็นเวลาหนึ่งถึงสองสัปดาห์ หากไม่มีอีเมลที่ถูกต้องถูกกักกัน ให้เพิ่มเป็น pct=100
ขั้นตอนที่ 4: ย้ายไปที่ p=reject
การบังคับใช้เต็มรูปแบบ ข้อความที่ไม่ได้รับการยืนยันตัวตนจะถูกปฏิเสธโดยตรงและไม่ถูกส่งมอบ
_dmarc.yourdomain.com IN TXT "v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100"
นี่คือข้อกำหนดขั้นต่ำสำหรับ BIMI Gmail และ Apple Mail จะไม่ประมวลผลระเบียน BIMI ของคุณเว้นแต่โดเมนของคุณจะมี p=quarantine หรือ p=reject ที่มี pct=100 นโยบาย p=none จะมองไม่เห็นสำหรับ BIMI — โลโก้จะไม่ปรากฏโดยไม่คำนึงว่าการตั้งค่าส่วนที่เหลือจะถูกต้องเพียงใด
ทำไม p=none จึงบล็อก BIMI
ข้อกำหนด BIMI กำหนดให้ผู้ให้บริการกล่องจดหมายยืนยันว่าโดเมนผู้ส่งมีนโยบาย DMARC ที่บังคับใช้ก่อนแสดงโลโก้ เหตุผล: โลโก้เป็นสัญญาณความน่าเชื่อถือ การแสดงโลโก้สำหรับโดเมนที่ไม่ได้บังคับใช้การควบคุมป้องกันการปลอมแปลงจะทำให้ผู้โจมตีสามารถแสดงโลโก้ที่ได้รับการยืนยันบนอีเมลฟิชชิ่งได้ p=none ไม่มีการบังคับใช้ ดังนั้นผู้ให้บริการจึงปฏิเสธที่จะยอมรับระเบียน BIMI
การสอดคล้อง: รายละเอียดที่คู่มือส่วนใหญ่ข้ามไป
DMARC จะผ่านเฉพาะเมื่อโดเมนที่ได้รับการยืนยันตัวตน สอดคล้อง กับโดเมนส่วนหัว From: มีสองโหมดการสอดคล้อง:
- ผ่อนคลาย (ค่าเริ่มต้น): โดเมนองค์กรต้องตรงกัน
mail.example.comสอดคล้องกับexample.com - เข้มงวด: โดเมนต้องตรงกันทุกประการ
mail.example.comไม่สอดคล้องกับexample.com
สำหรับ BIMI ให้ใช้การสอดคล้องแบบผ่อนคลาย (adkim=r; aspf=r) เว้นแต่คุณจะมีเหตุผลเฉพาะสำหรับแบบเข้มงวด การสอดคล้องแบบเข้มงวดทำให้เกิดความล้มเหลวสำหรับโดเมนย่อยและบริการส่งของบุคคลที่สาม
รายละเอียดระเบียนฉบับสมบูรณ์
_dmarc.yourdomain.com IN TXT "v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s; rua=mailto:[email protected]; pct=100"
| แท็ก | ค่า | ความหมาย |
|---|---|---|
| p=reject | ปฏิเสธ | บล็อกอีเมลที่ไม่ได้รับการยืนยันตัวตน |
| sp=reject | ปฏิเสธ | ใช้นโยบายเดียวกันกับโดเมนย่อย |
| adkim=s | เข้มงวด | การสอดคล้อง DKIM ต้องตรงกันทุกประการ |
| aspf=s | เข้มงวด | การสอดคล้อง SPF ต้องตรงกันทุกประการ |
| rua= | อีเมล | ปลายทางรายงานรวม |
| pct=100 | 100% | ใช้กับอีเมลทั้งหมด |
ขั้นตอนถัดไป
เมื่อโดเมนของคุณไปถึง p=reject:
- สร้าง SVG สำหรับ BIMI ของคุณ — ใช้ makeBIMI™ เพื่อสร้างไฟล์โลโก้ที่เป็นไปตามมาตรฐาน W3C SVG Tiny P/S ฟรี ไม่ต้องสมัครบัญชี
- ตรวจสอบ DMARC audit — เครื่องมือ makeBIMI Domain Audit ตรวจสอบสถานะระเบียน DMARC, SPF และ BIMI ของคุณแบบเร