如何设置 DMARC:从 p=none 到 p=reject(2026 指南)
2026 年 DMARC 设置完整分步指南。从 p=none 监控模式,经由 p=quarantine 过渡,最终实现 p=reject 强制执行——这是在 Gmail 和 Apple Mail 中显示 BIMI 标志的必要前提。
DMARC 分步指南
DMARC(Domain-based Message Authentication, Reporting, and Conformance)是实现 BIMI 的必要前提,没有任何例外。如果域名设置为 p=none,无论 SVG 文件配置得多么完美,标志都不会显示在 Gmail 或 Apple Mail 中。本指南涵盖了从初始部署到完全强制执行的完整路径。
前提条件
在创建 DMARC 记录之前,请确认以下配置已经就位:
- SPF 记录 — 在根域名下创建的 TXT 记录,指定哪些邮件服务器有权代表您发送邮件。示例:
v=spf1 include:_spf.google.com -all - DKIM 记录 — 在 DNS 中发布的公钥,接收服务器使用该公钥验证您的邮件签名。此公钥由您的邮件服务提供商生成。
- DNS 访问权限 — 对域名 DNS 区域的写入权限(Cloudflare、Route 53、GoDaddy 或您的域名注册商控制面板)。
DMARC 要求 SPF 或 DKIM 至少有一项正确配置,并且与 From: 域名对齐后才能正常工作。
第一步:创建监控记录(p=none)
从仅监控策略开始。这会记录认证失败情况,但不影响邮件投递。
_dmarc.yourdomain.com IN TXT "v=DMARC1; p=none; rua=mailto:[email protected]; pct=100"
标签参考:
| 标签 | 是否必需 | 说明 |
|---|---|---|
| v=DMARC1 | 是 | 协议版本,必须放在首位。 |
| p=none | 是 | 策略:仅监控,不采取任何操作。 |
| rua=mailto: | 建议 | 接收汇总报告的邮箱地址。 |
| pct=100 | 可选 | 受策略约束的邮件百分比(默认:100)。 |
发布此记录后,等待 48–72 小时完成 DNS 传播。
第二步:解读汇总报告
汇总报告(RUA)以 XML 附件形式发送,通常每个发送源每天发送一次。报告显示:
- 哪些 IP 地址以您的域名名义发送了邮件
- SPF 和 DKIM 是否通过
- 每个来源发送了多少封邮件
需要关注的问题: 在进入强制执行阶段之前,必须修复任何未通过 SPF 或 DKIM 对齐的合法发送服务(您的邮件服务提供商、CRM、工单系统、营销平台等)。如果在对齐问题未解决的情况下切换到 p=reject,合法邮件将被拦截。
常见需要单独配置 DKIM/SPF 的服务:Mailchimp、Salesforce、HubSpot、Zendesk、SendGrid、Google Workspace、Microsoft 365。
第三步:切换到 p=quarantine
当所有合法发送源都通过认证后,将策略更新为隔离未通过认证的邮件:
_dmarc.yourdomain.com IN TXT "v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=25"
先从 pct=25 开始,仅对 25% 的失败邮件应用隔离策略。监控一到两周。如果没有合法邮件被隔离,再提高到 pct=100。
第四步:切换到 p=reject
完全强制执行。未通过认证的邮件将被直接拒绝,不会投递。
_dmarc.yourdomain.com IN TXT "v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100"
这是 BIMI 的最低要求。 Gmail 和 Apple Mail 只有在域名设置为 p=quarantine 或 p=reject 且 pct=100 时,才会处理您的 BIMI 记录。p=none 策略对 BIMI 不可见——无论其他设置配置得多么正确,标志都不会显示。
为什么 p=none 会阻止 BIMI
BIMI 规范要求邮箱服务提供商在显示标志之前,验证发送域名是否具有强制执行的 DMARC 策略。原因在于:标志是一种信任信号。如果为未实施反欺骗控制的域名显示标志,攻击者就可以在钓鱼邮件中显示经过验证的标志。p=none 不提供任何强制执行,因此服务提供商拒绝处理 BIMI 记录。
对齐:大多数指南忽略的细节
只有当认证域名与 From: 头域名对齐时,DMARC 才能通过。对齐有两种模式:
- 宽松模式(默认): 组织域名必须匹配。
mail.example.com与example.com对齐。 - 严格模式: 必须完全匹配。
mail.example.com与example.com不对齐。
对于 BIMI,建议使用宽松对齐(adkim=r; aspf=r),除非您有特定原因需要使用严格模式。严格对齐会导致子域名和第三方发送服务的验证失败。
完整记录参考
_dmarc.yourdomain.com IN TXT "v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s; rua=mailto:[email protected]; pct=100"
| 标签 | 值 | 含义 |
|---|---|---|
| p=reject | Reject | 拦截未通过认证的邮件 |
| sp=reject | Reject | 对子域名应用相同策略 |
| adkim=s | Strict | DKIM 对齐必须完全匹配 |
| aspf=s | Strict | SPF 对齐必须完全匹配 |
| rua= | Email | 汇总报告接收地址 |
| pct=100 | 100% | 应用于所有邮件 |
后续步骤
当您的域名达到 p=reject 后:
- 生成 BIMI SVG — 使用 makeBIMI™ 生成符合 W3C SVG Tiny P/S 规范的标志文件。免费使用,无需注册账户。
- 运行 DMARC 审计 — makeBIMI Domain Audit 工具可实时验证您的 DMARC、SPF 和 BIMI 记录状态。
- 获取证书 — 要在 Gmail 中显示标志,需要 VMC 或 CMC 证书。veriBIMI℠ 提供完整的证书申请服务,包括 DMARC 强制执行管理、SVG 准备和 CA 申请。