Technical Reference · 2026 Edition

如何设置 DMARC:从 p=none 到 p=reject(2026 指南)

2026 年 DMARC 设置完整分步指南。从 p=none 监控模式,经由 p=quarantine 过渡,最终实现 p=reject 强制执行——这是在 Gmail 和 Apple Mail 中显示 BIMI 标志的必要前提。

Last updated min read

DMARC 分步指南

DMARC(Domain-based Message Authentication, Reporting, and Conformance)是实现 BIMI 的必要前提,没有任何例外。如果域名设置为 p=none,无论 SVG 文件配置得多么完美,标志都不会显示在 Gmail 或 Apple Mail 中。本指南涵盖了从初始部署到完全强制执行的完整路径。

前提条件

在创建 DMARC 记录之前,请确认以下配置已经就位:

  1. SPF 记录 — 在根域名下创建的 TXT 记录,指定哪些邮件服务器有权代表您发送邮件。示例:v=spf1 include:_spf.google.com -all
  2. DKIM 记录 — 在 DNS 中发布的公钥,接收服务器使用该公钥验证您的邮件签名。此公钥由您的邮件服务提供商生成。
  3. DNS 访问权限 — 对域名 DNS 区域的写入权限(Cloudflare、Route 53、GoDaddy 或您的域名注册商控制面板)。

DMARC 要求 SPF 或 DKIM 至少有一项正确配置,并且与 From: 域名对齐后才能正常工作。

第一步:创建监控记录(p=none)

从仅监控策略开始。这会记录认证失败情况,但不影响邮件投递。

text
_dmarc.yourdomain.com  IN  TXT  "v=DMARC1; p=none; rua=mailto:[email protected]; pct=100"

标签参考:

| 标签 | 是否必需 | 说明 | |---|---|---| | v=DMARC1 | 是 | 协议版本,必须放在首位。 | | p=none | 是 | 策略:仅监控,不采取任何操作。 | | rua=mailto: | 建议 | 接收汇总报告的邮箱地址。 | | pct=100 | 可选 | 受策略约束的邮件百分比(默认:100)。 |

发布此记录后,等待 48–72 小时完成 DNS 传播。

第二步:解读汇总报告

汇总报告(RUA)以 XML 附件形式发送,通常每个发送源每天发送一次。报告显示:

  • 哪些 IP 地址以您的域名名义发送了邮件
  • SPF 和 DKIM 是否通过
  • 每个来源发送了多少封邮件

需要关注的问题: 在进入强制执行阶段之前,必须修复任何未通过 SPF 或 DKIM 对齐的合法发送服务(您的邮件服务提供商、CRM、工单系统、营销平台等)。如果在对齐问题未解决的情况下切换到 p=reject,合法邮件将被拦截。

常见需要单独配置 DKIM/SPF 的服务:Mailchimp、Salesforce、HubSpot、Zendesk、SendGrid、Google Workspace、Microsoft 365。

第三步:切换到 p=quarantine

当所有合法发送源都通过认证后,将策略更新为隔离未通过认证的邮件:

text
_dmarc.yourdomain.com  IN  TXT  "v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=25"

先从 pct=25 开始,仅对 25% 的失败邮件应用隔离策略。监控一到两周。如果没有合法邮件被隔离,再提高到 pct=100

第四步:切换到 p=reject

完全强制执行。未通过认证的邮件将被直接拒绝,不会投递。

text
_dmarc.yourdomain.com  IN  TXT  "v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100"

这是 BIMI 的最低要求。 Gmail 和 Apple Mail 只有在域名设置为 p=quarantinep=rejectpct=100 时,才会处理您的 BIMI 记录。p=none 策略对 BIMI 不可见——无论其他设置配置得多么正确,标志都不会显示。

为什么 p=none 会阻止 BIMI

BIMI 规范要求邮箱服务提供商在显示标志之前,验证发送域名是否具有强制执行的 DMARC 策略。原因在于:标志是一种信任信号。如果为未实施反欺骗控制的域名显示标志,攻击者就可以在钓鱼邮件中显示经过验证的标志。p=none 不提供任何强制执行,因此服务提供商拒绝处理 BIMI 记录。

对齐:大多数指南忽略的细节

只有当认证域名与 From: 头域名对齐时,DMARC 才能通过。对齐有两种模式:

  • 宽松模式(默认): 组织域名必须匹配。mail.example.comexample.com 对齐。
  • 严格模式: 必须完全匹配。mail.example.comexample.com 不对齐。

对于 BIMI,建议使用宽松对齐(adkim=r; aspf=r),除非您有特定原因需要使用严格模式。严格对齐会导致子域名和第三方发送服务的验证失败。

完整记录参考

text
_dmarc.yourdomain.com  IN  TXT  "v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s; rua=mailto:[email protected]; pct=100"

| 标签 | 值 | 含义 | |---|---|---| | p=reject | Reject | 拦截未通过认证的邮件 | | sp=reject | Reject | 对子域名应用相同策略 | | adkim=s | Strict | DKIM 对齐必须完全匹配 | | aspf=s | Strict | SPF 对齐必须完全匹配 | | rua= | Email | 汇总报告接收地址 | | pct=100 | 100% | 应用于所有邮件 |

后续步骤

当您的域名达到 p=reject 后:

  1. 生成 BIMI SVG — 使用 makeBIMI™ 生成符合 W3C SVG Tiny P/S 规范的标志文件。免费使用,无需注册账户。
  2. 运行 DMARC 审计makeBIMI Domain Audit 工具可实时验证您的 DMARC、SPF 和 BIMI 记录状态。
  3. 获取证书 — 要在 Gmail 中显示标志,需要 VMC 或 CMC 证书。veriBIMI℠ 提供完整的证书申请服务,包括 DMARC 强制执行管理、SVG 准备和 CA 申请。