DMARC 策略分阶段:none → quarantine → reject
DMARC 是阻止域名被冒用与提高投递稳定性的“顶层保护伞”。但它不是一个“一键开/关”的开关,而是一条路线图:先观察(none),再限流(quarantine),最后拦截(reject)。这篇文章提供配置建议、观测指标与回退流程,帮助你把 DMARC 落地为“稳定可回滚”的工程能力。
快速验证
输入域名,体检会解析 _dmarc.<domain> TXT,显示 p/adkim/aspf/rua 与建议;生成 PDF 并可 Verify 复算。
一、基础配置与常见误区
- TXT 记录必须以
v=DMARC1开头;多条记录会引起冲突。 - 设置
rua接收报告;可使用专用收件箱并做转发聚合。 adkim/aspf建议从r起步;对单品牌统一路由可直接s。
二、路线图与里程碑
| 阶段 | 配置 | 目标 | 度量 |
|---|---|---|---|
| 观察期 | p=none; adkim=r; aspf=r; rua=mailto:dmarc@yourdomain | 识别未对齐来源;定位沉睡系统 | 对齐通过率↑;可疑来源列清单 |
| 限流期 | p=quarantine; pct=25→50→100 | 以可控速度压降未对齐流量 | 投诉率不升、业务无告警 |
| 拦截期 | p=reject | 全量拦截伪造与未对齐来源 | 伪造下降、域名信誉上升 |
建议每阶段至少观察一个完整业务周期(例如 1–2 周),记录关键指标:对齐通过率、投诉率、异常告警。
三、配合对齐/退订与 SPF
DMARC 的通过依赖 SPF 或 DKIM 至少一个通过且与 header.from 组织域对齐。因此在推进 p= 值的同时,务必联动:
四、落地清单与回滚
- 开启 rua,确认可收取报告(可用转发邮箱)
- 梳理发信清单:ESP/自建 MTA/第三方系统
- 逐个系统补齐 DKIM 与对齐(smtp.mailfrom/header.from/dkim d=)
- p=quarantine 阶段设置 pct:25%→50%→100%
- 切到 p=reject 前,确保关键业务全对齐(灰度验证)
若在 p=quarantine 期间发生异常(投诉率上升、核心邮件被隔离),立即下调 pct 或退回 p=none,完成排错后再推升。所有变更请生成 PDF 证据并保留。