三个策略分别做什么
p=none:收集和观察结果,不请求处置失败邮件。p=quarantine:请求收件方对失败邮件采取隔离或提高怀疑级别。p=reject:请求收件方拒绝未通过 DMARC 的邮件。
DMARC 不是单独的签名协议。邮件需要通过 SPF 或 DKIM,并且通过的身份必须与可见 From 域名对齐。
v=DMARC1; p=none; rua=mailto:dmarc@example.com
RFC 9989 的测试模式
2026 年发布的 RFC 9989 用 t=y 表示 policy 测试模式:quarantine 预期按 none 处理,reject 预期按 quarantine 处理。旧版 pct 已成为历史标签,不应继续把任意百分比当作可靠的渐进执行机制。
升级前的证据
- 整理所有合法发件服务,包括营销、工单、账单、CRM 和自建系统。
- 确认每个服务至少有一种对齐路径:SPF aligned 或 DKIM aligned。
- 查看聚合报告,区分合法来源、转发、邮件列表和明显冒用。
- 先在受控范围提高策略,再观察退信和客户反馈。
- 合法流量稳定后再进入 reject,并继续监控新增发件服务。
只有一条 DMARC 记录才有效。复制第二条 v=DMARC1 TXT 记录会使策略无法正常求值。
rua 与隐私
rua 指向聚合报告接收地址。使用你控制或明确授权的处理方,并根据业务所在地和供应商条款评估数据保留。缺少 rua 不一定让 policy 无效,但会降低发现漏配发件源的能力。
不要把分数当作投递保证
DMARC 执行能减少域名冒用风险,却不能替代内容质量、IP 声誉、退信控制或真实邮件头验证。扫描结果只说明公开策略状态。