@邮件域名体检

DMARC · Alignment policy

DMARC p=none 应该何时升级

p=none 用来观察身份对齐,但不要求收件方隔离或拒绝冒用邮件。升级前必须先证明合法发件源不会被误伤。

三个策略分别做什么

  • p=none:收集和观察结果,不请求处置失败邮件。
  • p=quarantine:请求收件方对失败邮件采取隔离或提高怀疑级别。
  • p=reject:请求收件方拒绝未通过 DMARC 的邮件。

DMARC 不是单独的签名协议。邮件需要通过 SPF 或 DKIM,并且通过的身份必须与可见 From 域名对齐。

v=DMARC1; p=none; rua=mailto:dmarc@example.com

RFC 9989 的测试模式

2026 年发布的 RFC 9989 用 t=y 表示 policy 测试模式:quarantine 预期按 none 处理,reject 预期按 quarantine 处理。旧版 pct 已成为历史标签,不应继续把任意百分比当作可靠的渐进执行机制。

升级前的证据

  1. 整理所有合法发件服务,包括营销、工单、账单、CRM 和自建系统。
  2. 确认每个服务至少有一种对齐路径:SPF aligned 或 DKIM aligned。
  3. 查看聚合报告,区分合法来源、转发、邮件列表和明显冒用。
  4. 先在受控范围提高策略,再观察退信和客户反馈。
  5. 合法流量稳定后再进入 reject,并继续监控新增发件服务。

只有一条 DMARC 记录才有效。复制第二条 v=DMARC1 TXT 记录会使策略无法正常求值。

rua 与隐私

rua 指向聚合报告接收地址。使用你控制或明确授权的处理方,并根据业务所在地和供应商条款评估数据保留。缺少 rua 不一定让 policy 无效,但会降低发现漏配发件源的能力。

不要把分数当作投递保证

DMARC 执行能减少域名冒用风险,却不能替代内容质量、IP 声誉、退信控制或真实邮件头验证。扫描结果只说明公开策略状态。

官方来源