檢視次數:
雲端電子郵件閘道保護 驗證所選網域的傳入電子郵件訊息,並允許管理員對未通過 DMARC 驗證的訊息採取行動。如果 DMARC 驗證通過,訊息將正常傳送。如果 DMARC 驗證失敗,訊息將根據 DMARC 設定被隔離、拒絕或傳送。
DMARC 設定僅適用於所選的收件者網域。
注意
注意
雲端電子郵件閘道保護 提供內建的預設規則,具有最低優先級,以確保您獲得基本的保護水平。預設規則無法刪除。
您只能為每個受管理的網域建立一條規則。如果沒有其他規則符合受管理的網域,將套用預設規則。

步驟

  1. 前往 Inbound ProtectionDomain-based AuthenticationDomain-based Message Authentication, Reporting and Conformance (DMARC)
  2. 請點擊新增
    Add DMARC Settings畫面出現。
  3. Managed domain下拉清單中選擇特定的收件者網域。
  4. 啟用「DMARC」
  5. (可選)選擇Skip DMARC for email messages with no envelope sender addresses
  6. (可選)選擇Enable Authenticated Received Chain (ARC)
    雲端電子郵件閘道保護 將成功驗證未通過 DMARC 驗證但通過 ARC 驗證的電子郵件,並將在這些電子郵件中插入一組 ARC 標頭。
    以下是一組 ARC 標頭的範例:
    ARC-Authentication-Results: i=2; tmes.trendmicro.com; spf=temperror (sender IP 位址: 10.135.11.245) smtp.mailfrom=example.com; dkim=none (no processed signatures) header.d=none; dmarc=fail action=none header.from=test.com; arc=pass
    ARC-Message-Signature: i=2; a=rsa-sha256; d=tmes.trendmicro.com; s=TM-DKIM-20200223173148; t=1628750516; c=relaxed/relaxed; bh=5ffn1pIbUBxx6CFHIVuU2HzEpEvAtzhWZ1Jz7ddgWws=; h=Date:From:To:Subject:Message-ID:Content-Type; b=cAaAR+7GtaByy8iSJiWo7GIf8T28Pjod3W2vWKcQWLH/7YA4n0X51cSBlPwtTygfX otqfftTsCNIO1/Xx5LtdE2KdVYZbVgrFo+WpDgtCXCLLw6sO7OsdsPSSPbcpEq8r6q ERfAqu5TNDLaj2+cR197bBhUFYVDJDe7pbfNaAy2g8GL3gOGrkWQcYw1DrRWXeOSEi 3i59afFHqH3LOY4cmlyWDpZxyDhhn7Rhb3ZNlw9aUuQtMj7iaXkxQaC1M/T6bxLEAE XXV4jczaONiJ/5XmsPlR0gvHr0SpC42isWxElyXr2J1C93HgeAmK1Db4JAOGV2mXMF I3fzA7jbSSLag==
    ARC-Seal: i=2; a=rsa-sha256; d=tmes.trendmicro.com; s=TM-DKIM-20200223173148; t=1628750516; cv=pass; b=LKQY/mrwXnJKLJIclybRcGQyWziCvHqIFBAZAYtTlz1aYQ2EiHaXaLbkmokgF8ibC zj5UwsJrIj20lpm0aB+qKDoy4Psme/I3JZNDa5B1OeLHvkcubfUq9bzfSZadkN/dWC N9FfbNSQwiZ0++SOLVwYCcIqh9PkWcfIJa7bo4sP7aUZjJkcXutfcm0q94J9j4fIgz HWxEh58pvjtuMrSKCVCyMIODGoEYa1EbD2EbiTI7iZ54VfPXHjR79b0+21xppZbVEN 0QZGWYuuCoLUrIWDhPzS0kyYyIumPIh4RLe8sMKaBrKECo89XU+BjfNuwZpAPJs/id Q6RbaHHVtp8XA==
  7. (可選)選擇Insert an X-Header into email messages
    X-Header 已新增以指示 DMARC 驗證是否成功。
    以下是一些 X-Header 的範例:
    X-TM-Authentication-Results: spf=pass (sender IP 位址: 10.210.128.20) smtp.mailfrom=example.com; dkim=pass (signatures verified) header.d=example.com; dmarc=pass action=none header.from=example.com; arc=none
    X-TM-Authentication-Results: spf=fail (寄件者 IP 位址: 10.204.148.40) smtp.mailfrom=example.com; dkim=fail (未找到驗證簽名) header.d=example.com; dmarc=fail action=none header.from=example.com; arc=none
    X-TM-Authentication-Results: spf=fail (寄件者 IP 位址: 10.204.148.40) smtp.mailfrom=example.com; dkim=pass (簽章已驗證) header.d=example.com; dmarc=pass action=none header.from=example.com; arc=pass
    X-TM-Authentication-Results: spf=pass (寄件者 IP 位址: 10.204.128.20) smtp.mailfrom=example.com; dkim=fail (未找到已驗證的簽名) header.d=example.com; dmarc=pass action=none header.from=example.com; arc=pass
  8. (可選)選擇Deliver daily reports to senders
    如果您選擇此選項,將每日生成驗證失敗的彙總報告並發送回電子郵件發件人。
  9. 「Intercept」下,指定當電子郵件未通過DMARC機制檢查時,雲端電子郵件閘道保護根據網域擁有者的DMARC政策如何回應。
    DMARC 政策標籤指示收件人如何處理未通過 DMARC 驗證的電子郵件。標籤有三個值:「無」「隔離」「reject」雲端電子郵件閘道保護 使您能夠決定是否遵循網域擁有者的 DMARC 政策,並為具有和不具有明確 DMARC 政策的發送網域配置單獨的操作。
    • 僅記錄:不遵循網域擁有者的 DMARC 政策,但記錄結果
      如果您想暫時監控經常向您的組織發送電子郵件的域名如何定義其 DMARC 政策,請選擇此選項。
      雲端電子郵件閘道保護 會對任何 DMARC 政策採取 「不要攔截郵件」 行動。行動不可編輯。「為主旨添加標記」「Send notification」 行動已停用。
    • Fully apply:遵循網域擁有者的 DMARC 政策,對所有網域採取行動
      如果您確信經常向您的組織發送電子郵件的域名具有明確的DMARC政策,請選擇此選項。
      點擊「Configure actions by DMARC policy」,然後配置「處理行動」「為主旨添加標記」「Send notification」,以便在電子郵件未通過DMARC機制檢查時應用。
    • Partially apply:遵循網域擁有者的 DMARC 政策,對指定網域採取行動
      如果您希望為具有和不具有明確 DMARC 政策的發送域配置不同的操作,請選擇此選項。
      • 點擊「Configure actions by DMARC policy for specified domains」,並遵循明確定義的 DMRC 政策。
        1. 配置「處理行動」「為主旨添加標記」「Send notification」,以便在電子郵件未通過DMARC機制檢查時應用。
        2. 「網域」下,選取 「Use the header sender to match domains」
          注意
          注意
          信封寄件者地址始終用於匹配網域。當您也想使用郵件標頭中的寄件者地址進行匹配時,請選擇此選項。
        3. 指定一個或多個寄件者網域名稱,然後點擊「+ Add」
          • 支援的網域名稱格式:example.com、subdomain.example.com、*.example.com
          • 不支援的網域名稱格式:*.com
        4. 若要搜尋現有的網域,請輸入關鍵字並點擊「搜尋」
          要從 CSV 檔案匯入網域,請點擊「匯入」
          以下是可用的匯入選項:
          • 合併:將網域附加到現有清單。
          • 覆寫:用檔案中的網域取代現有的清單。
          若要將所有網域匯出至 CSV 檔案,請點擊「匯出」
      • 點擊「Configure actions by DMARC policy for other domains」,然後配置「處理行動」「為主旨添加標記」「Send notification」,以便在電子郵件未通過DMARC機制檢查時應用。
  10. 「Tag and Notify」 下,設定主旨標籤和通知收件者,這些設定會套用至 「為主旨添加標記」「Send notification」 動作,這些動作是在 「Intercept」 下針對 DMARC 機制檢查失敗所設定的。
    • Tag subject
      注意
      注意
      標籤可以自訂。選擇Tag subject操作時,請注意以下事項:
      • 此操作可能會破壞電子郵件中的現有 DKIM 簽名,導致下游郵件伺服器的 DKIM 驗證失敗。
      • 若要防止標籤破壞數位簽章,請選擇Do not tag digitally signed messages
    • Send notification
      點擊「message to people」以從可用通知列表中選擇所需的通知範本。
  11. Ignored Peers下,執行以下任一操作:
    • 要新增忽略的對等方以跳過特定寄件者網域的 DMARC 驗證,請指定一個或多個寄件者網域名稱、IP 位址或 CIDR 區塊,然後點擊新增
      • 支援的網域名稱格式:example.com、subdomain.example.com、*.example.com
      • 不支援的網域名稱格式:*.com
      雲端電子郵件閘道保護 不會對來自特定網域、IP 位址或 CIDR 區塊的電子郵件訊息實施 DMARC 驗證。電子郵件訊息將繼續進入常規傳遞過程的下一步。
      注意
      注意
      • 對於使用網域名稱指定的忽略對等方,雲端電子郵件閘道保護 使用發件人的信封地址來匹配網域名稱。
      • 忽略的對等清單優先於部分應用的網域清單。如果訊息同時符合兩個清單,雲端電子郵件閘道保護 將跳過該訊息的 DMARC 驗證。
      • 如果您在「一般設定」下已啟動「Skip DMARC for email messages with no envelope sender addresses」,即使其標頭寄件者地址符合部分應用的網域列表,這些訊息也會跳過DMARC驗證。
    • 若要搜尋、匯入或匯出網域,請執行與前一步驟中所述類似的操作。
  12. 點選新增以完成新增DMARC設定。
    注意
    注意
    所有您新增的設定僅在您點擊新增後生效。