Step 01
先建立完整发信源清单
列出员工邮箱、官网表单、工单、营销、财务、监控、招聘和所有第三方平台。记录它们使用的 Return-Path、From 域、DKIM 选择器与业务负责人。
通过现有邮件日志和 DMARC 汇总报告寻找未知来源。不要只向各团队发问,因为长期运行的自动系统经常没有明确当前负责人。
Step 02
用 p=none 验证对齐
发布 p=none 并配置能够接收汇总报告的专用地址。观察至少一个完整业务周期,区分合法来源、转发、邮件列表和明显冒用。
SPF 通过不一定表示 DMARC 对齐,DKIM 通过也要检查签名域与可见 From 域的关系。优先让关键来源同时具备稳定 DKIM。
Step 03
分比例进入 quarantine
确认主要来源后,可以从较低 pct 开始 quarantine。监控退信、业务投诉和各来源通过率,遇到问题先定位具体平台,而不是立即撤销所有策略。
子域策略、非生产域和不用于发信的域名可以分别规划。不要让一个复杂的根域策略拖住所有低风险域名。
Step 04
进入 reject 前准备恢复流程
只有合法来源清晰、报告持续稳定、第三方变更流程明确时才进入 reject。保留紧急回退步骤,并确保 DNS 变更权限和值班联系人可用。
上线后仍需持续分析报告。新营销平台、工单迁移或供应商 DKIM 变化都可能重新造成对齐失败。
Action Checklist
执行清单
- 盘点全部合法发信源和负责人
- 建立可用的 DMARC 报告邮箱
- p=none 覆盖完整业务周期
- 低比例 quarantine 并监控误拦
- 准备回退流程后再评估 reject