Dark123 Field Guide

企业邮箱 DMARC 从 p=none 到 reject 的上线方法

DMARC 的难点不是写出一条 TXT 记录,而是让每一个合法发信平台都能稳定通过 SPF 或 DKIM 对齐。

Step 01

先建立完整发信源清单

列出员工邮箱、官网表单、工单、营销、财务、监控、招聘和所有第三方平台。记录它们使用的 Return-Path、From 域、DKIM 选择器与业务负责人。

通过现有邮件日志和 DMARC 汇总报告寻找未知来源。不要只向各团队发问,因为长期运行的自动系统经常没有明确当前负责人。

Step 02

用 p=none 验证对齐

发布 p=none 并配置能够接收汇总报告的专用地址。观察至少一个完整业务周期,区分合法来源、转发、邮件列表和明显冒用。

SPF 通过不一定表示 DMARC 对齐,DKIM 通过也要检查签名域与可见 From 域的关系。优先让关键来源同时具备稳定 DKIM。

Step 03

分比例进入 quarantine

确认主要来源后,可以从较低 pct 开始 quarantine。监控退信、业务投诉和各来源通过率,遇到问题先定位具体平台,而不是立即撤销所有策略。

子域策略、非生产域和不用于发信的域名可以分别规划。不要让一个复杂的根域策略拖住所有低风险域名。

Step 04

进入 reject 前准备恢复流程

只有合法来源清晰、报告持续稳定、第三方变更流程明确时才进入 reject。保留紧急回退步骤,并确保 DNS 变更权限和值班联系人可用。

上线后仍需持续分析报告。新营销平台、工单迁移或供应商 DKIM 变化都可能重新造成对齐失败。

Action Checklist

执行清单

  1. 盘点全部合法发信源和负责人
  2. 建立可用的 DMARC 报告邮箱
  3. p=none 覆盖完整业务周期
  4. 低比例 quarantine 并监控误拦
  5. 准备回退流程后再评估 reject