在上一篇文章中，我们讨论了如何将您的品牌徽标转换为 BIMI/VMC 的正确格式。这篇文章将讨论下一步：如何为您的组织设置DMARC。

什么是 DMARC？

DMARC（基于域的消息身份验证、报告和一致性）是一种电子邮件身份验证、策略和报告协议，允许组织保护其域免受未经授权的使用——包括欺骗和网络钓鱼。在您有资格获得 VMC 之前，您必须首先确保您的组织符合 DMARC。

不要拖延

此过程可能需要数周或数月，具体取决于您的组织规模（更大 = 更长）。所以最好马上开始。

该博客是一个浅显的指南，可让您深入了解基本过程。如需更深入的分步教程，我们邀请您下载我们全面的 DMARC 和 BIMI 指南。

你需要什么

在开始之前，请确保您拥有：

1. .txt 编辑器（例如，Notepad++、Vim、Nano 等）

2. 访问您域的 DNS 记录

1. 如果您不管理 DNS，请联系您的服务器管理员。

第 1 步：收集 SPF 的 IP 地址

成为 DMARC 兼容的第一步是设置发件人策略框架（也称为 SPF，尽管闻起来不像可可脂和/或椰子）。这将防止未经授权的 IP 地址从您的域发送电子邮件。

但首先，列出所有您可以找到的当前从您的域发送邮件的授权 IP 地址。

这些包括：

• 网络服务器

• 办公室内邮件服务器

• ISP 的邮件服务器

• 任何第三方邮件服务器

如果您还无法找到每个 IP 地址，请不要担心。DMARC 监控（第 4 步）将为您解决这个问题。但是，通过在这一点上收集尽可能多的人来节省一些时间是件好事。

第 2 步：为您的域创建 SPF 记录

接下来，打开您方便的文本编辑器并为每个域创建一个 SPF 记录。

示例 1：v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 ip4:xxxx -all

示例2：v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 include:thirdparty.com -all

完成后，保存文件并将其发布到您的 DNS。

使用 SPF 工具（例如我们的合作伙伴 Valimail 提供的这个工具）以确保所有内容都正确输入。

第 3 步：设置 DKIM

DKIM是一种电子邮件身份验证标准，它使用公钥/私钥加密来签署电子邮件消息。它可以防止消息在传输过程中被篡改。

1. 首先，选择一个 DKIM 选择器。

示例：“standard._domain.example.com” = 主机名

2. 接下来，为您的域生成一个公私密钥对。

Windows：使用 PUTTYGen

Linux/Mac：使用 ssh-keygen

3. 通过您的 DNS 管理控制台创建并发布新的 .TXT 记录。

它应该看起来像这样：v=DKIM1; p=你的公钥

第 4 步：监控。交流。重复

现在是最重要的一步。它也恰好是最耗时的。现在您必须设置 DMARC 以开始监控您当前的电子邮件流量，从而为您提供一个可靠的基准，了解哪些内容已获批准（以及哪些内容最终将被 DMARC 隔离或拒绝）。

注意：虽然直接跳过强制执行可能很诱人，但现在花时间进行监控将防止重要邮件在 DMARC 完全启用后丢失或永久删除。

以下是开始通过 DMARC 监控流量的方法：

1. 确保您已正确设置 SPF 和 DKIM。

2. 创建 DNS 记录。

“txt” DMARC 记录的名称应类似于“_dmarc.your_domain.com”。

示例：“v=DMARC1;p=none;rua=mailto:dmarcreports@your_domain.com”

如果您管理域的 DNS，请以与 SPF 和 DKIM 记录相同的方式创建“p=none”（监控模式）DMARC 记录。

如果您不管理 DNS，请让您的 DNS 提供商为您创建 DMARC 记录。

3. 通过DMARC 检查工具测试您的 DMARC 记录。

注意：您通常需要等待 24-48 小时才能进行复制

DMARC 现在将开始生成报告，让您可以清楚地了解通过您的域发送的邮件，包括任何被 SPF 和 DKIM 标记的邮件。

重要提示：您可以在此处查看报告中是否出现了以前未包含在您的 SPF 记录中的合法发件人（第 1 步）。如果有，请确保相应地更新您的记录。

问题？这些报告包含在一个不易阅读的 XML 文件中。而且由于您将花费大量时间来处理数据，我们强烈建议您使用 DMARC 报告处理器（例如 Valimail 中的这个），以使其更易于解析。

第 5 步：社交，然后开始加强执法

在您监控您的邮件足够长的时间之后，您认为您已经识别出任何被标记为未经授权的合法邮件，是时候开始加强执法了。

DMARC 有两个执行级别：“隔离”和“拒绝”。“拒绝”显然更安全，因此是我们的最终建议，但任何一个级别都会使您的域有资格获得 VMC。

然而，在直接拒绝之前，最安全的选择是花一些时间进行隔离。就是这样：

1. 登录您的 DNS 服务器并搜索 DMARC 记录。

2. 打开指定域的 DMARC 记录，并将策略从“p=none”更新为“p=quarantine”

例子：

“v=DMARC1；p=隔离；pct=10；rua=mailto:dmarcreports@your_domain.com“

3. 添加标志“pct”（受过滤的邮件百分比）。我们建议从 10% 开始，然后慢慢增加百分比，直到达到 100%。

一旦您达到 100% 过滤，您就正式获得 VMC 资格并准备开始拒绝。

幸运的是，这是最简单的步骤：

1. 打开您的 DMARC 记录并将“p=quarantine”更改为“p=reject”

恭喜！您已经正式获得了对从您的域发送的消息的大量可见性，提高了每个用户的安全性，使自己免受大量网络钓鱼攻击，并使您的组织有资格获得 VMC 证书（一旦它们可用）。

有关保护您组织的电子邮件访问的更多信息，请查看我们关于安全远程电子邮件访问的博客。