Cara Konfigurasi DMARC untuk Lindungi Domain Perniagaan Anda
Domain syarikat anda boleh digunakan penipu untuk hantar e-mel pancingan data atas nama jenama anda jika DMARC tidak disediakan dengan betul. Artikel ini tunjukkan langkah demi langkah cara konfigurasi dmarc email pada domain perniagaan, dari rekod DNS asas hingga dasar reject penuh, supaya deliverability cold email anda kekal stabil dan jenama terlindung daripada penyalahgunaan.
- DMARC hanya berfungsi selepas SPF dan DKIM disahkan aligned dengan domain penghantar.
- Mulakan dengan dasar p=none untuk kumpul laporan RUA sebelum tukar ke quarantine atau reject.
- Guna dmarc checker atau dmarc lookup tool selepas setiap perubahan rekod DNS untuk sahkan propagasi betul.
- Domain tanpa DMARC berisiko disalahguna untuk spoofing yang menjejaskan reputasi kempen cold email anda.
- LDM audit rekod SPF, DKIM dan DMARC pelanggan sebelum kempen cold email B2B bermula.
Kenapa DMARC Penting Sebelum Anda Hantar Cold Email B2B
DMARC (Domain-based Message Authentication, Reporting and Conformance) beritahu penyedia e-mel penerima seperti Gmail dan Outlook apa yang perlu dibuat bila e-mel mendakwa datang dari domain anda tetapi gagal semakan SPF atau DKIM. Tanpa DMARC, sesiapa boleh cuba spoof domain syarikat anda — hantar e-mel palsu atas nama jenama anda kepada pelanggan, rakan kongsi, malah calon prospek yang sedang anda kejar dalam kempen cold email.
Bagi syarikat yang aktif jalankan cold email kepada prospek B2B, isu ini dua kali ganda penting. Domain yang tiada DMARC bukan sahaja mudah diseludup penipu, ia juga dilihat kurang dipercayai oleh ESP besar — yang kini semakin ketat menapis pengesahan penghantar sebelum letak e-mel dalam inbox utama. Domain terautentikasi penuh (SPF, DKIM, DMARC selari) ada kelebihan deliverability berbanding domain yang cuma pasang SPF sahaja.
DMARC juga beri anda ketertelusan — laporan agregat (RUA) menunjukkan siapa sebenarnya menghantar e-mel atas nama domain anda, termasuk penyedia cold email pihak ketiga yang mungkin anda lupa daftarkan dalam SPF.
Prasyarat: SPF dan DKIM Mesti Berfungsi Dulu
DMARC tidak berdiri sendiri — ia menyemak sama ada SPF atau DKIM (atau kedua-dua) lulus DAN selari (aligned) dengan domain dalam header 'From'. Jika SPF/DKIM anda belum betul, DMARC akan sentiasa gagal walaupun e-mel sah dari syarikat anda sendiri.
Sebelum sentuh rekod DMARC, sahkan dua perkara ini dulu.
- Rekod SPF (TXT pada domain root) senaraikan semua penghantar sah — pelayan mel syarikat, platform cold email, ESP pemasaran, sistem invois
- Setiap penghantar guna domain selector DKIM tersendiri dan kunci awam telah diterbitkan dengan betul dalam DNS
- Domain 'From' pada e-mel sepadan (aligned) dengan domain yang lulus SPF/DKIM — bukan sekadar subdomain berbeza tanpa alignment relaxed/strict yang jelas
- Tiada dua rekod SPF berasingan pada domain sama — ini kesalahan biasa yang buat SPF gagal terus
Langkah Sediakan Rekod DMARC pada Domain Anda
Selepas SPF dan DKIM stabil, rekod DMARC diletak sebagai TXT pada subdomain _dmarc.domainanda.com. Mulakan dengan dasar paling longgar (p=none) supaya anda boleh pantau tanpa risiko e-mel sah tersekat.
Field paling penting dalam rekod DMARC:
- v=DMARC1 — versi protokol, wajib ada dan mesti field pertama
- p= — dasar utama: none (monitor sahaja), quarantine (hantar ke spam), atau reject (tolak terus)
- rua=mailto:... — alamat untuk terima laporan agregat harian daripada Google, Microsoft, Yahoo dan lain-lain
- pct= — peratus e-mel yang kena dasar ini, mulakan rendah kalau nak uji berperingkat
- adkim= dan aspf= — mod alignment (r=relaxed, s=strict) untuk DKIM dan SPF
Rekod TXT pada _dmarc.syarikatanda.com.my boleh ditulis seperti ini: v=DMARC1; p=quarantine; rua=mailto:dmarc-report@syarikatanda.com.my; pct=100; adkim=s; aspf=s — dasar quarantine bermakna e-mel gagal alignment akan dihantar ke folder spam penerima dahulu, bukan ditolak terus, sambil anda kumpul data sebelum naik ke p=reject.
Guna DMARC Checker dan DMARC Tester untuk Sahkan Konfigurasi
Selepas rekod diterbitkan, jangan andaikan ia betul — DNS propagasi ambil masa dan silap taip TXT record adalah punca kegagalan paling biasa. Guna dmarc checker atau dmarc lookup tool untuk baca semula rekod dari pelbagai lokasi DNS dan sahkan syntax sah.
Selain semak rekod statik, dmarc tester yang hantar e-mel sampel ke alamat ujian beri anda laporan langsung — SPF pass/fail, DKIM pass/fail, alignment status, dan cadangan pembetulan jika ada. Ini cara paling pantas nampak masalah sebelum ia jejas kempen cold email sebenar.
Laporan RUA yang diterima harian juga perlu dibaca, bukan disimpan sahaja. Kebanyakan penyedia mel besar hantar laporan dalam format XML — guna dmarc checker domain berasaskan web untuk parse ia jadi jadual mudah baca, supaya anda nampak sumber e-mel mana yang masih gagal alignment.
Angka anggaran berdasarkan amalan rollout DMARC untuk domain yang aktif hantar cold email B2B, bukan jaminan untuk setiap domain.
Julat Realistik: Berapa Lama untuk Sampai ke p=reject
Kebanyakan pakar deliverability cadangkan tempoh monitor 4–8 minggu pada p=none sebelum beralih ke quarantine, dan sekurang-kurangnya 2–4 minggu lagi pada quarantine sebelum naik ke reject penuh. Tergesa-gesa ke p=reject sebelum semua penghantar sah didaftar dalam SPF/DKIM boleh sekat e-mel sah — termasuk invois, notifikasi sistem, atau kempen cold email dari platform yang belum diauthorize.
Dalam praktik agensi B2B, campuran dasar DMARC yang dijumpai pada domain klien baharu selalunya tidak seragam — sesetengah masih p=none bertahun-tahun kerana tiada siapa pantau laporan.
Anggaran berdasarkan tinjauan domain klien semasa onboarding kempen cold email, bukan statistik industri rasmi.
Kesilapan Biasa Bila Sediakan DMARC
Ramai syarikat terbabas pada beberapa perkara asas yang mudah dielak jika disemak awal.
- Set p=reject terus tanpa pernah baca laporan RUA — e-mel sah dari sistem lama boleh terus ditolak tanpa notis
- Lupa daftarkan subdomain marketing atau cold email dalam SPF/DKIM sebelum aktifkan DMARC pada domain utama
- Terbitkan dua rekod _dmarc pada domain sama — DMARC hanya baca satu rekod dan boleh gagal sepenuhnya
- Tidak baca laporan RUA langsung — DMARC jadi 'set and forget' sedangkan ia perlukan pemantauan berterusan
- Guna alignment strict (s) untuk SPF/DKIM sebelum pastikan semua penghantar pihak ketiga (termasuk platform cold email) betul-betul aligned
Senarai Semak DMARC — Cara LDM Uruskan Ini untuk Pelanggan
Sebelum kempen cold email bermula untuk pelanggan baharu, LDM audit rantaian autentikasi penuh domain — bukan cuma DMARC sahaja, kerana DMARC yang sah tapi SPF/DKIM lemah tetap gagal alignment dan boleh jejas reputasi domain semasa outreach berjalan.
- Semak rekod SPF, DKIM dan DMARC sedia ada guna dmarc checker sebelum mula kempen
- Pastikan domain penghantar cold email didaftar dalam SPF dan ada selector DKIM sendiri
- Cadangkan dasar p=none dengan RUA aktif untuk domain baharu, naik berperingkat mengikut data laporan
- Pantau laporan mingguan untuk domain yang sedang aktif hantar kempen, bukan sekali sahaja masa setup
- Guna subdomain khas untuk cold email berskala besar supaya domain utama syarikat kekal terlindung
Soalan lazim
Apa beza SPF, DKIM dan DMARC?
SPF sahkan pelayan mana yang dibenarkan hantar bagi pihak domain anda, DKIM sahkan kandungan e-mel tidak diubah melalui tandatangan digital, manakala DMARC beritahu penerima apa nak buat bila SPF/DKIM gagal, dan berikan anda laporan tentang penyalahgunaan domain.
Berapa kerap perlu semak laporan DMARC RUA?
Semasa fasa p=none, semak mingguan sudah memadai untuk kesan sumber e-mel yang belum aligned. Selepas dasar naik ke quarantine atau reject, semak sekurang-kurangnya sebulan sekali untuk pastikan tiada penghantar sah tersekat secara tidak sengaja.
Bolehkah guna DMARC tanpa SPF atau DKIM?
Boleh terbitkan rekod DMARC tanpa SPF/DKIM lengkap, tetapi ia tidak berguna kerana DMARC hanya bertindak bila SPF atau DKIM lulus dan aligned. Tanpa kedua-duanya berfungsi, semua e-mel — sah atau tidak — akan dianggap gagal DMARC.
Apa jadi jika saya set p=reject terus tanpa monitor dulu?
E-mel sah yang belum didaftar dalam SPF/DKIM — contohnya dari sistem invois, helpdesk, atau platform cold email baharu — boleh terus ditolak tanpa notis kepada penghantar. Ini punca biasa syarikat 'hilang' e-mel penting selepas aktifkan DMARC secara tergesa-gesa.
Adakah subdomain perlukan rekod DMARC berasingan?
Tidak semestinya — dasar pada domain root secara lalai turut terpakai pada semua subdomain (sp= boleh override jika perlu dasar berbeza). Ramai syarikat guna subdomain khas untuk cold email dengan dasar sedikit berbeza daripada domain utama untuk asingkan risiko reputasi.
Alat percuma mana boleh digunakan sebagai dmarc lookup tool?
Kebanyakan penyedia keselamatan e-mel dan pendaftar domain sediakan dmarc checker percuma berasaskan web yang baca rekod TXT domain anda serta tunjuk syntax error jika ada. Gunakan alat itu selepas setiap perubahan DNS, bukan sekali sahaja semasa setup awal.
Mahu gunakan ini dalam outreach anda?
Kami tunjukkan cara ia berfungsi untuk segmen dan produk anda — sebelum anda bermula.
Hubungi kami