DMARC 到底是什麼?三種 Policy 如何決定冷開發信網域的命運
不少企業在導入冷開發信專案時才第一次認真面對 DMARC 是什麼這個問題——因為 Gmail、Outlook 已經把它當成判斷寄件人是否可信的核心依據之一。設定不當的 DMARC policy 不只擋不住偽冒信,反而會讓公司自己合規、經過核准聯絡的商務開發信被打進垃圾信匣,甚至整批退信。這篇文章用實務角度說明三種強制等級的差異、導入前該做的 policy check,以及冷開發信網域特有的風險。
- DMARC 建立在 SPF 與 DKIM 之上,決定驗證失敗的信件該被放行、隔離還是直接拒收
- 冷開發信網域應從 p=none 起步監看報告,再逐步升到 quarantine、最後才是 reject
- dmarc policy of reject 若在對齊未穩定前上線,常會誤殺自己的合規開發信
- Gmail、Outlook 對缺乏 DMARC 或設定鬆散的網域,會提高審核與退信機率
- 定期做 dmarc policy check 並拆分寄送子網域,是冷開發信最務實的防線
DMARC 是什麼?為什麼冷開發信寄件人不能忽略它
DMARC(Domain-based Message Authentication, Reporting & Conformance)是一組發布在 DNS 上的規則,讓網域所有者明確告訴收信伺服器:當一封信的 SPF 或 DKIM 驗證失敗、且與寄件網域對齊(alignment)不一致時,該如何處置這封信。它本身不驗證內容,只是在 SPF、DKIM 之上加一層「失敗後怎麼辦」的仲裁機制,同時透過彙整報告(rua)讓寄件人看到誰在冒用自己的網域寄信。
對冷開發信而言,這件事特別敏感。冷開發信通常是小量、逐日遞增、高度個人化地寄給特定公司的特定聯絡人,本來就比群發電子報更容易被信箱服務商放大檢視。如果網域完全沒有 DMARC 紀錄,或紀錄設定得含糊不清,Gmail、Outlook 這類主流信箱在做寄件人信任評分時,會傾向從嚴判斷——結果是原本合規、對方也期待被聯絡的商務信件,反而被歸類成可疑寄件行為。
換句話說,DMARC 不是「防止我方信件被當垃圾信」的萬靈丹,但它是收信端判斷「這個網域是否認真管理自己的寄件行為」的重要訊號。這也是為什麼在啟動任何規模化冷開發信計畫之前,先確認網域的 DMARC policy 現狀,是必要的第一步。
DMARC 三種強制策略:none、quarantine、reject 如何影響送達
DMARC policy 只有三個合法值,差別在強制力:p=none 代表「只監看、不處置」,驗證失敗的信仍會正常送達,但寄件人會收到彙整報告,適合剛導入、還在確認 SPF/DKIM 對齊是否穩定的階段。p=quarantine 代表驗證失敗的信會被收信端導向垃圾信匣或另做隔離審查,是多數企業網域的中間狀態。p=reject 則是最嚴格的一級,驗證失敗的信會直接被拒收,連垃圾信匣都進不去。
冷開發信網域的合理路徑,是先用 p=none 觀察至少幾週,確認所有實際會發信的服務(客戶關係管理系統、行銷自動化工具、內部信箱)都已正確設定 SPF 與 DKIM 且對齊無誤,再逐步調到 quarantine,最後才考慮 reject。很多團隊在還沒完成這個排查前就急著把 dmarc policy of reject 直接上線,理由通常是「聽說 reject 最安全」,但這個順序反過來會先傷到自己。
以上比例為 LDM 在冷開發信專案前期網域健檢中的觀察範圍,屬經驗性估計,非正式統計研究
上線前的 dmarc policy check 該怎麼做
在調整任何 DMARC policy 之前,先確認現況。用命令列查詢 _dmarc 子網域的 TXT 紀錄,就能看到目前的策略、報告收件地址與子網域規則(sp)。這一步很多團隊會跳過,直接複製網路上找到的範例紀錄貼上去,結果不知道自己網域現在到底是 none 還是已經被前任 IT 設過 reject。
接著要看彙整報告(rua)的內容,確認每個實際發信服務的 SPF、DKIM 通過率。如果某個系統的驗證通過率明顯偏低,先修好那個系統的簽章設定,再談要不要升級 policy 的強制等級。最後,針對用來寄送冷開發信的子網域,建議單獨設定較保守的 sp 值,不要讓子網域直接沿用主網域的 reject,避免測試中的寄送環節牽連到公司主要業務信箱。
查詢指令範例:dig txt _dmarc.你的網域.com +short,回傳結果類似「v=DMARC1; p=quarantine; rua=mailto:報告收件信箱; pct=50」,其中 pct=50 代表目前只對五成信件套用該策略,屬於漸進式升級的常見寫法。
dmarc policy of reject 適合冷開發信網域嗎?常見誤區
把 reject 直接套用在承擔冷開發信任務的網域,最常見的風險是「一刀切」誤殺自己的信。冷開發信平台、第三方寄送服務、內部業務同事各自用不同基礎設施發信,只要有一個環節的 SPF 或 DKIM 對齊沒調好,reject 會讓那批信直接消失、連退信通知都可能不完整,團隊往往要花很久才發現問題出在哪。
另一個常被忽略的情境是轉寄。當收件人設定了信箱自動轉寄,轉寄過程常會破壞 SPF 對齊,如果對方網域或中間轉寄伺服器恰好也套用 reject,原本合規的往來信件反而會在轉寄鏈上被攔截。這類問題在 B2B 冷開發信情境中並不少見,因為聯絡人常用企業信箱轉寄到個人信箱處理。
- 沒有先用 p=none 監看報告就直接跳到 quarantine 或 reject
- 主網域與冷開發信寄送子網域共用同一組過嚴的 DMARC policy
- 忽略轉寄場景對 SPF 對齊的破壞,未預留緩衝
- 只設好 SPF、DKIM 就以為 DMARC 會自動生效,未發布 DMARC 紀錄
- 升級 policy 後不再追蹤彙整報告,問題累積到退信量明顯上升才察覺
健康基準與 dmarc policy gmail 端的實際反應
Gmail 對缺乏 DMARC 紀錄或驗證通過率偏低的網域,會在寄件人信任評分上打折扣,具體表現通常是送達率下降、進垃圾信匣比例上升,而不是立即整批拒收。這也是為什麼很多團隊「以為 DMARC 沒設定也還過得去」——短期內確實看不到硬性錯誤,但送達品質會慢慢變差,尤其在寄送量逐步爬升的冷開發信計畫中更明顯。
以下是 LDM 在協助客戶做冷開發信網域準備時,用來評估是否可以安全升級 policy 等級的參考範圍,這些數字來自實務觀察,並非官方標準。
以上門檻為 LDM 在冷開發信網域準備工作中採用的經驗性參考範圍,實際情況依各企業寄件系統組合而異
導入 DMARC 前後的檢查清單
把 DMARC 當成一次性設定就結束的團隊,往往在幾個月後才發現報告沒人看、策略早就過時。建議把以下項目納入定期營運檢查,而不只是上線前做一次。
- 查詢並記錄目前 _dmarc 紀錄的完整內容,包含 policy、pct、子網域規則
- 確認冷開發信使用的寄送子網域與主網域分開設定,各自有獨立且保守的策略
- 每週檢視彙整報告,追蹤各發信服務的 SPF、DKIM 對齊通過率
- 通過率穩定在高水位後,才把 pct 逐步提高、策略逐級從 none 升到 quarantine
- 在正式切到 reject 前,先確認轉寄、第三方工具等邊緣情境不會被誤殺
- 依台灣《個人資料保護法》第19條、第20條之精神,商業聯絡人信箱等個資的蒐集與利用應限於特定目的且不逾越合理範圍,DMARC 相關的寄件基礎設施調整不影響此義務,仍須留存合法聯絡來源紀錄
常見問題
dmarc 是什麼,跟 SPF、DKIM 有什麼不同?
SPF 驗證信件是否從授權的伺服器送出,DKIM 驗證信件內容在傳輸過程沒被竄改,DMARC 則是在這兩者之上規定「驗證失敗時該怎麼處置」,並提供報告機制讓寄件人掌握自己網域被冒用的情況。三者搭配使用才算完整的網域驗證。
dmarc policy 一定要設成 reject 才安全嗎?
不一定,也不建議一開始就設 reject。冷開發信網域更適合先用 none 監看,確認所有發信系統的驗證都穩定通過後,再逐步升到 quarantine,最後才評估是否需要 reject,避免誤殺自己的合規信件。
怎麼做 dmarc policy check,需要專門工具嗎?
不需要額外付費工具,用命令列查詢 _dmarc 子網域的 TXT 紀錄就能看到目前策略,多數 DNS 服務商的後台也能直接查看。真正需要持續關注的是彙整報告內容,而不只是策略字串本身。
dmarc policy gmail 會直接拒收沒設定的信嗎?
通常不會立即整批拒收,但缺乏 DMARC 或驗證通過率偏低的網域,在 Gmail 的寄件人信任評分上會被打折扣,實際表現多是送達率下降、進垃圾信匣比例上升,長期會影響冷開發信的可送達性。
冷開發信一定要用獨立子網域嗎?
強烈建議如此。把冷開發信寄送流量與公司主要業務信箱分在不同子網域,可以讓兩邊各自設定合適的 DMARC policy 與寄送節奏,避免測試性質較高的開發信影響到主網域的送達信譽。
設定 DMARC 後多久可以看到效果?
彙整報告通常隔天就會開始收到,但信譽評分的改善需要時間累積,一般建議先觀察至少兩到四週的報告數據,確認各發信系統對齊穩定後,再考慮調整策略等級。