在过去几年中，谷歌、雅虎和其他主要电子邮件提供商对其电子邮件安全要求进行了重大调整。如今，使用 DMARC、DKIM、SPF 和MTA-STS对域进行验证已成为各行各业和各个国家/地区的建议或要求。

主要电子邮件提供商、政府机构和监管机构的做法发生了如此巨大的变化，鲜明地反映了全球为加强电子邮件安全所做的努力。其目的是提高电子邮件的可送达性，降低垃圾邮件率，减少可能导致重大数据泄露和声誉受损的基于电子邮件的网络攻击。

随着这些要求的快速发展，DMARC 可能很快就会成为全球强制性网络安全战略的一个组成部分。

2025 年 DMARC 的主要要求

全球 DMARC 要求

谷歌和雅虎批量发送要求

批量发送者(每天超过 5000 封邮件）必须使用 TLS、DKIM 和 SPF 对域名进行验证，并且 DMARC 策略至少为 p=none。这些要求最初于 2024 年 2 月生效。

谷歌和雅虎一般发件人要求

一般电子邮件发送者也应采用 SPF 或 DKIM 来验证合法电子邮件，防止高垃圾邮件率和冒名顶替。

PCI-DSS 第 4 版建议

PCI DSS v4.0 推荐了防止网络钓鱼的机制；良好实践建议使用 DMARC、SPF 和 DKIM。

地区 DMARC 要求

地区	要求名称	要求说明	来源链接
欧盟国家	GDPR（《一般数据保护条例）	根据 GDPR，您必须与代表您的实体处理欧洲消费者数据的每个云服务提供商签订数据处理协议 (DPA)。	阅读更多
欧盟国家	数字运行复原力法（DORA）	数字运营弹性法案》（DORA）适用于 20 种不同类型的金融实体和信息通信技术第三方服务提供商，旨在统一有关金融行业（即银行、保险公司、投资公司等）运营弹性的规则。DMARC 对金融机构具有重要意义，因为它可以防止基于电子邮件的网络攻击，间接帮助确保遵守 DORA 法案。	阅读更多
加拿大	电子邮件管理服务配置要求	政府电子邮件必须使用 SPF、DKIM 和 DMARC 进行验证。	阅读更多
丹麦	对政府当局的最低技术要求	政府机构必须在所有域上实施 p=reject 的 DMARC 政策。	阅读更多
新西兰	新西兰信息安全手册 3.6 版	将 DMARC 和 DKIM 控制合规性从 SHOULD 更改为 MUST，并将 DMARC 策略设置从 p="none" 更改为 p="reject"。	阅读更多
爱尔兰	公共部门网络安全基线标准	公共部门网络安全基线》建议使用 SPF、DKIM、DMARC 和 TLS 来加强电子邮件安全。不过，这只是建议，并非要求。	阅读更多
荷兰	"遵守或解释 "标准	政府机构必须实施 DMARC 以及 DKIM、SPF、STARTTLS 和 DANE。这是电子邮件保护和身份验证 "遵守或解释 "标准的一部分。	阅读更多
沙特阿拉伯	基本网络安全控制 (ECC) 实施指南	建议沙特阿拉伯的组织使用 DKIM、SPF 和 DMARC 作为高级网络钓鱼防护技术，以过滤掉欺诈信息。	阅读更多
英国	政府网络安全政策手册原则	2024 年 3 月，《政府网络安全政策》取代了《最低网络安全政策》。这次更新将 MTA-STS 和 TLS-RPT 从 "建议 "改为 "必须"，并增加了对 PTR 记录的提及。	阅读更多
美国	具有约束力的第 18-01 号业务指令	具有约束力的第 18-01 号操作指令要求所有联邦机构使用 STARTTLS、SPF、DKIM 和 p=reject 的 DMARC 政策。	阅读更多
美国	HIPAA（《健康保险可携性与责任法案）	根据 1996 年《健康保险可携性和责任法案》（HIPAA），HIPAA 隐私规则确定了保护某些敏感健康相关信息的国家标准。DMARC 是确保遵守 HIPAA 法规的重要工具。	阅读更多
澳大利亚	澳大利亚信号局信息安全手册	建议使用 SPF、DKIM 和 DMARC 来防范电子邮件威胁。	阅读更多
澳大利亚	澳大利亚信号局信息安全手册	建议使用 SPF、DKIM 和 DMARC 来防范电子邮件威胁。	阅读更多
澳大利亚	如何打击虚假电子邮件	概述为安全专业人员和电子邮件服务器操作员提供的关于实施 SPF、DKIM 和 DMARC 等电子邮件验证协议以尽量减少欺骗的建议。	阅读更多
澳大利亚	缓解网络安全事故的策略	澳大利亚信号局（ASD）的网络风险缓解战略详情。	阅读更多
比利时	利用 DMARC、SPF 和 DKIM 保护和预防勒索软件	比利时网络安全中心提供指导。	阅读更多
捷克共和国	网络安全法》--实施指南	发送电子邮件的域名必须有DMARC 记录，并遵守 RFC 7489 中提到的特定参数。	阅读更多
芬兰	如何保护您的 Microsoft 365 服务	国家网络安全中心、芬兰运输和通信局 Traficom 概述了 Exchange Online 服务器的保护策略。	阅读更多
法国	健康信息系统指南	关于实施身份验证机制和正确配置与电子邮件基础设施相关的公共 DNS 记录（MX、SPF、DKIM、DMARC）的建议。	阅读更多
法国	2021 年网络威胁概述	国家信息系统安全局发布的网络威胁和可能的缓解技术概览。	阅读更多
德国	对互联网服务提供商的行动建议	BSI 有关网络安全的出版物，其中包括电子邮件安全和身份验证。	阅读更多
印度	银行网络安全框架	印度储备银行的 I 级合规性要求金融机构采取适当的安全措施来防止电子邮件威胁	阅读更多
挪威	电子邮件安全的基本措施	包括关于实施 DMARC以提高电子邮件安全性的建议。	阅读更多
菲律宾	菲律宾信息和通信技术部针对 WannaCry 勒索软件采取网络安全措施	建议启用强大的垃圾邮件过滤器，并使用 SPF、DMARC 和 DKIM 等技术验证入站电子邮件，以防止电子邮件被欺骗。	阅读更多
波兰	打击滥用电子通信法--电子邮件提供商和公共机构的新义务	自 2023 年 9 月 25 日起，波兰的公共实体必须实施 SPF、DKIM 和 DMARC，以验证电子邮件发件人的身份并打击欺骗和网络钓鱼行为。	阅读更多
葡萄牙	技术建议 01/2019 和 01/2020	为加强企业内部的电子邮件安全，建议实施 SPF、DKIM 和 DMARC 标准。以下四项措施：在域名的 DNS 中配置 SPF、DKIM、DMARC 和 MX 记录，有助于通知收件人电子邮件不应来自 "停放 "域名，如果来自该域名，则应丢弃。这些措施应按指定顺序使用，以达到最佳效果。	更多信息（2019 年）更多信息（2020 年）
苏格兰	苏格兰公共部门网络复原力框架 V1.2	建议与 DKIM 和 SPF 记录一起实施 DMARC，并激活垃圾邮件和恶意软件过滤。将强制执行的 DMARC 策略应用于入站（inbound）电子邮件也是一种扩展的最佳实践。	阅读更多
新加坡	商业电子邮件破解（BEC）手册	该出版物概述了企业可以利用 DMARC 来阻止恶意电子邮件，尽量减少域名欺骗和网络钓鱼企图到达收件人收件箱。	阅读更多

2025 年 DMARC 合规性为何至关重要

使用DMARC记录的优势。

DMARC 可保护您和您的公司免受网络钓鱼电子邮件的侵害、域名欺骗、电子邮件冒充和商业电子邮件泄露 (BEC) 威胁。
电子邮件发件人的声誉可通过以下方式得到改善执行 DMARC.
DMARC会逐渐将你的邮件送达率提高10%。
通过在你的域名服务器上实施DMARC，你可以确保你的邮件永远不会被标记为垃圾邮件，这将提高打开率。

此外，公司还可以轻松跟踪谁被允许从其域名发送商业电子邮件。这样就能避免不诚实的做法。如何避免？一旦您将域名的 DMARC 记录发布到 DNS 条目中，所有接收电子邮件的服务器都将验证收到的电子邮件，确认其合法性，然后再将其发送到收件人的收件箱中。

满足 2025 DMARC 要求的挑战

在 2025 年满足 DMARC 要求时，各种规模的企业都可能面临一些挑战：

1.手动设置的复杂性

实施以下协议 DMARC、SPF 和 DKIM 等协议等协议在技术上具有一定的挑战性，会导致用户不愿意实施，并经常出现配置错误。不过，由于DMARC 服务提供商提供了现代化的自动解决方案，这一问题得到了极大的改善。现在，各种规模的企业都可以根据自己的需要从一系列供应商中进行选择，避免了人工操作所带来的麻烦和复杂性。

2.监测路障

配置 DMARC 以满足要求并不仅仅停留在协议设置上。您的旅程才刚刚开始！为了从 DMARC 实施中获得最佳结果，您需要通过报告来监控结果。虽然 DMARC 原始报告可能难以解读，但一个 DMARC 报告分析器工具可以使它们变得易于阅读和监控，同时提供可操作的见解！

3.管理第三方发件人

识别代表域名发送电子邮件的所有第三方服务非常重要。您需要确保这些服务使用对齐的 DKIM 签名正确验证电子邮件。虽然手动完成这项工作很有难度，但您可以使用托管 DMARC 服务可以发挥巨大作用。

4.电子邮件的可送达性问题

从政策p=none 到 p=reject，需要仔细监控。企业通常担心会阻止合法的电子邮件。为确保一致的送达能力，建议的做法是逐步实施 DMARC，同时通过报告监控电子邮件渠道。

5.缺乏专业知识

许多 IT 团队对 DMARC、SPF 和 DKIM 缺乏深入了解。企业可以鼓励员工选择免费的 DMARC 培训课程来积累知识。另外，外包给拥有专家小组的DMARC 管理提供商也可以减少培训和提高现有员工技能所需的时间和精力。

PowerDMARC 如何帮助实现 2025 年合规目标

PowerDMARC是满足 DMARC 要求的一站式电子邮件验证平台。PowerDMARC 提供

自动合规性监控针对不断变化的 DMARC 法规
指导政策执行安全地从 p=none 移动到 p=reject。
实时威胁情报在网络钓鱼企图发生之前就将其侦测出来。
深受 90 多个国家的财富 100 强企业和 MSP 的信赖。
全面的 SPF 和 DKIM 对齐以确保第三方发件人得到正确验证。
高级报告和分析通过详细的DMARC 报告，全面了解电子邮件验证失败情况。
支持BIMI和 MTA-STS通过额外的验证层来加强品牌信任和电子邮件安全。
自动 SPF 优化帮助防止 SPF 查找失败，使用 SPF 宏.

最后的话

2025 年是 DMARC 实施的转折点，企业必须立即行动起来，避免电子邮件中断和安全风险。随着主要电子邮件提供商制定更严格的政策，确保合规不再是可有可无的事情。您的域名符合 DMARC 合规性要求吗？检查您的合规性状态，并采取必要措施保护您的电子邮件渠道。

不要等到为时已晚！要开始使用，请立即联系 PowerDMARC，获取免费的试用并确保完全符合 2025 DMARC 要求！

关于
最新文章

Ahona Rudra

域名和电子邮件安全专家PowerDMARC

阿霍娜是 PowerDMARC 的市场经理，拥有 5 年以上的网络安全主题写作经验，擅长领域和电子邮件安全。阿霍娜拥有新闻与传播专业的研究生学位，自 2019 年以来，她在安全领域的职业生涯更加稳固。

Ahona Rudra的最新文章(查看全部)

DKIM 设置：为电子邮件安全配置 DKIM 的分步指南 (2025)- 2025 年 3 月 31 日
PowerDMARC 被《2025 年 G2 春季报告》评为 DMARC 网格领导者- 2025 年 3 月 26 日
如何识别虚假订单确认诈骗电子邮件并保护自己- 2025 年 3 月 25 日

2025 年的 DMARC 要求