本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 对传入电子邮件执行 DMARC 策略
<a name="inbound-dmarc"></a>

电子邮件域使用域名系统 (DNS) 记录来确保安全。它们可以保护您的用户免受常见的攻击，例如欺骗或网络钓鱼。DNS 记录通常包括基于域的邮件身份验证、报告和一致性 (DMARC) 记录，这些记录由发送电子邮件的域所有者设置。DMARC 记录包括用于指定当电子邮件未通过 DMARC 检查时所要执行的操作的策略。您可以选择是否对发送给您的组织的电子邮件执行 DMARC 策略。

默认情况下，新的亚马逊 WorkMail 组织已开启DMARC执法。

**启用 DMARC 执行**

1. 打开 Amazon WorkMail 控制台，网址为[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/)。

   如果需要，可以更改 AWS 区域。在控制台窗口顶部的栏中，打开**选择区域**列表，然后选择一个区域。有关更多信息，请参阅《Amazon Web Services 一般参考》中的[区域和端点](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)。**

1. 在导航窗格中，选择**组织**，然后选择贵组织的名称。

1. 在导航面板中选择**组织设置**。此时将出现**组织设置**页面并显示一组选项卡。

1. 选择 **DMARC** 选项卡，然后选择**编辑**。

1. 将 **DMARC 执行**滑块移动到“开启”位置。

1. 选中**我确认，开启 DMARC 执行可能会导致传入电子邮件被删除或隔离，具体取决于发件人的域配置**旁边的复选框。

1. 选择**保存**。

**禁用 DMARC 执行**
+ 按照上一部分中的步骤操作，但将 **DMARC 执行**滑块移动到“关闭”位置。

## 使用电子邮件事件日志记录来跟踪 DMARC 执行
<a name="logging-dmarc"></a>

启用 DMARC 执行可能会导致入站电子邮件被删除或标记为垃圾邮件，具体取决于发件人如何配置其域。如果发件人将电子邮件域配置错误，您的用户可能会无法接收合法电子邮件。要检查是否有未发送给用户的电子邮件，您可以为亚马逊 WorkMail 组织启用电子邮件事件记录。然后，可以对根据发件人的 DMARC 策略筛选出的传入电子邮件查询电子邮件事件日志。

在使用电子邮件事件记录来跟踪 DMARC 执行之前，请先在 Amazon WorkMail 控制台中启用电子邮件事件记录。为了充分利用日志数据，请在记录电子邮件事件的同时留出一些时间。有关更多信息和说明，请参阅 [启用电子邮件事件日志记录](tracking.md#enable-tracking)。

**使用电子邮件事件日志记录跟踪 DMARC 执行**

1. 在 CloudWatch Insights 控制台的 “**日志**” 下，选择 “**见解**”。

1. 在**选择日志组**中，选择您的 Amazon WorkMail 组织的日志组。例如，/aws/workmail/events/organization-别名。

1. 选择要查询的时间段。

1. 运行以下查询：**stats count() by event.dmarcPolicy \$1 filter event.dmarcVerdict == "FAIL"**

1. 选择**运行查询**。

您还可以为这些事件设置自定义指标。有关更多信息，请参阅[创建指标筛选器](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringPolicyExample.html)。