本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 對內送電子郵件強制執行 DMARC 政策
<a name="inbound-dmarc"></a>

電子郵件網域使用網域名稱系統 (DNS) 記錄以確保安全。可以保護您的使用者免受常見的攻擊，例如詐騙或網路釣魚。DNS 記錄通常包含網域型訊息驗證、報告和一致性 (DMARC) 記錄，這些記錄是由傳送電子郵件的網域擁有者所設定。DMARC 記錄包含的政策指定當電子郵件未通過 DMARC 檢查時要採取的動作。您可以選擇是否要對傳送至組織的電子郵件強制執行 DMARC 政策。

新的 Amazon WorkMail 組織預設會開啟 DMARC 強制執行。

**若要開啟強制執行 DMARC 功能**

1. 開啟位於 https：//[https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/) 的 Amazon WorkMail 主控台。

   如有必要請變更 AWS 區域。在主控台視窗頂端的列中，開啟**選取區域**清單，然後選擇區域。如需詳細資訊，請參閱 *Amazon Web Services 一般參考* 中的 [ 區域與端點](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html)。

1. 在導覽窗格中，選擇**組織**，然後選擇組織的名稱。

1. 在導覽窗格中，選擇 **Organization settings (組織設定)**。**組織設定**頁面隨即出現，並顯示一組索引標籤。

1. 選擇 **DMARC** 索引標籤，然後選擇**編輯**。

1. 將 **DMARC 強制執行**滑桿移至開啟位置。

1. 選取**我確認開啟 DMARC 強制執行旁的核取方塊，可能會導致根據寄件者的網域組態捨棄或隔離傳入電子郵件。**

1. 選擇**儲存**。

**若要關閉 DMARC 強制執行功能**
+ 遵循上一節中的步驟，但將 **DMARC 強制執行**滑桿移至關閉位置。

## 使用電子郵件事件記錄來追蹤 DMARC 的強制執行
<a name="logging-dmarc"></a>

開啟 DMARC 強制執行可能會導致內送電子郵件遭到捨棄或標示為垃圾郵件，視寄件者設定其網域的方式而定。如果寄件者設定錯誤的電子郵件網域，您的使用者可能會停止接收合法電子郵件。若要檢查未交付給使用者的電子郵件，您可以為 Amazon WorkMail 組織啟用電子郵件事件記錄。然後，您可以查詢電子郵件事件日誌，找出根據寄件者的 DMARC 政策篩選掉傳入的電子郵件。

在您使用電子郵件事件記錄來追蹤 DMARC 強制執行之前，請在 Amazon WorkMail 主控台中啟用電子郵件事件記錄。若要充分利用您的日誌資料，請在記錄電子郵件事件的同時等待一些時間。如需詳細資訊和指示，請參閱[啟用電子郵件事件記錄](tracking.md#enable-tracking)。

**若要使用電子郵件事件記錄來追蹤 DMARC 強制執行**

1. 在 CloudWatch Insights 主控台的 **Logs (記錄)** 下，選擇 **Insights (Insights)**。

1. 針對**選取日誌群組 （選取）**，選取您 Amazon WorkMail 組織的日誌群組。例如，/aws/workmail/events/organization-alias。

1. 選取要查詢的時間期間。

1. 執行以下查詢：**stats count() by event.dmarcPolicy \$1 filter event.dmarcVerdict == "FAIL"**

1. 選擇 **Run query** (執行查詢)。

您也可以為這些事件設定自訂指標。如需詳細資訊，請參閱[建立指標篩選器](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringPolicyExample.html)。