三种DNS记录能否保障邮件安全有三种DNS记录可以保护域名防止邮件被归为垃圾邮件同时使用这三种记录能全面保障邮件安全还能防止域名被劫持。若发送大量工作邮件却未收到回复邮件可能被放进对方的垃圾邮件文件夹。出现这种情况原因众多不一定与邮件内容有关最常见的原因是域名可能未经认证这会让接收邮件的服务器将邮件归入垃圾邮件文件夹。这种情况较为常见即便邮件内容质量高的团队也可能中招。不过使用三种名为SPF、DKIM和DMARC的DNS记录能解决这一问题。它们能向互联网证明邮件合法防止网络犯罪分子劫持域名并以名义发送邮件。2024年2月Gmail和雅虎开始对批量发件人强制执行这些认证要求2025年5月微软也对Outlook.com、Hotmail和Live.com增加了相同要求。若还未设置这些记录就不能再忽视它们了。1. SPF、DKIM和DMARC的实际作用这三种协议分别解决了邮件认证中的不同薄弱环节。SPF验证发送邮件的服务器是否被授权DKIM为发出的邮件添加加密签名确认邮件在传输过程中未被篡改DMARC则将前两者结合起来发布一项策略告诉接收服务器在任何一项检查失败时该如何处理并将认证报告反馈。需要同时使用这三种协议。仅使用SPF无法阻止有人伪造收件人在收件箱中看到的“发件人”地址仅使用DKIM无法检测到来自未经授权服务器的邮件。只有同时使用这三种协议才能全面解决邮件送达问题和域名仿冒问题。2. SPF授权代表你发送邮件的服务器SPF发件人策略框架是一种DNS TXT记录它列出了所有被授权代表域名发送邮件的IP地址和邮件服务器。当收件人的邮件服务器收到一封声称来自的邮件时会将发送服务器的IP与该记录进行比对若IP不在列表中邮件验证将失败。设置SPF需登录域名注册商如GoDaddy、Cloudflare、Namecheap等并在域名根目录添加一条TXT记录。具体操作如下首先从邮件服务提供商那里获取SPF值Google Workspace、Microsoft 365和大多数平台都会在其域名认证页面提供需要复制粘贴的准确记录值以Google Workspace为例其SPF值为vspf1 include:_spf.google.com ~all。若通过多个服务发送邮件应将它们叠加在同一条记录中例如vspf1 include:_spf.google.com include:spf.protection.outlook.com ~all。登录管理域名DNS记录的平台可能是GoDaddy、Cloudflare、Namecheap、Route 53等在DNS页面创建一条新的TXT记录将主机设置为 即根域名然后粘贴之前获取的SPF值。需注意域名只能有一条SPF TXT记录且DNS查询次数不得超过10次。创建第二条SPF记录而不是编辑第一条会导致两条记录都失效所以要保持授权发件人列表简洁。3. DKIM为每封邮件添加防篡改签名DKIM域名密钥识别邮件使用公钥加密技术为发出的邮件签名。邮件服务器使用其持有的私钥附加一个签名收件人可以根据在DNS中发布的匹配公钥进行验证。如果邮件在从服务器到收件人收件箱的过程中被修改签名验证将失败。Google Workspace、Microsoft 365和大多数主要的邮件平台如SendGrid都会为生成一对DKIM密钥。任务是将它们提供的公钥复制并粘贴到域名的DNS设置中作为一条新的TXT记录。虽然具体的设置步骤取决于邮件提供商和域名注册商但大致步骤如下Google Workspace、Microsoft 365、SendGrid、Mailchimp和其他邮件服务提供商进入它们的域名认证设置页面都会为生成一条DKIM记录。例如若使用Google Workspace该设置位于Google管理控制台的“应用”“Google Workspace”“Gmail”中点击生成一条新记录先复制这些值。接下来进入域名注册商的DNS设置页面像之前设置SPF时一样创建一条新的TXT记录。需要注意的是有些提供商可能要求添加一条CNAME记录而不是TXT记录所以请参考邮件提供商的文档。将从邮件提供商那里获取的主机名和记录值粘贴到新的DNS记录中确保没有拼写错误因为这可能会影响域名安全。返回邮件提供商的认证设置页面在这里可以为域名启用DKIM签名。在Google Workspace中这可以通过再次访问管理控制台中的“验证邮件”页面并点击“开始验证”来完成。由于DNS记录需要一段时间才能在域名中传播所以应该在24 - 48小时后再进行此操作。DKIM对于转发的邮件特别有用转发通常会破坏SPF因为IP地址发生了变化但DKIM签名通常会保持完整这意味着当仅靠SPF验证会失败时转发的邮件仍然可以通过认证。4. DMARC设置认证失败时的处理规则DMARC基于域名的邮件认证、报告和一致性是一个策略层使SPF和DKIM能够强制执行。如果没有DMARC检测到验证失败的接收服务器将不知道下一步该怎么做也无法了解哪些验证失败以及原因。设置DMARC的步骤如下首先为DMARC报告创建一个专用的收件箱例如reportsyourdomain.com。大多数邮件提供商在其控制面板中提供DMARC生成器也可以使用第三方服务如MXToolbox或DMARCLY。添加一条新的TXT记录主机名应设置为 _dmarc直接从DMARC生成器中复制记录值并粘贴。在接下来的2 - 4周内密切关注专用收件箱中的任何失败报告这将揭示邮箱中需要解决的任何问题以提高邮件送达率。和其他两种记录一样DMARC也是一条TXT记录这次添加到 _dmarc.yourdomain.com。一个简单的初始记录如下vDMARC1; pnone; ruamailto:reportsyourdomain.com。pnone设置意味着接收服务器不会对验证失败的邮件采取任何行动但会将汇总报告发送到指定的地址这些报告显示哪些服务代表发送邮件以及它们是否通过了认证。在查看了几周的报告并确认合法邮件都能顺利通过验证后可以收紧策略将设置改为pquarantine将验证失败的邮件路由到垃圾邮件文件夹最终改为preject完全阻止这些邮件。在查看报告之前直接将设置改为preject这可能是常见的实施错误最终会导致自己的营销或交易邮件被拦截。为什么不能只选择一种协议每种协议都有其不足之处需要其他协议来补充。SPF检查发送服务器但不检查收件人实际看到的“发件人”地址因此攻击者可以通过SPF验证同时仍然仿冒域名。DKIM验证邮件的完整性但不检查签名域名是否与可见发件人匹配。DMARC确保所有这些元素保持一致并在出现不一致时应用选择的策略。综合来看使用这三种协议对邮件送达率的提升效果显著。根据Validity的2025年邮件基准报告经过正确认证的域名的收件箱送达率比未认证的域名高出约60个百分点。对于开展陌生邮件营销活动或批量发送时事通讯的人来说这个差距意味着活动能否取得成效。如何验证记录是否生效DNS更改通常需要15分钟到48小时才能在全球范围内传播。在此时间过后免费工具可以立即告诉你所有设置是否正确。MX Toolbox分别提供了SPF、DKIM和DMARC的检查器也可以向checkdmarcly.com发送一封测试邮件它会回复域名的完整认证报告。DMARC汇总报告是持续监测的最有价值的信号。在发布DMARC记录后的一两天内报告将开始发送到指定的地址它们显示了所有以域名发送邮件的服务器以及每台服务器是否通过了认证。定期查看这些报告是尽早发现配置错误的最佳方法以免影响邮件送达率或导致域名被用于网络钓鱼活动。那么你是否已经开始设置这些DNS记录了呢
SPF、DKIM、DMARC三种DNS记录:保障邮件安全,提升送达率60个百分点!
三种DNS记录能否保障邮件安全有三种DNS记录可以保护域名防止邮件被归为垃圾邮件同时使用这三种记录能全面保障邮件安全还能防止域名被劫持。若发送大量工作邮件却未收到回复邮件可能被放进对方的垃圾邮件文件夹。出现这种情况原因众多不一定与邮件内容有关最常见的原因是域名可能未经认证这会让接收邮件的服务器将邮件归入垃圾邮件文件夹。这种情况较为常见即便邮件内容质量高的团队也可能中招。不过使用三种名为SPF、DKIM和DMARC的DNS记录能解决这一问题。它们能向互联网证明邮件合法防止网络犯罪分子劫持域名并以名义发送邮件。2024年2月Gmail和雅虎开始对批量发件人强制执行这些认证要求2025年5月微软也对Outlook.com、Hotmail和Live.com增加了相同要求。若还未设置这些记录就不能再忽视它们了。1. SPF、DKIM和DMARC的实际作用这三种协议分别解决了邮件认证中的不同薄弱环节。SPF验证发送邮件的服务器是否被授权DKIM为发出的邮件添加加密签名确认邮件在传输过程中未被篡改DMARC则将前两者结合起来发布一项策略告诉接收服务器在任何一项检查失败时该如何处理并将认证报告反馈。需要同时使用这三种协议。仅使用SPF无法阻止有人伪造收件人在收件箱中看到的“发件人”地址仅使用DKIM无法检测到来自未经授权服务器的邮件。只有同时使用这三种协议才能全面解决邮件送达问题和域名仿冒问题。2. SPF授权代表你发送邮件的服务器SPF发件人策略框架是一种DNS TXT记录它列出了所有被授权代表域名发送邮件的IP地址和邮件服务器。当收件人的邮件服务器收到一封声称来自的邮件时会将发送服务器的IP与该记录进行比对若IP不在列表中邮件验证将失败。设置SPF需登录域名注册商如GoDaddy、Cloudflare、Namecheap等并在域名根目录添加一条TXT记录。具体操作如下首先从邮件服务提供商那里获取SPF值Google Workspace、Microsoft 365和大多数平台都会在其域名认证页面提供需要复制粘贴的准确记录值以Google Workspace为例其SPF值为vspf1 include:_spf.google.com ~all。若通过多个服务发送邮件应将它们叠加在同一条记录中例如vspf1 include:_spf.google.com include:spf.protection.outlook.com ~all。登录管理域名DNS记录的平台可能是GoDaddy、Cloudflare、Namecheap、Route 53等在DNS页面创建一条新的TXT记录将主机设置为 即根域名然后粘贴之前获取的SPF值。需注意域名只能有一条SPF TXT记录且DNS查询次数不得超过10次。创建第二条SPF记录而不是编辑第一条会导致两条记录都失效所以要保持授权发件人列表简洁。3. DKIM为每封邮件添加防篡改签名DKIM域名密钥识别邮件使用公钥加密技术为发出的邮件签名。邮件服务器使用其持有的私钥附加一个签名收件人可以根据在DNS中发布的匹配公钥进行验证。如果邮件在从服务器到收件人收件箱的过程中被修改签名验证将失败。Google Workspace、Microsoft 365和大多数主要的邮件平台如SendGrid都会为生成一对DKIM密钥。任务是将它们提供的公钥复制并粘贴到域名的DNS设置中作为一条新的TXT记录。虽然具体的设置步骤取决于邮件提供商和域名注册商但大致步骤如下Google Workspace、Microsoft 365、SendGrid、Mailchimp和其他邮件服务提供商进入它们的域名认证设置页面都会为生成一条DKIM记录。例如若使用Google Workspace该设置位于Google管理控制台的“应用”“Google Workspace”“Gmail”中点击生成一条新记录先复制这些值。接下来进入域名注册商的DNS设置页面像之前设置SPF时一样创建一条新的TXT记录。需要注意的是有些提供商可能要求添加一条CNAME记录而不是TXT记录所以请参考邮件提供商的文档。将从邮件提供商那里获取的主机名和记录值粘贴到新的DNS记录中确保没有拼写错误因为这可能会影响域名安全。返回邮件提供商的认证设置页面在这里可以为域名启用DKIM签名。在Google Workspace中这可以通过再次访问管理控制台中的“验证邮件”页面并点击“开始验证”来完成。由于DNS记录需要一段时间才能在域名中传播所以应该在24 - 48小时后再进行此操作。DKIM对于转发的邮件特别有用转发通常会破坏SPF因为IP地址发生了变化但DKIM签名通常会保持完整这意味着当仅靠SPF验证会失败时转发的邮件仍然可以通过认证。4. DMARC设置认证失败时的处理规则DMARC基于域名的邮件认证、报告和一致性是一个策略层使SPF和DKIM能够强制执行。如果没有DMARC检测到验证失败的接收服务器将不知道下一步该怎么做也无法了解哪些验证失败以及原因。设置DMARC的步骤如下首先为DMARC报告创建一个专用的收件箱例如reportsyourdomain.com。大多数邮件提供商在其控制面板中提供DMARC生成器也可以使用第三方服务如MXToolbox或DMARCLY。添加一条新的TXT记录主机名应设置为 _dmarc直接从DMARC生成器中复制记录值并粘贴。在接下来的2 - 4周内密切关注专用收件箱中的任何失败报告这将揭示邮箱中需要解决的任何问题以提高邮件送达率。和其他两种记录一样DMARC也是一条TXT记录这次添加到 _dmarc.yourdomain.com。一个简单的初始记录如下vDMARC1; pnone; ruamailto:reportsyourdomain.com。pnone设置意味着接收服务器不会对验证失败的邮件采取任何行动但会将汇总报告发送到指定的地址这些报告显示哪些服务代表发送邮件以及它们是否通过了认证。在查看了几周的报告并确认合法邮件都能顺利通过验证后可以收紧策略将设置改为pquarantine将验证失败的邮件路由到垃圾邮件文件夹最终改为preject完全阻止这些邮件。在查看报告之前直接将设置改为preject这可能是常见的实施错误最终会导致自己的营销或交易邮件被拦截。为什么不能只选择一种协议每种协议都有其不足之处需要其他协议来补充。SPF检查发送服务器但不检查收件人实际看到的“发件人”地址因此攻击者可以通过SPF验证同时仍然仿冒域名。DKIM验证邮件的完整性但不检查签名域名是否与可见发件人匹配。DMARC确保所有这些元素保持一致并在出现不一致时应用选择的策略。综合来看使用这三种协议对邮件送达率的提升效果显著。根据Validity的2025年邮件基准报告经过正确认证的域名的收件箱送达率比未认证的域名高出约60个百分点。对于开展陌生邮件营销活动或批量发送时事通讯的人来说这个差距意味着活动能否取得成效。如何验证记录是否生效DNS更改通常需要15分钟到48小时才能在全球范围内传播。在此时间过后免费工具可以立即告诉你所有设置是否正确。MX Toolbox分别提供了SPF、DKIM和DMARC的检查器也可以向checkdmarcly.com发送一封测试邮件它会回复域名的完整认证报告。DMARC汇总报告是持续监测的最有价值的信号。在发布DMARC记录后的一两天内报告将开始发送到指定的地址它们显示了所有以域名发送邮件的服务器以及每台服务器是否通过了认证。定期查看这些报告是尽早发现配置错误的最佳方法以免影响邮件送达率或导致域名被用于网络钓鱼活动。那么你是否已经开始设置这些DNS记录了呢
