说到电子邮件,信任就是一切。但在你的邮件真正到达某人的收件箱之前,它必须先通过几项无声的安全检查。SPF、DKIM 和 DMARC 会决定你的邮件看起来是否合法,还是最终进入垃圾邮件。
了解这些记录如何工作,以及如何正确设置它们,可以保护你的域名,并确保你的邮件始终准确送达应到之处。
电子邮件中的 SPF、DKIM 和 DMARC 是什么?
从点击发送到邮件送达之间,一连串无声的检查就开始了。每一项都在问同一个问题:这封邮件真的是你发的吗?
SPF、DKIM 和 DMARC 在发件人与收件人之间形成一个反馈回路,在你的邮件离开域名之前、到达时,或两者兼有时验证你的身份。它们共同构成了你的邮件与垃圾邮件文件夹之间的防线。
简要说明 SPF、DKIM 和 DMARC:
SPF – 检查发送你邮件的服务器是否在你的域名批准列表中。如果在,邮件就会通过;如果不在,就会被标记。可以把它看作是你域名的宾客名单。
DKIM – 在邮件离开发件箱之前为其添加数字封印。一旦到达对方服务器,接收服务器就会打开该封印,以确保传输过程中没有任何内容被更改。
DMARC – 决定当上述任一检查失败时会发生什么。它会告诉接收服务器该如何处理,是投递邮件、将其发送到垃圾邮件,还是完全阻止它。
这三者协同工作:一个验证发件人,一个保护邮件内容,一个执行规则。
为什么 SPF、DKIM 和 DMARC 对电子邮件安全很重要?
SPF、DKIM 和 DMARC 可防范当今电子邮件面临的两大威胁:垃圾邮件和伪造。攻击者经常发送冒充他人的邮件。想象一下,你收到一封来自 Support@yourbank.com 的邮件,要求你确认账户详细信息。这三项检查会确保你的“银行”确实是你的银行:
在网络钓鱼攻击中,黑客会使用伪造邮件诱骗人们分享密码、信用卡号码,或点击恶意链接。如果没有这些保护措施,你的域名可能会被冒用,客户也可能收到看起来像是由你发出的、极具迷惑性的邮件。部署 SPF、DKIM 和 DMARC 后,这些伪造邮件通常会在到达收件箱之前就被拦截。
SPF 会检查该邮件是否由获准的服务器发出。
DKIM 会确保邮件在传输过程中未被篡改。
如果其中任一检查失败,DMARC 会确保该邮件在到达你的收件箱之前就被丢弃
同样,在网络钓鱼攻击中,黑客会发送伪造邮件,诱骗人们泄露密码或点击危险链接。如果你公司的域名没有受到保护,他们就可能冒充员工,向你的客户发送邮件索要详细信息。如果已部署 SPF、DKIM 和 DMARC,这些伪造邮件中的大多数都无法到达客户的收件箱,因为接收服务器能够判断它们并非真的来自你。
为什么它们对送达率也很重要(而不仅仅是安全)
如果你发送新闻简报、发票或营销活动邮件,你的目标可能不只是发出去,而是要被看到。但随着全球垃圾邮件激增,Gmail 和 Yahoo 等主要服务提供商已推出新规则,以保持收件箱整洁。
自 2024 年起,这些服务提供商要求发件人使用 SPF、DKIM 和 DMARC 对其域名进行身份验证。没有它们,你的邮件甚至可能在离开发件箱之前就被拒收。持续通过这些检查可以提升你的发件人信誉,并防止你的邮件进入垃圾邮件。你的信誉越好,投递越快,垃圾邮件标记越少,可信度也越强。在新的发信域名上建立这种信誉,或在受损域名上恢复信誉,正是像 Warmy 这样的专用预热平台的设计目的:通过受控的每日增量逐步提高外发量,并与主要邮箱服务商建立积极的互动信号,从而让通过 SPF、DKIM 和 DMARC 验证的邮件稳定进入主收件箱,而不是促销或垃圾邮件文件夹。
SPF、DKIM 与 DMARC——有什么区别?
每次你登机时,都会经历一个几乎与 SPF、DKIM 和 DMARC 工作方式完全相同的流程。这听起来可能有些奇怪,但这三个术语确实不太容易让人一下子明白,而用更简单的方式来记住它们会更有帮助。另外,如果没有设置好这三项,你的邮件很可能会像你错过航班值机时一样。被挡在门外。
SPF——你的电子邮件的第一道安全检查点
当你来到柜台准备登机时,工作人员会将你的机票与航班名单进行核对。如果上面有你的名字,你就可以登机。如果没有,就没有登机牌,也无法登机。
SPF 的工作方式也是如此。每个域名(如 example.com)都会保留一份“乘客名单”,也就是一条记录,说明哪些邮件服务器被允许代表该域名发送邮件。当你发送邮件时,接收服务器会检查你的发信服务器是否在这份名单上。设置 SPF 记录,本质上就是把你的名字加入清单中,这样你的邮件就能顺利通过安全检查而不被延误。
DKIM——你的收件箱身份检查
一旦机票核验通过,接下来就要证明你的身份。护照照片会确认你确实是你本人,这是一种不容易被伪造的实体签名。DKIM 对电子邮件也是如此。
域名密钥识别邮件(DKIM)会为每一封发出的邮件添加数字签名。该签名可证明邮件在传输过程中未被更改或篡改,并且防止你的电子邮件被跟踪。当你点击发送时,你的服务器会使用私钥对邮件进行签名。邮件到达后,接收服务器会验证该签名,从而确认邮件真实且未被改动。
DMARC——当出现问题时会发生什么
如果你没有机票或护照就出现在机场,航空公司会有明确的后续处理政策。当 SPF 或 DKIM 检查失败时,DMARC 的作用也是如此。
如果 SPF 或 DKIM 检查失败,DMARC 会告诉接收服务器如何处理该邮件。它可以:
不做任何处理
隔离邮件(发送到垃圾邮件)
完全拒收邮件
作为发件人,你可以决定应用哪条规则。你可以在 DNS 中进行设置,定义当你的邮件未通过检查时会发生什么。
如何为你的域名设置 SPF、DKIM 和 DMARC
要设置 SPF、DKIM 和 DMARC,你需要访问你的 DNS。这就是你的域名名称服务器所指向的位置,也就是注册商或 DNS 托管服务商。
正如我们上面提到的,SPF 的作用类似乘客名单,它会告诉接收服务器哪些主机可以为你的域名发送邮件。因此,要设置 SPF,你需要让你的电子邮件进入这份乘客名单。为此需要几个步骤。
1. 检查你是否已经设置了 SPF
首先,使用免费的DNS 查询工具检查你的域名是否已经有 SPF 记录。如果工具的 TXT 选项卡中显示一条以 v=spf1 开头的记录,就表示你的域名已经设置了 SPF。
如果没有出现这样的记录,你就需要从头开始创建一条新的 SPF 记录。
2. 在 DNS 中添加新的 SPF 记录
要添加新的 SPF 记录,请前往你的域名托管商的 DNS 设置。这可能是 Spaceship、Google、Outlook 等,具体取决于你的服务提供商是谁。找到现有记录列表并选择“添加记录”,然后在类型菜单中选择 TXT。
接下来,按如下所示填写字段,以创建你的 SPF 条目。
对于 Spacemail,设置如下:类型:TXT 记录 | 主机:@ | 值:v=spf1 include:spf.spacemail.com ~all | TTL:自动
保存后等待几分钟完成传播。
3. 验证记录
此时,你可以再次使用 DNS 查询工具进行检查。如果它显示了你的值,就说明设置成功。还要记住,主机记录最多可能需要 24 小时才能更新,因此如果没有立即显示,也不必惊慌。
第 2 步:更新你的 DKIM 设置
DKIM 会为你的域名发送的每一封电子邮件添加数字签名,以证明邮件未被篡改。
1:生成你的 DKIM 记录
从你的电子邮件服务提供商设置开始。
前往域名验证或电子邮件安全部分。
找到标有 DKIM、DomainKeys 或类似名称的选项。
选择按钮以生成新的 DKIM 密钥。
你的服务提供商会给你两项关键信息:
一个选择器(例如 selector1._domainkey)
DKIM 记录本身——一长串加密文本
最好将这两项都复制并保存在安全的地方,因为下一步你会用到它们。
2:将 DKIM 记录添加到你的 DNS
接下来,登录你的 DNS 服务提供商。
打开你的 DNS 记录并创建一个新条目。
如果记录较短,则选择 CNAME;如果是较长的密钥,则选择 TXT。
在 Host 或 Name 字段中,输入 DKIM 选择器(例如 selector1._domainkey)。
在 Value 字段中,粘贴来自你的电子邮件服务提供商的 DKIM 记录。
保存你的更改。
等待几分钟,因为 DNS 更改可能需要一些时间才能更新。
对于 Spacemail 商务邮箱,你可以参考本指南设置 DKIM 记录。
第 3 步:添加 DMARC 设置
设置好 SPF 和 DKIM 后,最后一步就是 DMARC。你只需在域名的 DNS 中再添加一条 TXT 记录。该记录会告诉接收邮件服务器,如果来自你域名的邮件未通过身份验证,应如何处理,同时还能让你了解谁在代表你发送邮件。
DMARC 记录包含几个关键部分,在添加之前你需要先了解它们:
v=DMARC1 – 这会告诉邮件服务器你正在使用 DMARC。它始终位于最前面。
p= – 这会设置你处理未经身份验证邮件的策略:
rua=mailto: – 这会告诉邮件服务器将你的每日 DMARC 报告发送到哪里。你可以使用 security@yourdomain.com 或 dmarc@yourdomain.com 这样的地址。这些报告会显示哪些 IP 正在代表你的域名发送邮件,帮助你发现任何异常情况。
1:为你的域名生成 DMARC 记录
打开DMARC 记录生成工具(你也可以使用任何你喜欢的 DMARC 生成工具),并在搜索栏中填写你的域名。完成后,点击“检查 DMARC 记录”按钮。根据你的需求自定义 DMARC 设置,并获取生成的记录。
2:将你的 DMARC 记录添加到 DNS 设置中
前往你的 DNS 服务提供商。创建一条新记录,并选择 TXT 作为主机记录类型。DMARC 与 SPF 一样,使用 TXT 记录格式。
使用主机:_dmarc 添加值,即你之前生成的那个值
添加后,保存你的更改并等待几分钟让其传播。你可以使用MX Lookup Tool或其他免费工具来检查你的 DMARC 记录是否已正确设置。
你可以使用本指南来通过 Spacemail 为你的域名设置 DMARC 记录。
正确设置你的电子邮件
如果你的邮件总是进入垃圾邮件,或在传输途中消失,原因可能是缺少身份验证。SPF、DKIM 和 DMARC 为你的邮件提供了安全到达收件箱所需的凭证。
在听到对 SPF、DKIM 和 DMARC 的解释时,这些内容可能听起来很复杂,但最好的地方在于,它们不需要昂贵的工具或复杂的设置,只需要几条 DNS 记录和一点耐心。它们是你可以添加到电子邮件系统中的一些最简单的电子邮件协议,而且每当你的邮件准确送达应到之处时,它们都会带来回报。
常见问题
SPF 验证你的邮件是否由获准的服务器发送。DKIM 电子邮件安全通过使用数字密钥为每封邮件签名来发挥作用,这样接收方就知道邮件未被篡改。DMARC 将它们结合起来,在出现异常时告诉服务器该怎么做。它们共同确保你的邮件可信、已验证且安全。
在比较 DMARC 与 SPF 和 DKIM 时,它们作为一个团队效果最佳。SPF 和 DKIM 电子邮件身份验证负责执行检查,而 DMARC 决定这些检查失败时该怎么办。没有 DMARC,你的邮件可能仍然会通过,但当它们未通过时,你将无法控制后续处理。一次性设置好这三项,你就能在安全性和送达率两方面做到全面覆盖。
伪造是指有人发送一封假装是你发出的邮件。SPF 检查邮件来自哪里,DKIM 确认邮件未被更改,而 DMARC 会阻止任何可疑内容。
如果没有 DMARC,邮件服务器在处理可疑邮件时就没有明确规则。这意味着伪造邮件可能会漏网之鱼,或者你的真实邮件可能会被标记为垃圾邮件。DMARC 是负责执行规则的部分,没有它,你的域名就处于无人防护的状态。
其实并不是,它们只是承担不同的任务。SPF 检查是谁在发送邮件;DKIM 检查邮件是否被更改。单独使用时,两者都不完美,但结合起来,它们就构成了一道强有力的第一道防线。


分享您的想法