Spaceship 博客

SPF、DKIM 同 DMARC 係乜?

講到電郵,信任就是一切。但喺你嘅訊息到達收件匣之前,佢必須先通過幾項無聲嘅安全檢查。SPF、DKIM 同 DMARC 會決定你嘅電郵睇落去係合法,定係最終落入垃圾郵件。

了解呢啲記錄點樣運作,以及點樣正確設定佢哋,可以保護你嘅網域,並確保你嘅訊息總係送到佢哋應該到達嘅地方。

SPF、DKIM 同 DMARC 喺電郵入面係乜嘢?

由你按下發送到電郵送達之間,一連串安靜嘅檢查就會開始。每一項都會問同一個問題:呢封郵件真係由你發出嗎?

SPF、DKIM 同 DMARC 會喺寄件者同收件者之間形成一個回饋循環,喺你嘅訊息離開網域之前、到達時,或者兩者都會驗證你嘅身份。佢哋一齊就係阻止你嘅訊息跌入垃圾郵件資料夾嘅關鍵。

簡單解釋 SPF、DKIM 同 DMARC:

  • SPF – 會檢查發送你訊息嘅伺服器係咪喺你網域嘅核准名單上。如果係,電郵就會通過;如果唔係,就會被標記。你可以將佢理解為你網域嘅賓客名單。

  • DKIM – 會喺你嘅訊息離開收件匣之前加上一個數碼封印。當佢到達另一端時,接收伺服器會打開封印,確保傳輸途中冇任何內容被改動。

  • DMARC – 會決定如果其中任何一項檢查失敗時應該點做。佢會告訴接收伺服器應如何處理,無論係投遞訊息、送去垃圾郵件,定係完全封鎖。

呢三者會一齊運作:一個驗證寄件者,一個保護訊息,另一個則執行規則。

點解 SPF、DKIM 同 DMARC 對電郵安全咁重要?

SPF、DKIM 同 DMARC 可以防範現今電郵面對嘅兩大威脅:垃圾郵件同偽冒。攻擊者經常會傳送冒充他人嘅訊息。想像一下,你收到一封來自 Support@yourbank.com 嘅電郵,要求你確認帳戶資料。呢三項檢查會確保你嘅「銀行」真係你嘅銀行:

喺網絡釣魚攻擊中,黑客會用假電郵誘騙人分享密碼、信用卡號碼,或者點擊惡意連結。冇咗呢啲保護,你嘅網域可能會被冒充,而客戶亦可能收到睇落似由你發出、極具說服力嘅訊息。設定好 SPF、DKIM 同 DMARC 之後,呢啲假訊息通常會喺到達收件匣之前就被攔截。

  • SPF 會檢查電郵係咪由已獲批准嘅伺服器發出。

  • DKIM 會確保電郵喺傳輸途中冇被篡改。

  • 如果其中任何一項檢查失敗,DMARC 就會確保電郵喺到達你嘅收件匣之前被丟棄

同樣地,喺網絡釣魚攻擊期間,黑客會發送假電郵,誘騙人交出密碼或點擊危險連結。如果你公司嘅網域冇受到保護,佢哋就可以冒充員工,向你嘅客戶發電郵索取資料。如果已經設定 SPF、DKIM 同 DMARC,大部分呢啲假訊息都唔會到達客戶嘅收件匣,因為接收伺服器可以分辨出佢哋並唔係真係由你發出。

點解佢哋對送達率都同樣重要(唔止係安全)

如果你會發送電子報、發票或營銷活動郵件,你嘅目標可能唔只係發送出去,而係要畀人睇到。但隨住全球垃圾郵件激增,Gmail 同 Yahoo 等主要服務供應商已經推出新規則,保持收件匣整潔。

自 2024 年起,呢啲供應商已要求寄件者使用 SPF、DKIM 同 DMARC 為其網域進行驗證。冇咗佢哋,你嘅電郵甚至可能喺離開你嘅收件匣之前就被拒收。持續通過呢啲檢查可以提升你嘅寄件者信譽,並防止你嘅電郵落入垃圾郵件。你嘅信譽越好,送達速度就越快,垃圾郵件標記越少,可信度亦越高。喺新嘅發信網域上建立呢種信譽,或者喺受損網域上重建信譽,正正就係專用 warm-up 平台例如 Warmy 嘅用途:以受控嘅每日增量逐步提高外發量,並同主要郵箱供應商建立正面互動訊號,令經 SPF、DKIM 同 DMARC 驗證嘅郵件能穩定送達主要收件匣,而唔係推廣或垃圾郵件分頁。

SPF vs DKIM vs DMARC — 有咩分別?

每次你登機,都會經過一個幾乎同 SPF、DKIM 同 DMARC 運作方式完全一樣嘅流程。聽落可能有啲奇怪,但呢三個術語的確唔係咁容易記,而用一個更簡單嘅方法去記住佢哋會有幫助。再者,如果冇設定好呢三樣,你嘅郵件好可能就會同你錯過航班報到時一樣。被留喺外面受凍。

SPF – 你電郵嘅第一道安全檢查站

當你去到櫃檯準備登機時,職員會將你嘅機票同航班名單核對。如果你個名喺上面,你就可以登機。如果唔喺,冇登機證,就冇得飛。

SPF 嘅運作方式都一樣。每個網域,例如 example.com,都會保存一份「乘客名單」,即係一份記錄,列出邊啲郵件伺服器獲准代表該網域發送電郵。當你發送電郵時,接收伺服器會檢查你嘅發信伺服器係咪喺嗰份名單上。設定 SPF 記錄,基本上就等於將你個名加入名單,令你嘅訊息可以順利通過安全檢查而唔會延誤。

DKIM – 你收件匣嘅身份檢查

當你嘅機票核對無誤之後,就到證明你身份嘅時候。你護照上嘅相片確認你真係你本人,係一種唔容易偽造嘅實體簽名。DKIM 做嘅都係同一件事,不過係用喺電郵上。

DomainKeys Identified Mail (DKIM) 會為每封外發訊息加入數碼簽章。呢個簽章可以證明電郵喺傳輸途中冇被更改或篡改,並且防止你嘅電郵被追蹤。當你按下發送時,你嘅伺服器會用私鑰為電郵簽署。當郵件到達時,接收伺服器會驗證該簽章,確認訊息真實而且未被改動。

DMARC – 當事情出錯時會發生乜嘢

如果你冇機票或護照就去到機場,航空公司會有清晰政策說明下一步會點做。當 SPF 或 DKIM 檢查失敗時,DMARC 嘅運作方式都一樣。

如果 SPF 或 DKIM 檢查失敗,DMARC 會告訴接收伺服器應該點樣處理該電郵。佢可以:

  • 乜都唔做

  • 隔離訊息(將佢送去垃圾郵件)

  • 完全拒收訊息

作為寄件者,你可以決定套用邊條規則。你會喺 DNS 入面設定,定義當你嘅訊息未能通過檢查時會發生乜嘢。

點樣為你嘅網域設定 SPF、DKIM 同 DMARC

要設定 SPF、DKIM 同 DMARC,你需要存取你嘅 DNS。呢度就係你網域嘅名稱伺服器所指向嘅地方,即係註冊商或 DNS 主機。

正如我哋上面提到,SPF 嘅作用就似乘客名單,會告訴接收伺服器邊啲主機可以為你嘅網域發送郵件。所以要設定 SPF,你需要令你嘅電郵出現喺嗰份乘客名單上。要做到呢一點,需要幾個步驟。

1. 檢查你係咪已經有 SPF

首先,使用免費嘅 DNS lookup tool 檢查你嘅網域係咪已經有 SPF 記錄。如果工具喺 TXT 分頁顯示一條以 v=spf1 開頭嘅記錄,就表示你嘅網域已經設定好 SPF。

如果冇出現呢類記錄,你就需要由零開始建立一條新嘅 SPF 記錄。

2. 喺 DNS 新增 SPF 記錄

要新增 SPF 記錄,請前往你網域主機嘅 DNS 設定。視乎你嘅供應商係邊個,呢個可能係 Spaceship、Google、Outlook 等。搵到現有記錄清單,選擇 Add Record,然後喺類型選單入面揀 TXT。

之後,按照下方所示填寫欄位,以建立你嘅 SPF 項目。

對於 Spacemail,會係咁:Type: TXT Record | Host: @ | Value: v=spf1 include:spf.spacemail.com ~all | TTL: Automatic

儲存後,等幾分鐘讓記錄傳播。

3. 驗證記錄

到呢一步,你可以再用 DNS lookup tool 檢查一次。如果佢顯示你嘅值,就表示冇問題。亦要記住,主機記錄最多可能需要 24 小時先會更新,所以如果唔係即刻見到,都唔使驚慌。

步驟 2:更新你嘅 DKIM 設定

DKIM 會為你網域發送嘅每封電郵加入數碼簽章,證明郵件冇被篡改。

1:產生你嘅 DKIM 記錄

先由你嘅電郵供應商設定開始。

  1. 前往網域驗證或電郵安全部分。

  2. 搵一個標示為 DKIM、DomainKeys 或類似名稱嘅選項。

  3. 選擇按鈕以產生新嘅 DKIM 金鑰。

你嘅供應商會提供兩項重要資訊:

  • 一個 selector(例如 selector1._domainkey)

  • DKIM 記錄本身 — 一長串加密文字

最好將兩者都複製到安全地方,因為你下一步會用到。

2:將 DKIM 記錄加入你嘅 DNS

之後,登入你嘅 DNS 供應商。

  1. 打開你嘅 DNS 記錄並建立新項目。

  2. 如果記錄較短,選擇 CNAME;如果係較長嘅金鑰,就選擇 TXT。

  3. 喺 Host 或 Name 欄位,輸入 DKIM selector(例如 selector1._domainkey)。

  4. 喺 Value 欄位,貼上你電郵供應商提供嘅 DKIM 記錄。

  5. 儲存你嘅變更。

等幾分鐘,因為 DNS 變更可能需要一段時間先會更新。

對於 Spacemail 商務電郵,你可以參考 呢份指南設定 DKIM 記錄

步驟 3:加入 DMARC 設定

當 SPF 同 DKIM 設定完成後,最後一步就係 DMARC。你只需要喺你網域嘅 DNS 再加入一條 TXT 記錄。呢條記錄會告訴接收郵件伺服器,如果來自你網域嘅電郵未能通過驗證,應該點樣處理,同時亦會讓你知道邊個正代表你發送郵件。

DMARC 記錄有幾個重要部分,你喺加入之前需要先了解:

  • v=DMARC1 – 呢個會告訴郵件伺服器你正使用 DMARC。佢永遠都係第一項。

  • p= – 呢個會設定你處理未經驗證訊息嘅政策:

  • rua=mailto: – 呢個會告訴郵件伺服器將你每日嘅 DMARC 報告發送去邊度。你可以使用例如 security@yourdomain.com 或 dmarc@yourdomain.com 嘅地址。呢啲報告會顯示邊啲 IP 正代表你嘅網域發送郵件,幫你發現任何異常情況。

1:為你嘅網域產生 DMARC 記錄

打開 DMARC Record Generator tool(你亦可以自由使用任何你偏好嘅 DMARC 產生工具),然後喺搜尋欄輸入你嘅網域名稱。完成後,按一下 Check DMARC Record 按鈕。根據你嘅需要自訂 DMARC 設定,並取得已產生嘅記錄。

2:將你嘅 DMARC 記錄加入 DNS 設定

前往你嘅 DNS 供應商。建立新記錄,並選擇 TXT 作為主機記錄類型。DMARC 同 SPF 一樣,都係使用 TXT 記錄格式。

使用 host: _dmarc,加入你之前產生嘅 value

加入之後,儲存你嘅變更,並等幾分鐘讓佢傳播。你可以使用例如 MX Lookup Tool 或其他免費工具,檢查你嘅 DMARC 記錄係咪已正確設定。

你可以使用呢份指南,為你嘅網域配合 Spacemail 設定 DMARC 記錄

正確設定你嘅電郵

如果你嘅訊息不斷落入垃圾郵件,或者喺傳送途中消失,原因可能係缺少驗證。SPF、DKIM 同 DMARC 會為你嘅電郵提供安全送達收件匣所需嘅憑證。

當你聽到 SPF、DKIM 同 DMARC 嘅解釋時,可能會覺得好複雜,但最好嘅地方係,佢哋唔需要昂貴工具或複雜設定,只需要幾條 DNS 記錄同少少耐性。佢哋係你可以加入電郵系統中最簡單嘅一類 email protocols,而且每次當你嘅訊息準確送達應到之處時,都會帶來回報。

常見問題

SPF 會驗證你嘅電郵係咪由已核准嘅伺服器發出。DKIM 電郵安全會透過用數碼金鑰為每封訊息簽署,令接收者知道訊息冇被竄改。DMARC 會將兩者連結起來,告訴伺服器如果有任何異常應該點做。三者一齊使用,就可以令你嘅電郵保持可信、已驗證同安全。

當比較 DMARC、SPF 同 DKIM 時,佢哋作為團隊一齊運作效果最好。SPF 同 DKIM 電郵驗證負責進行檢查,而 DMARC 就決定如果檢查失敗會發生乜嘢。冇咗 DMARC,你嘅電郵可能仍然會通過,但當佢哋唔通過時,你就冇辦法控制會點處理。一次過設定好三者,你就可以同時兼顧安全同送達率。

偽冒係指有人發送電郵假扮成你。SPF 會檢查訊息來自邊度,DKIM 會確認內容冇被改動,而 DMARC 就會封鎖任何可疑內容。

冇咗 DMARC,郵件伺服器就冇清晰規則去處理可疑訊息。咁就代表假電郵可能會漏網,而你真正嘅電郵亦可能被標記為垃圾郵件。DMARC 就係負責執行規則嘅部分,冇咗佢,你嘅網域就會失去保護。

其實唔係,佢哋只係各自負責唔同工作。SPF 會檢查邊個發送電郵;DKIM 會檢查內容有冇被更改。單獨使用任何一個都唔算完美,但一齊用就可以建立一道強而有力嘅第一防線。


推薦文章

分享您的想法

需要超過 10 個字符。
您的公開顯示身份。
提供您的電子郵件地址是可選的。它不會與第三方共享。

幫助我們改進博客

在快速的兩分鐘調查中分享您的想法。

必須提供有效的電郵地址