新上线今天0 投票
如何用 SPF、DKIM 和 DMARC 让商务邮件摆脱垃圾箱
你是否遇到过发出的工作邮件石沉大海?很可能它们被扔进了对方的垃圾箱。问题不在于邮件内容,而在于域名未经认证。SPF、DKIM 和 DMARC 三个 DNS 记录联合起来,既能证明邮件合法性,又能防止域名被劫持。Gmail、Yahoo 自 2024 年 2 月起已对批量发件人强制执行这些认证,微软也在 2025 年 5 月跟进。本文将为你详解这三项协议的作用与配置要点。
为什么邮件会进垃圾箱?
当你发送大量工作邮件却得不到回复时,最可能的原因是接收服务器悄悄将你的邮件归入了垃圾箱。这通常与邮件内容无关,而是因为你的域名缺乏身份认证。没有 SPF、DKIM 和 DMARC,收件服务器无法确认邮件是否来自合法发件人,因此倾向于将其标记为可疑。
三剑客:SPF、DKIM、DMARC
- SPF(发件人策略框架):验证发送邮件的服务器是否被授权。你需要在 DNS 中列出所有允许发送邮件的服务器 IP。
- DKIM(域名密钥识别邮件):为每封外发邮件添加加密签名,确保内容在传输中未被篡改。你需要生成密钥对,公钥发布在 DNS,私钥用于签名。
- DMARC(基于域名的消息认证、报告与一致性):将 SPF 和 DKIM 绑定,制定策略(如隔离或拒收未通过校验的邮件),并接收认证报告。
三者缺一不可。仅靠 SPF 无法防止伪造“发件人”地址,而 DKIM 无法阻止未授权服务器发信。DMARC 则提供了统一的策略和监控机制。
配置要点
- SPF 记录:以
v=spf1 include:_spf.google.com ~all为例,明确列出授权服务器,避免过度宽松。 - DKIM 记录:从邮件服务商获取公钥,创建 TXT 记录如
default._domainkey IN TXT "v=DKIM1; k=rsa; p=MIGfMA0..."。 - DMARC 记录:创建
_dmarc.yourdomain.com的 TXT 记录,初始策略建议为p=none,待监控确认后再改为p=quarantine或p=reject。
行业背景
邮件认证已从最佳实践变为强制要求。Gmail 和 Yahoo 于 2024 年 2 月开始对每日发送量超过 5000 封的发件人强制执行 DMARC 检查。微软紧随其后,2025 年 5 月起对 Outlook.com、Hotmail 和 Live.com 实施类似要求。这意味着,如果你的域名未正确配置这三项记录,发往主流邮箱的邮件将大概率被拒收或标记为垃圾。
小结
SPF、DKIM 和 DMARC 是保护域名声誉、提升邮件送达率的基石。虽然配置需要一定的 DNS 操作知识,但投入时间换来的是邮件通信的可靠性和安全性。如果你尚未部署,现在是时候行动了。