SPF、DKIM和DMARC是决定您的电子邮件是否进入收件箱或垃圾邮件文件夹的三个DNS记录。自2024年起,Google要求所有批量发件人使用这些身份验证标准——忽视它们意味着您的电子邮件将可靠地进入垃圾邮件或被直接拒绝。本指南将分步向您展示设置方法。
什么是电子邮件身份验证,为什么重要?
电子邮件身份验证是一套技术标准,允许电子邮件提供商验证邮件是否真的来自所声明的发件人域名。问题在于:原始电子邮件协议(SMTP)没有内置的发件人验证功能。任何人在技术上都可以用任何发件人地址发送电子邮件。
三种身份验证标准以不同方式解决这个问题:
| 标准 | 保护机制 | 防范对象 |
|---|---|---|
| SPF | 授权服务器白名单 | 来自未授权服务器的欺骗 |
| DKIM | 邮件的加密签名 | 传输过程中的篡改 |
| DMARC | 身份验证失败的策略 | 您域名的未授权使用 |
自2024年2月起,Google要求每天向Gmail发送5,000封以上邮件的所有发件人设置SPF、DKIM和DMARC。Microsoft将在2025年跟进。对于冷邮件推广,这些标准不再是可选项——它们是必须的。
设置SPF——分步操作
什么是SPF记录?
SPF记录是DNS设置中的TXT条目,列出了被授权代表您发送电子邮件的服务器。
SPF记录的基本结构
v=spf1 include:_spf.google.com ~all
| 元素 | 含义 |
|---|---|
v=spf1 | SPF协议版本(始终相同) |
include:domain.com | 授权指定提供商的所有服务器 |
ip4:1.2.3.4 | 授权单个IPv4地址 |
~all | 软失败:将其他服务器标记为可疑 |
-all | 硬失败:拒绝其他服务器 |
常见电子邮件提供商的SPF记录
| 提供商 | SPF记录 |
|---|---|
| Google Workspace | v=spf1 include:_spf.google.com ~all |
| Microsoft 365 | v=spf1 include:spf.protection.outlook.com ~all |
| Zoho Mail | v=spf1 include:zoho.eu ~all |
最重要的规则: 每个域名只允许一个SPF记录。如果您使用多个电子邮件提供商,将它们合并到一个记录中:
v=spf1 include:_spf.google.com include:spf.protection.outlook.com ip4:123.45.67.89 ~all
Jetzt kostenlos starten — ohne Kreditkarte
1 Mailbox · 1 Kampagne · 50 Prospects. Starte in unter 5 Minuten mit anicampaign.io.
设置DKIM——数字签名
DKIM如何工作
DKIM(域名密钥识别邮件)使用密钥对:邮件服务器上的私钥和DNS中的公钥。每封发出的邮件都用私钥签名。接收服务器从DNS读取公钥并验证签名。
在Google Workspace中设置DKIM
- 打开Google Admin Console (admin.google.com)
- 导航至应用程序 → Google Workspace → Gmail → 电子邮件身份验证
- 选择您的域名
- 点击"生成新记录"(推荐2048位)
- 将TXT记录添加到您的DNS(名称:
google._domainkey,类型:TXT) - 等待15-30分钟,然后点击"启动DKIM身份验证"
设置DMARC——策略
DMARC分阶段部署模型
永远不要从严格策略开始:
| 阶段 | 记录 | 含义 | 持续时间 |
|---|---|---|---|
| 第1阶段 | p=none | 仅监控 | 2-4周 |
| 第2阶段 | p=quarantine; pct=25 | 25%可疑邮件进垃圾箱 | 2周 |
| 第3阶段 | p=quarantine; pct=100 | 所有可疑邮件进垃圾箱 | 2-4周 |
| 第4阶段 | p=reject | 拒绝可疑邮件 | 永久 |
设置DMARC记录
第1阶段(开始):
名称: _dmarc.yourdomain.com
类型: TXT
值: v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com; fo=1
常见错误及如何避免
- 多个SPF记录: 只允许一个。将所有内容合并到一个记录中。
- 在SPF和DKIM之前设置DMARC: 先设置SPF和DKIM,然后用
p=none设置DMARC。 - SPF记录中DNS查询过多: 限制为10次。减少
include:指令。 - Cloudflare中代理状态错误: TXT记录必须设置为"仅DNS"。
- 直接从
p=reject开始: 始终从p=none开始并分析报告。
使用工具进行验证
- MXToolbox (mxtoolbox.com): SPF、DKIM和DMARC的独立检查器
- Google Admin Toolbox (toolbox.googleapps.com): 一步检查所有DNS记录
- mail-tester.com: 发送真实邮件并获得0-10的垃圾邮件评分
目标: mail-tester.com上9/10或更高。
常见问题
什么是SPF,为什么我需要它?
SPF是一种DNS记录,指定哪些服务器可以代表您的域名发送电子邮件。没有它,提供商无法验证您的邮件,通常会路由到垃圾邮件。
DKIM和SPF有什么区别?
SPF检查发送服务器的授权;DKIM对电子邮件进行加密签名。两者相互补充。
如果DMARC配置错误会怎样?
错误的"reject"策略DMARC可能导致所有邮件被拒绝。始终从p=none开始,分析2-4周的报告后再更改策略。
DNS更改需要多长时间生效?
15分钟到48小时;通常为1-4小时。
冷邮件是否需要SPF、DKIM和DMARC?
是的,三者都不可或缺。没有正确的身份验证,您的邮件很可能进入垃圾邮件。