邮件认证：SPF、DKIM 和 DMARC 详解

邮件认证是一组验证邮件消息发件人身份的协议。三种主要的认证方法是 SPF、DKIM 和 DMARC，它们协同工作以证明邮件确实来自您的域名，并且在传输过程中未被篡改。

常见应用场景

保护您的域名免受邮件欺骗和钓鱼攻击

提高营销和事务性邮件的收件箱投递率

满足 Gmail 和 Yahoo 等主要邮件提供商的要求

与邮件服务提供商建立发件人信誉

通过 DMARC 报告了解域名的未授权使用情况

支持需要安全通信的行业的法规合规

为什么很重要

邮件认证直接影响您的送达率和品牌保护。没有适当的认证，Gmail 和 Outlook 等邮件提供商更可能将您的邮件标记为垃圾邮件或完全拒绝。主要邮件提供商现在要求批量发件人进行认证——Google 和 Yahoo 从 2024 年 2 月起对每日发送 5000 封以上邮件的发件人强制要求 SPF、DKIM 和 DMARC。认证还可以防止不良行为者冒充您的域名发送损害品牌声誉的钓鱼邮件。

工作原理

邮件认证使用 DNS 记录来验证发件人身份。SPF（发件人策略框架）指定哪些邮件服务器可以代表您的域名发送邮件。DKIM（域名密钥识别邮件）为每封邮件添加加密签名，接收服务器可以根据您 DNS 中的公钥进行验证。DMARC（基于域名的消息认证、报告和一致性）将 SPF 和 DKIM 联系在一起，并告诉接收服务器在认证失败时该怎么做——隔离消息、拒绝它或允许通过。当所有三个协议都对齐时，接收服务器可以信任您的邮件是合法的。

最佳实践

同时实施所有三种认证协议（SPF、DKIM、DMARC）

避免多个 SPF 记录——将所有授权发件人合并到一条记录中

从 DMARC 策略 p=none 开始监控，然后再执行

每周查看 DMARC 报告以识别您可能遗漏的合法发件人

每当添加或删除邮件发送服务时更新 DNS 记录

使用 2048 位密钥进行 DKIM 以确保强大的加密安全性

在发送活动前使用 MXToolbox 或 EmailVerify 等工具测试认证

随时间逐步转向更严格的 DMARC 策略（先隔离，然后拒绝）

常见问题

我需要所有三种认证方法（SPF、DKIM、DMARC）吗？

是的，实施所有三种提供最强的保护。SPF 和 DKIM 验证邮件真实性的不同方面，而 DMARC 提供策略执行和报告。像 Gmail 这样的主要邮件提供商现在要求批量发件人使用所有三种。

如果我的邮件认证失败会怎样？

当认证失败时，接收服务器可能会拒绝您的邮件、将其发送到垃圾邮件或带警告接受，具体取决于您的 DMARC 策略和接收服务器的配置。认证失败会随时间损害您的发件人信誉。

如何修复多个 SPF 记录错误？

DNS 每个域名只允许一条 SPF 记录。如果您有多个服务发送邮件，请使用 include 语句将所有授权发件人合并到一条 SPF 记录中。例如：v=spf1 include:_spf.google.com include:sendgrid.net -all

认证更改需要多长时间生效？

DNS 更改通常在 24-48 小时内传播，但许多服务器更新更快。进行更改时使用低 TTL 值以便更新快速传播。在发送大型活动之前始终测试您的认证。

邮件认证

掌握邮件营销和邮件送达率所需的所有术语，清晰简明地为您解释。

定义