郵件身份驗證：SPF、DKIM 與 DMARC 詳解

郵件身份驗證是一組驗證郵件訊息寄件人身份的協議。三種主要的身份驗證方法是 SPF、DKIM 和 DMARC，它們共同運作以證明郵件確實來自您的網域，且在傳輸過程中未被篡改。

常見應用場景

保護您的網域免受郵件欺騙和釣魚攻擊

提高行銷和交易郵件的收件匣放置率

滿足 Gmail 和 Yahoo 等主要郵件提供商的要求

與郵件服務提供商建立寄件人信譽

通過 DMARC 報告了解您網域的未授權使用

支援需要安全通訊的行業的法規遵循

為什麼很重要

郵件身份驗證直接影響您的送達率和品牌保護。沒有正確的身份驗證，Gmail 和 Outlook 等郵件提供商更有可能將您的訊息標記為垃圾郵件或完全拒絕。主要郵件提供商現在要求批量寄件人進行身份驗證——Google 和 Yahoo 從 2024 年 2 月開始強制要求每天發送 5,000 封以上郵件的寄件人使用 SPF、DKIM 和 DMARC。身份驗證還可以防止不良行為者冒充您的網域發送損害您品牌聲譽的釣魚郵件。

運作原理

郵件身份驗證使用 DNS 記錄來驗證寄件人身份。SPF（寄件人政策框架）指定哪些郵件伺服器可以代表您的網域發送郵件。DKIM（網域密鑰識別郵件）為每封郵件添加加密簽名，接收伺服器可以根據您 DNS 中的公鑰進行驗證。DMARC（基於網域的訊息身份驗證、報告和一致性）將 SPF 和 DKIM 結合在一起，並告訴接收伺服器在身份驗證失敗時該怎麼做——隔離訊息、拒絕它或允許通過。當所有三個協議對齊時，接收伺服器可以信任您的郵件是合法的。

最佳實踐

同時實施所有三個身份驗證協議（SPF、DKIM、DMARC）

避免多個 SPF 記錄——將所有授權寄件人合併到一個記錄中

從 DMARC 政策 p=none 開始，在執行之前先監控

每週審查 DMARC 報告以識別您可能遺漏的合法寄件人

每當添加或移除郵件發送服務時更新 DNS 記錄

使用 2048 位元金鑰進行 DKIM 以確保強大的加密安全性

在發送活動之前使用 MXToolbox 或 EmailVerify 等工具測試身份驗證

隨時間逐漸移向更嚴格的 DMARC 政策（先隔離，然後拒絕）

常見問題

我需要所有三種身份驗證方法（SPF、DKIM、DMARC）嗎？

是的，實施所有三種提供最強的保護。SPF 和 DKIM 驗證郵件真實性的不同方面，而 DMARC 提供政策執行和報告。Gmail 等主要郵件提供商現在要求批量寄件人使用所有三種。

如果我的郵件身份驗證失敗會怎樣？

當身份驗證失敗時，接收伺服器可能會拒絕您的郵件、將其發送到垃圾郵件，或根據您的 DMARC 政策和接收伺服器的配置接受但帶有警告。身份驗證失敗會隨著時間損害您的寄件人信譽。

如何修復多個 SPF 記錄錯誤？

DNS 每個網域只允許一個 SPF 記錄。如果您有多個服務發送郵件，請使用 include 語句將所有授權寄件人合併到單一 SPF 記錄中。例如：v=spf1 include:_spf.google.com include:sendgrid.net -all

身份驗證更改需要多長時間才能生效？

DNS 更改通常在 24-48 小時內傳播，儘管許多伺服器更新更快。進行更改時使用較低的 TTL 值，以便更新快速傳播。在發送大型活動之前始終測試您的身份驗證。

郵件身份驗證

掌握電子郵件行銷和郵件送達率所需的所有術語，清晰簡明地為您解釋。

定義