跳转到主要内容
SPF、DKIM 和 DMARC 记录

进一步了解 SPF 和 DKIM 记录以及如何正确添加它们

Ira avatar
作者:Ira
超过 2 个月前更新

作为营销人员,您可能对 SPF、DKIM 和 DMARC 这三个缩写词并不陌生,但了解它们的真正影响可以彻底改变您的电子邮件策略。

SPF 可防止冒名顶替,DKIM 可为电子邮件添加不可伪造的封印,而 DMARC 则是最重要的安全策略。

现在正是深入研究这些身份验证协议的理想时机,可确保您的电子邮件安全地进入收件箱。

本指南将对这一过程进行说明,使您能够提高送达率、保护品牌并提升电子邮件营销的效率。

关于 SPF 记录

SPF(发件人策略框架)是一种电子邮件验证协议,允许域名所有者指定使用哪些邮件服务器从该域名发送电子邮件。使用不同服务发送电子邮件的品牌需要在 DNS(域名系统)中发布 SPF 记录,这些记录列出了哪些 IP 地址被授权代表其域名发送电子邮件。

在 SPF 检查过程中,电子邮件提供商通过在 DNS 中查找 "信封发件人 "地址中列出的域名来验证 SPF 记录。如果代表 "信封发件人 "域名发送电子邮件的 IP 地址未在 SPF 记录中列出,则邮件无法通过 SPF 验证。


实施的理由

如果域名发布了 SPF 记录,垃圾邮件发送者和网络钓鱼者就不太可能伪造冒充来自该域名的电子邮件,因为伪造的电子邮件更有可能被检查 SPF 记录的垃圾邮件过滤器捕获。因此,受 SPF 保护的域名对垃圾邮件发送者和网络钓鱼者的吸引力较小。由于受 SPF 保护的域名对欺骗地址的吸引力较小,因此被垃圾邮件过滤器列入黑名单的可能性也较小。因此,最终来自该域名的合法电子邮件更有可能发送给您的客户。

重复的 SPF TXT 记录

SPF 通常被违反的一个方面是,一个域只能有一条 SPF 记录。为什么多个 SPF 记录如此常见?部分原因是,当企业部署不同的服务时,每个提供商通常都会指示它们创建 SPF 记录。对于拥有多个 SPF 记录的企业来说,将这些记录合并到一个声明中就能很快解决这个问题。例如,如果有以下两条记录需要验证:

两个 SPF 记录

"v=spf1 include:_spf.google.com ~all"

"v=spf1 include:mailgun.org ~all"

两个 SPF 记录合并

"v=spf1 include:mailgun.org include:_spf.google.com ~all"

关于 DKIM 记录

DKIM(DomainKeys Identified Mail,域名密钥识别邮件)是一种协议,它允许组织负责以邮箱提供商可以验证的方式传输邮件。这种验证是通过加密验证实现的。对于电子邮件收件人来说,它的主要优点是可以可靠地识别合法电子邮件流,从而使基于域名的黑名单和白名单更加有效。这也可能使某些类型的网络钓鱼攻击更容易被发现。

DKIM 让一个组织在信息传输过程中对信息负责。该组织是信息的处理者,可以是信息的发起者,也可以是中间人。他们的信誉是评估是否信任信息传递的基础。

关于 DMARC 记录

DMARC(基于网域的消息验证、报告和一致性)是一项协议,可帮助像您这样的网域所有者提高电子邮件安全性。为实现这一目标,您可以定义有关电子邮件验证的策略,并指定验证失败时应采取的措施。

DMARC 政策:

  • p=none(监控模式):
    在 "无 "模式下,DMARC 的功能是观察。它允许您接收电子邮件验证结果的详细报告,而不采取任何行动。这类似于诊断阶段,您可以在不影响电子邮件发送的情况下评估潜在问题。

  • p=quarantine(隔离模式):
    当 DMARC 配置了 "隔离 "策略时,验证失败的电子邮件可能会被重定向到一个单独的文件夹,通常是收件人的垃圾邮件或隔离文件夹。这提供了一个介于监控和严格拒绝之间的中间地带,使您可以识别潜在威胁,而不会直接阻止它们。

  • p=reject(拒绝模式):
    拒绝 "策略最为严格。它指示电子邮件接收方直接拒绝未通过验证的邮件。这种执行级别可确保对未经授权或恶意电子邮件提供更高级别的保护。

在 Omnisend 中,我们建议将 DMARC 设置为 p=none,SPF 和 DKIM alignment=relaxed。选择 "无",并将 SPF 和 DKIM 对齐设置为 "宽松",是专门为满足 Gmail 和 Yahoo 等主要电子邮件提供商的要求而定制的。通过这种配置,您可以监控身份验证,而不会对电子邮件的发送产生不利影响。

对于那些寻求更复杂的 DMARC 实施的用户,DMARCIAN 等第三方工具可提供全面的功能和见解。该工具可以更深入地了解电子邮件验证,从而实现更精细的控制和更强的安全措施。为此,您可以观看下面的视频。

总之,DMARC 为您提供了加强电子邮件域防范网络钓鱼和欺诈活动的工具。通过选择策略和配置,您可以根据自己的安全偏好在监控、行动和严格执行之间取得平衡。

请注意,要成功验证您的域名用于发送电子邮件,SPF、DKIM 或 DMARC 中至少有一项必须有效。如果这些记录中的任何一项未通过验证,您将无法验证域名,也就无法选择该域名用于发送电子邮件。

重要 💡 如果一个主域(例如 shop.com)具有有效的 DMARC 记录,那么它的所有子域(例如 newsletter.shop.com)都将自动继承相同的有效 DMARC 记录,除非您特别选择为子域设置不同的 DMARC 记录。

添加 SPF 和 DKIM 记录

下面列出了最受欢迎的 DNS 提供商。点击 DNS 提供商名称,您可以找到有关如何向提供商添加给定记录的教程或基本信息。

重要提示:当您搜索添加记录的教程时,请记住您只需要查看 TXT 格式的部分。

不知道您的 DNS 提供商是谁?您可以在这里轻松找到。

要检查记录是否添加正确,建议您访问,并将域名粘贴到 SPF 和 DKIM 部分。如果有不正确的地方,您可以在这里看到所有错误。

最后的修饰

Omnisend 的域名签名对所有用户都是免费的。

重要说明:要添加 SPF 和 DKIM 记录,您需要想好要使用的域名。您必须将我们提供的记录添加到您的 DNS 中,因此我们建议您使用您的店铺名称。此外,对于自动化电子邮件,您可以签署一个子域或使用同一个域;子域可以是 @news.domainexample.com;@email.domainexample.com;@shop.domainexample.com 等。签署子域的过程与签署域名相同。您必须在 DNS 中为子域添加我们提供的记录。

请务必记住,使用身份验证并不能保证每封邮件都能送达客户收件箱--您需要专注于提高邮件的送达率!但是,它可以维护您的品牌声誉,确保您的邮件有最大可能到达预定目的地。

⚠️故障排除

DKIM 记录有问题

如果您使用 GoDaddy 作为 DNS 提供商,在检查记录是否正确添加时,看不到任何有关 DKIM 的信息,请仔细查看 "名称 "部分。我们会为您提供一个以您的域名结尾的全称,请不要在添加 TXT 记录时在 "名称 "字段中包含您的域名。如果给您的是 something._domainkey.yourdomain.com,请在 "名称 "字段中输入 something._domainkey

未找到 SPF 记录

  • 如果您的 DNS 中添加了多个 SPF 记录,则会出现这种常见问题。在这种情况下,我们建议您合并这些记录。返回到重复 SPF TXT 记录部分,您会发现一个合并记录的示例。
    使用此服务验证 SPF 记录的数量: https://dmarcian.com/spf-survey/

  • 如果要为子域添加 SPF 记录,请跳过主域,只在 "名称 "部分包含子域的名称。

  • 此外,在某些情况下,您可能会被要求只添加 @ 符号而不是记录名称。在 DNS 区域中,@ - 代表域名,因此用 @ 符号代替就足够了。

DMARC 记录的问题

如果在验证 DMARC 记录时遇到困难,请按照以下步骤操作:

  • 检查记录的 Name 值是否设置为 _dmarc.yourdomain.com。

  • 如果验证问题仍然存在,请尝试将 Name 值更改为 _dmarc。

这是否解答了您的问题?