SPF、DKIM 和 DMARC 是电子邮件(Email)认证协议,可提高送达率(Deliverability)并保护您的品牌免受电子邮件(Email)欺骗。
SPF 可防止他人冒充您发送邮件,DKIM 为您的电子邮件添加了不可伪造的签章,而 DMARC 是总体安全策略。
本指南将说明如何在 Omnisend 中为您的电子邮件(Email)身份验证设置这些记录。
关于 SPF 记录
SPF (发件人策略框架)是一种电子邮件(Email)认证协议,允许域名所有者指定他们使用哪些邮件服务器从该域名发送电子邮件(Email)。使用不同服务发送其电子邮件(Email)的品牌需要在 DNS(域名系统)中发布 SPF 记录。这些记录列出了哪些 IP 地址被授权代表其域名发送电子邮件(Email)。
在 SPF 检查期间,电子邮件(Email)提供商会通过在 DNS 中查找“envelope from”地址中列出的域名来验证 SPF 记录。如果代表“envelope from”域发送电子邮件(Email)的 IP 地址未在该 SPF 记录中列出,则该邮件将无法通过 SPF 身份验证。
实施理由
SPF 记录可授权哪些邮件服务器代表您的域名发送电子邮件。这有助于防止垃圾邮件发送者伪造看起来像是来自您域名的电子邮件,从而保护您的发件人信誉并提高邮件入箱率。
受 SPF 保护的域名对垃圾邮件发送者和网络钓鱼者的吸引力更小,也更不容易被垃圾邮件过滤器列入黑名单。因此,来自您域名的合法电子邮件(Email)更有可能送达您客户的收件箱。
关于 DKIM 记录
DKIM(域名密钥识别邮件)是一种身份验证协议,它使用加密签名来验证电子邮件(Email)是否由授权发件人发送,并且在传输过程中未被修改。它允许某个组织(无论是原始发件人还是中介)对该消息负责。
对于收件人而言,DKIM 有助于确认哪些邮件是合法的,从而更容易过滤掉垃圾邮件或网络钓鱼企图。受 DKIM 保护的域名会建立起值得信赖的声誉,从而增加其邮件送达收件箱的几率。
关于 DMARC 记录
DMARC(基于域的消息认证、报告和一致性)是一种协议,可帮助域所有者增强电子邮件(Email)安全性。通过该协议,您能够定义有关电子邮件(Email)身份验证的策略,并指定在身份验证失败时要采取的措施。
DMARC 策略:
p=none (监控模式):
在“none”模式下,DMARC 充当观察者。这让您无需采取任何操作,即可接收关于电子邮件(Email)认证结果的详细报告。这会监控您的电子邮件(Email)认证,且不会影响投递。
p=quarantine (隔离模式):
当 DMARC 配置为“quarantine”策略时,未通过身份验证的电子邮件可能会被重定向到一个单独的文件夹,通常是收件人的垃圾邮件或隔离文件夹。这在监控和严格拒绝之间提供了一个折中方案,让您能够识别潜在威胁,而不会直接将其屏蔽。
p=reject (拒绝模式):
"reject"政策是最严格的。它指示电子邮件(Email)接收方直接拒绝未通过身份验证的消息。这种级别的强制措施为抵御未经授权或恶意的电子邮件(Email)提供了更高程度的保护。
在 Omnisend 中,Omnisend 建议您将 DMARC 设置为 p=none ,并将 SPF 和 DKIM 的对齐方式设置为alignment=relaxed。将策略选为 "none" 并将 SPF 和 DKIM 对齐方式设为 "relaxed",是专门为满足Gmail 和 Yahoo 等主要电子邮件(Email)提供商的要求而设计的。此配置允许您监控身份验证,而不会对电子邮件(Email)投递产生负面影响。
对于寻求更高级 DMARC 实施的用户,DMARCIAN 等第三方工具可提供全面的功能和见解。这个工具可以帮助您更深入地了解电子邮件(Email)身份验证,从而实现更精细的控制并增强安全措施。为此,您可以观看下方的视频。
总之,DMARC 为您提供了加强您的电子邮件(Email)域的工具,以抵御网络钓鱼和欺诈活动。通过选择策略和配置,您可以根据您的安全偏好,在监控、操作和严格执行之间取得平衡。
注意:要验证您的域名以发送电子邮件(Email),至少以下记录中必须有一条是有效的:SPFDKIM,或DMARC。如果这些记录均无效,则无法验证该域名,并且您将无法使用它来发送电子邮件(Email)。
💡 如果主域名(例如 shop.com)具有有效的 DMARC 记录,那么其所有子域名(例如 newsletter.shop.com)将自动继承相同的有效 DMARC 记录,除非您专门为子域名设置了不同的 DMARC 记录。
添加 SPF 和 DKIM 记录
以下是最受欢迎的 DNS 提供商列表。点击DNS提供商名称,您可以找到关于如何将给定记录添加到您的提供商的教程或基本信息。
注意:当您搜索关于添加记录的教程时,请记住,您只需查看 TXT 格式的部分。
不知道您的 DNS 提供商是谁? 您可以轻松查明此处
要检查您的记录是否已正确添加,建议您点击此链接,并将您的域名粘贴到 SPF 和 DKIM 部分。如果有任何不正确的地方,您就可以在那里看到所有错误。
重要说明
域名签名在 Omnisend 中是免费的为所有用户。
要添加 SPF 和 DKIM 记录,请选择您想要使用的域名。建议您使用您的店铺域名(例如,
yourstore.com).您需要将提供的记录添加到您的域名 DNS。对于自动化流程(Automation)邮件,您可以使用相同的域名或签署一个子域名(例如,
@news.yourstore.com,@email.yourstore.com,@shop.yourstore.com).为子域名签名的过程是相同的。在向您的 DNS 提供商添加记录后,更改需要时间来传播。 这个过程可能需要 30 分钟到 48 小时,具体取决于您的提供商。
身份验证无法保证邮件送达收件箱。虽然域名认证(SPF、DKIM)至关重要,但它只是良好送达率(Deliverability)的一部分。您仍然需要遵循最佳实践以保持良好的发件人信誉
使用身份验证可以保护您的品牌,并确保您的电子邮件(Email)能够最大程度地可靠送达到您客户的收件箱。
故障排除
SPF 验证错误
在验证您的发件人域名时,Omnisend 会检查您的 SPF 记录,并会标记出任何导致无法验证的问题。如果发现 SPF 错误,Omnisend 将显示确切的错误类型,并提供指导说明来帮助您修复。这些错误包括:
发现多个 SPF 记录:一个域名只能有一个 SPF 记录。如果您的 DNS 设置包含多个以...开头的 TXT 记录
v=spf1, SPF 验证将失败。DNS 查询过多:SPF 记录的数量上限为10 次 DNS 查询。如果您的 SPF 记录包含过多
include: 或类似机制,即使记录看起来有效,SPF 验证也会失败。
有关完整的分步故障排除,请参阅 Omnisend 专题指南:排查 SPF 错误。
要为子域名添加 SPF,仅输入子域名中的名称字段(例如,电子邮件(Email)而不是email.domain.com).在某些情况下,使用也可能需要 @ 符号,因为它在 DNS 设置中代表根域。
DKIM 验证错误
如果您正在使用 GoDaddy 作为您的 DNS 提供商,并且在检查记录是否已正确添加时,您看不到任何关于 DKIM 的信息,请仔细查看“Name”部分。Omnisend 为您提供一个以您的域名结尾的完全限定名称。添加 TXT 记录时,请勿在 "Name" 字段中包含您的域名。如果提供给您 something._domainkey.yourdomain.com,只需在 “Name” 字段中输入 something._domainkey。
DMARC 验证错误
如果您在验证 DMARC 记录时遇到困难,请按照以下步骤操作:
检查记录的名称值是否设置为
_dmarc.yourdomain.com。如果验证问题仍然存在,请尝试将“Name”值更改为
_dmarc。
如需进一步协助,请通过应用内聊天或发送电子邮件(Email)至 [email protected] 联系 Omnisend 支持团队。