SPF、DKIM、DMARC 是什么：邮件认证基础指南

电子邮件之所以通用，是因为它足够开放。但这种开放性也带来了伪造风险。没有邮件认证时，攻击者可以尝试发送看起来像是来自你域名的邮件。

SPF、DKIM、DMARC 就是现代邮件系统中最核心的三道认证机制。它们帮助收信服务器判断一封邮件是否可信。

SPF：谁被允许代表你的域名发信？

SPF 是 Sender Policy Framework 的缩写。它是发布在 DNS 里的 TXT 记录，用来声明哪些邮件服务器有权代表你的域名发信。

比如你同时使用营销邮件平台和事务邮件服务，那么 SPF 记录里应该包含这些实际发信服务。

常见 SPF 问题包括：

• 没有 SPF 记录
• 同一个域名存在多条 SPF 记录
• 遗漏了实际发信服务
• DNS lookup 数量过多
• 授权范围过宽

你可以先用 SPF 检查 看看域名是否发布了可识别的 SPF 记录。

DKIM：邮件内容有没有被篡改？

DKIM 是 DomainKeys Identified Mail 的缩写。它会给发出的邮件加上加密签名。公钥发布在 DNS 中，收信服务器用它来验证邮件在发送后是否被修改。

DKIM 通常按发信服务配置，所以你会看到 default、google、mail 或服务商自定义的 selector。

当你想确认某个 selector 是否在 DNS 中发布了公钥，可以使用 DKIM 检查。

DMARC：认证失败时该怎么处理？

DMARC 建立在 SPF 和 DKIM 之上。它告诉收信服务器：当认证失败时，应该如何处理这封邮件。常见策略包括：

• p=none：只监控，不拦截
• p=quarantine：把可疑邮件放入垃圾箱
• p=reject：拒收认证失败的邮件

DMARC 还可以配置聚合报告，让域名所有者了解谁在代表这个域名发信。

你可以用 DMARC 检查 查看当前发布的策略。

为什么 MX 记录也重要？

MX 记录不负责认证发出的邮件。它的作用是告诉互联网：发给你域名的邮件应该投递到哪里。

如果 MX 记录缺失或配置错误，别人可能无法给你的域名发邮件。你可以用 MX 查询 检查域名的收信配置。

推荐配置顺序

对大多数小型网站来说，实际操作顺序可以是：

1. 确认 MX 记录正常。
2. 为实际发信服务发布 SPF。
3. 在每个邮件服务商里启用 DKIM。
4. 添加 DMARC，并先使用 p=none 观察报告。
5. 确认所有合法发信源都能通过认证。
6. 有把握后，再逐步切换到 quarantine 或 reject。

如果还不确定所有合法邮件都能通过认证，不要直接上严格的 DMARC 策略，否则可能误拦自己的邮件。

它们和邮件送达率有什么关系？

邮件认证不能保证一定进入收件箱，但缺失认证会降低可信度。一个 SPF 错误、DKIM 缺失、没有 DMARC 策略的域名，在收信系统眼里会更不可靠。

良好的认证配置可以为正常邮件提供更稳的基础，同时降低域名被伪造的风险。

总结

SPF、DKIM、DMARC 不是可有可无的技术细节，而是现代域名邮件身份的基础安全栏。先检查你的域名当前发布了什么，再逐步修正每一条记录。