三种DNS记录能否保障邮件安全?
有三种DNS记录可以保护域名,防止邮件被归为垃圾邮件,同时使用这三种记录,能全面保障邮件安全,还能防止域名被劫持。
若发送大量工作邮件却未收到回复,邮件可能被放进对方的垃圾邮件文件夹。出现这种情况原因众多,不一定与邮件内容有关,最常见的原因是域名可能未经认证,这会让接收邮件的服务器将邮件归入垃圾邮件文件夹。
这种情况较为常见,即便邮件内容质量高的团队也可能中招。不过,使用三种名为SPF、DKIM和DMARC的DNS记录,能解决这一问题。它们能向互联网证明邮件合法,防止网络犯罪分子劫持域名并以名义发送邮件。
2024年2月,Gmail和雅虎开始对批量发件人强制执行这些认证要求;2025年5月,微软也对Outlook.com、Hotmail和Live.com增加了相同要求。若还未设置这些记录,就不能再忽视它们了。
1. SPF、DKIM和DMARC的实际作用
这三种协议分别解决了邮件认证中的不同薄弱环节。SPF验证发送邮件的服务器是否被授权;DKIM为发出的邮件添加加密签名,确认邮件在传输过程中未被篡改;DMARC则将前两者结合起来,发布一项策略,告诉接收服务器在任何一项检查失败时该如何处理,并将认证报告反馈。
需要同时使用这三种协议。仅使用SPF无法阻止有人伪造收件人在收件箱中看到的“发件人”地址;仅使用DKIM无法检测到来自未经授权服务器的邮件。只有同时使用这三种协议,才能全面解决邮件送达问题和域名仿冒问题。
2. SPF:授权代表你发送邮件的服务器
SPF(发件人策略框架)是一种DNS TXT记录,它列出了所有被授权代表域名发送邮件的IP地址和邮件服务器。当收件人的邮件服务器收到一封声称来自的邮件时,会将发送服务器的IP与该记录进行比对,若IP不在列表中,邮件验证将失败。
设置SPF需登录域名注册商(如GoDaddy、Cloudflare、Namecheap等),并在域名根目录添加一条TXT记录。具体操作如下:首先从邮件服务提供商那里获取SPF值,Google Workspace、Microsoft 365和大多数平台都会在其域名认证页面提供需要复制粘贴的准确记录值,以Google Workspace为例,其SPF值为:v=spf1 include:_spf.google.com ~all。若通过多个服务发送邮件,应将它们叠加在同一条记录中,例如:v=spf1 include:_spf.google.com include:spf.protection.outlook.com ~all。登录管理域名DNS记录的平台,可能是GoDaddy、Cloudflare、Namecheap、Route 53等,在DNS页面创建一条新的TXT记录,将主机设置为 @(即根域名),然后粘贴之前获取的SPF值。
需注意,域名只能有一条SPF TXT记录,且DNS查询次数不得超过10次。创建第二条SPF记录而不是编辑第一条会导致两条记录都失效,所以要保持授权发件人列表简洁。
3. DKIM:为每封邮件添加防篡改签名
DKIM(域名密钥识别邮件)使用公钥加密技术为发出的邮件签名。邮件服务器使用其持有的私钥附加一个签名,收件人可以根据在DNS中发布的匹配公钥进行验证。如果邮件在从服务器到收件人收件箱的过程中被修改,签名验证将失败。
Google Workspace、Microsoft 365和大多数主要的邮件平台(如SendGrid)都会为生成一对DKIM密钥。任务是将它们提供的公钥复制并粘贴到域名的DNS设置中,作为一条新的TXT记录。虽然具体的设置步骤取决于邮件提供商和域名注册商,但大致步骤如下:Google Workspace、Microsoft 365、SendGrid、Mailchimp和其他邮件服务提供商,进入它们的域名认证设置页面,都会为生成一条DKIM记录。例如,若使用Google Workspace,该设置位于Google管理控制台的“应用”>“Google Workspace”>“Gmail”中,点击生成一条新记录,先复制这些值。接下来,进入域名注册商的DNS设置页面,像之前设置SPF时一样创建一条新的TXT记录。需要注意的是,有些提供商可能要求添加一条CNAME记录而不是TXT记录,所以请参考邮件提供商的文档。将从邮件提供商那里获取的主机名和记录值粘贴到新的DNS记录中,确保没有拼写错误,因为这可能会影响域名安全。
返回邮件提供商的认证设置页面,在这里可以为域名启用DKIM签名。在Google Workspace中,这可以通过再次访问管理控制台中的“验证邮件”页面并点击“开始验证”来完成。由于DNS记录需要一段时间才能在域名中传播,所以应该在24 - 48小时后再进行此操作。DKIM对于转发的邮件特别有用,转发通常会破坏SPF,因为IP地址发生了变化,但DKIM签名通常会保持完整,这意味着当仅靠SPF验证会失败时,转发的邮件仍然可以通过认证。
4. DMARC:设置认证失败时的处理规则
DMARC(基于域名的邮件认证、报告和一致性)是一个策略层,使SPF和DKIM能够强制执行。如果没有DMARC,检测到验证失败的接收服务器将不知道下一步该怎么做,也无法了解哪些验证失败以及原因。
设置DMARC的步骤如下:首先,为DMARC报告创建一个专用的收件箱,例如reports@yourdomain.com。大多数邮件提供商在其控制面板中提供DMARC生成器,也可以使用第三方服务,如MXToolbox或DMARCLY。添加一条新的TXT记录,主机名应设置为 _dmarc,直接从DMARC生成器中复制记录值并粘贴。在接下来的2 - 4周内,密切关注专用收件箱中的任何失败报告,这将揭示邮箱中需要解决的任何问题,以提高邮件送达率。
和其他两种记录一样,DMARC也是一条TXT记录,这次添加到 _dmarc.yourdomain.com。一个简单的初始记录如下:v=DMARC1; p=none; rua=mailto:reports@yourdomain.com。p=none设置意味着接收服务器不会对验证失败的邮件采取任何行动,但会将汇总报告发送到指定的地址,这些报告显示哪些服务代表发送邮件,以及它们是否通过了认证。
在查看了几周的报告并确认合法邮件都能顺利通过验证后,可以收紧策略,将设置改为p=quarantine,将验证失败的邮件路由到垃圾邮件文件夹,最终改为p=reject,完全阻止这些邮件。在查看报告之前直接将设置改为p=reject,这可能是常见的实施错误,最终会导致自己的营销或交易邮件被拦截。
为什么不能只选择一种协议?
每种协议都有其不足之处,需要其他协议来补充。SPF检查发送服务器,但不检查收件人实际看到的“发件人”地址,因此攻击者可以通过SPF验证,同时仍然仿冒域名。DKIM验证邮件的完整性,但不检查签名域名是否与可见发件人匹配。DMARC确保所有这些元素保持一致,并在出现不一致时应用选择的策略。
综合来看,使用这三种协议对邮件送达率的提升效果显著。根据Validity的2025年邮件基准报告,经过正确认证的域名的收件箱送达率比未认证的域名高出约60个百分点。对于开展陌生邮件营销活动或批量发送时事通讯的人来说,这个差距意味着活动能否取得成效。
如何验证记录是否生效?
DNS更改通常需要15分钟到48小时才能在全球范围内传播。在此时间过后,免费工具可以立即告诉你所有设置是否正确。MX Toolbox分别提供了SPF、DKIM和DMARC的检查器,也可以向check@dmarcly.com发送一封测试邮件,它会回复域名的完整认证报告。
DMARC汇总报告是持续监测的最有价值的信号。在发布DMARC记录后的一两天内,报告将开始发送到指定的地址,它们显示了所有以域名发送邮件的服务器,以及每台服务器是否通过了认证。定期查看这些报告是尽早发现配置错误的最佳方法,以免影响邮件送达率或导致域名被用于网络钓鱼活动。那么,你是否已经开始设置这些DNS记录了呢?
下载和安装,对比 Hue(Hadoop 大数据平台的 Web 操作与管理界面))
