关注ZDNET： 将我们设为首选信息源 于谷歌。

ZDNET核心要点

• 有三项DNS记录可护汝域，使汝邮件免入垃圾箱。
• 三者皆行，则周全无虞。 
• 亦能防汝域遭劫持。

若君频寄工作之函，而终不得回音，君之函甚或落人 spam 文件夹矣。 

此中缘由，非必关乎函中内容。多见者，君之域未得认证，此使收件服务器有由，默将君之函置 spam 文件夹中。 

复有：何谓烧信之术可护吾之邮匣——设之易且无费

吾尝见此术，往往出人意料，即有 email 内容甚佳之团队亦不免罹难。幸而，有易解之法，涉 SPF、DKIM、DMARC 三 DNS 记录。三者合用，可昭示于互联网，使众人信吾 email 之真。亦能护吾域免遭网络罪犯劫持，使其得以冒吾之名行骗于 email 间。

Gmail與Yahoo自二零二四年二月起，始行此認證之制於大量發信者。繼此之後，Microsoft於二零二五年五月，亦於Outlook.com、Hotmail、Live.com添置同制。若君尚未設此，則此制非復可選矣。

SPF、DKIM、DMARC者，實際為何能之

三协议各攻一弊于邮件认证。SPF验发信之服务器得授权。DKIM加密钥之印于出信，证其未遭变乱。 

DMARC者，合二者之由也。其布策于众，示受信之师，令其遇检之失，各循其道；且导认证之报，返诸尔。

尔诚需三者。独用SPF，不能阻人伪作“发自”之址于受者之箱。独用DKIM，亦不能察非授权服务器所发之电。必三者并用，方得周全之御，既解投递之困，复防域名之诈。

一、SPF：授权代尔发信之服务器

SPF（发件人策略框架）者，乃DNS TXT之记录，列明凡有权代为发送贵域之邮件之IP地址及邮件服务器。当收件之邮件服务器接获声称源自汝之消息时，必检视该记录于发送服务器之IP。若IP不在列，则消息不达。

复有： 此乃吾最爱之邮件妙术，可自动清理收件箱之杂乱。

此之设，须登域名注册商（如GoDaddy、Cloudflare、Namecheap等）之门，于域根添一TXT之录。其法若此： 

1. 首取SPF之值于邮服务。Google Workspace、Microsoft 365及众平台，皆于其域认证之页供所需之录值，可直抄之。Google Workspace之例，若此：v=spf1 include:_spf.google.com ~all。 

2. 若通过众服务寄邮件，当并置同录，如 v=spf1 include:_spf.google.com include:spf.protection.outlook.com ~all 

3. 登入管理域名DNS记录之平台。此平台或为GoDaddy、Cloudflare、Namecheap、Route 53等。于DNS页面创建新TXT记录，设主机为@（根域名），并粘贴前步所得SPF值。

此易如反掌！然须记，汝域仅能有一SPF TXT记录，DNS查询不得过十。若另立SPF记录，非改旧者，则二者俱废。故当使授权发信者之列，务求精简。 

2. DKIM：为每封邮件加防篡改之签章

DKIM（DomainKeys Identified Mail）以公钥密码术签发君之发信。君之邮伺附以私钥之印，俾受者得验之，以君所布于DNS之公钥相合。若邮件于君伺与受者之箱间有所更易，则此印之验必败。

亦然： 此简法邮件，可免烦营销之扰（且免费)

Google Workspace、Microsoft 365及SendGrid等主要邮件平台，皆能为你生成DKIM密钥对。汝之责，乃取其公钥，入域之DNS设置，为TXT记录新添之。 

虽确然之设置步骤因汝之邮电供者与域注册者而异，然此乃概略之要旨，汝当知之。 

1. 若汝用Google Workspace、Microsoft 365、SendGrid、Mailchimp诸邮电供者，则当至其域认证设置之页，自会为汝生成DKIM之录。譬如，若汝用Google Workspace，此设于>谷歌工作空间(Google Workspace)>谷歌管理控制台之Gmail。点击以生成新记录，先复制此值。 

2. 次，往域名注册商之DNS设置页，仿此前设SPIF时，立一新TXT记录。然须记，或有提供者，亦需此作CNAME记录，非TXT，故当参/email提供者之文牍。 

3. 将主机名及电子邮件服务商所提供之记录值，填入新之DNS记录。慎防错字，盖此可影响域之安全也。

4. 今复返至邮箱服务商之认证设置。此乃启用 DKIM 签名于域之所在。于 Google Workspace，此举需重访管理控制台之“认证邮箱”页面，并点“开始认证”。切记，须待二十四至四十八时辰，因 DNS 记录需时传播于域中。 

DKIM之于转发之信尤效。转发常破SPF，盖因IP之址易也，然DKIM之署则多完存。是故转发之电，犹可通验，虽SPF独用则败。 

3. DMARC：定验败之时所行之事

DMARC（域消息认证、报告及合规性）者， SPF与DKIM之政策层也，使二者得以施行。无之，则受信之服务器遇检核不验，无以知所行，而汝亦无从察其故。今述其施行之法：

1. 首当为DMARC之报告设专匣，如 reports@yourdomain.com 是也。 

2. 大多电子邮件服务商于其仪表盘内提供DMARC生成器，然亦可用第三方服务，如MXToolbox或DMARCLY. 

3. 增立一TXT记录。主机名当为_dmarc。直接自DMARC生成器中粘贴记录值。 

4. 候尔专箱，二四周内，察失报之讯。此可显箱之弊，须治以臻善达。

复： 吾试NordVPN之免费诈检器，以真仿电，其效若何。

若他二者然，DMARC亦为TXT之记录，今时增于_dmarc.yourdomain.com。其初之记录，若此：v=DMARC1; p=none; rua=mailto:reports@yourdomain.com。p=none之设，谓接收之服务器于失败之消息无所行，然将寄汝所指定之地址以总集之报告。其报告示何服务代汝发送，及其是否通过认证。

既阅数周之报，而确认合法之函畅行无阻，则可收束其策。移至p=quarantine，使不逮之讯归诸 spam，终至p=reject，则可尽阻之。 

不察报而径行p=reject，殆为吾所常见之谬，终致阻己之营销或交易之函。

何故不能择一而用

各协议有隙，他者补之。SPF验发件服务器，然不验收件者所见之“From”地址，故攻击者可过SPF而仍冒用汝域。DKIM验消息之全，然不验签发域是否与可见发件者相符。 

DMARC者，使诸要素相协，当有失其序，则施以所选之策。

合而观之，其成效可量。据Validity之《2025年邮件基准报告》载，认证妥当之域，其入收件箱之率，较未认证者，约高六十个百分点。凡行冷触达之策或广发简报者，此差即成败之别，一者有果，一者尽泯。

何以验吾记录之效

DNS之变，通常自十五刻至四十八时，方能遍传寰宇。及此期过，可即以利器验之，察诸事配置是否允当。MX Toolbox别设检核，辨SPF、DKIM、DMARC。亦可发试函于check@dmarcly.com，此函将应，以详尽之认证报章，言汝域之事。

复有： 最佳电子邮件托管服务2026：专家测试与评审

汝之DMARC總體報告，乃最貴重之持續信號。發布DMARC記錄後，一兩日內，報告即將抵達汝所指定之地址。其顯示凡以汝域發送電子郵件之伺服器，及其是否通過認證。定期閱讀之，乃及早發現錯誤配置之最佳之法，俾其未及影響汝之投遞率，亦未令汝之域被濫用於詐騙活動。