追蹤ZDNET: 將我們加入為優先來源 在Google上.
如果你發送很多工作郵件,卻一直得不到回覆,你的郵件很可能已經被某人丟進了垃圾郵件資料夾.
這種情況發生的原因有幾個,並不一定與你的郵件內容有關。最常見的是,你的域名可能未經驗證,這讓接收郵件伺服器有充分的理由將你的訊息悄悄地存放在垃圾郵件資料夾中.
此外:如何讓燒錐郵箱保護你的收件匣 - 設置一個非常容易且免費
我見過這個讓人措手不及的情況比預想的還要常見,包括那些有真正優質郵件內容的團隊。幸運的是,有一個簡單的解決方案涉及三個名為 SPF、DKIM 和 DMARC 的 DNS 記錄。它們共同向互聯網證明你的郵件是合法的。它們還保護你的域名不被網絡罪犯劫持,以便他們可以在郵件中冒充你。
Gmail 和 Yahoo 於 2024 年 2 月開始對大量發送者執行這些認證要求。接著,Microsoft 於 2025 年 5 月為 Outlook.com、Hotmail 和 Live.com 添加了相同的 要求。如果你還沒有設置這些,它們就不再是選擇性的了。
三種協議各自針對電子郵件驗證中的不同弱點。SPF 確認發送您電子郵件的伺服器有權發送。DKIM 在您的傳出訊息中添加一個加密簽名,確認它們在傳輸過程中沒有被更改。
DMARC 將兩者結合起來,透過發布一個政策來告知接收伺服器當任一檢查失敗時該做什麼,並將驗證報告導回給您。
你確實需要這三者。單獨使用 SPF 無法阻止有人偽造收件人看到的「發件人」地址。單獨使用 DKIM 也無法抓獲從未經授權的伺服器發送的信件。只有同時運行這三者,你才能對交付問題和域名偽造獲得完整的保護。
發送方政策 (Sender Policy Framework) 是一個 DNS TXT 記錄,列出了所有被授權代表您的域發送郵件的 IP 位址和郵件伺服器。當收件人的郵件伺服器收到聲稱來自您的郵件時,它會將該記錄與發送伺服器的 IP 位址進行核對。如果該 IP 位址不在列表上,郵件就會失敗。
另外: 這是我最喜歡的郵件技巧,用於清理收件匣雜亂 - 自動化
設定它意味著登錄到您的域名註冊商(GoDaddy、Cloudflare、Namecheap 等)並在您域名的根目錄下添加一個 TXT 記錄。這是如何運作的:
首先從您的郵件服務獲取 SPF 值。Google Workspace、Microsoft 365 和大多數平台在其域名認證頁面提供您需要複製貼上的確切記錄值。對於 Google Workspace,它這樣設置:v=spf1 include:_spf.google.com ~all。
如果您透過多個服務發送郵件,您應該將它們堆疊在同一條記錄中,例如 v=spf1 include:_spf.google.com include:spf.protection.outlook.com ~all.
登入您管理域名DNS記錄的平台。這可能是GoDaddy、Cloudflare、Namecheap、Route 53等。在您的DNS頁面創建一個新的TXT記錄,將主機設置為@(您的根域名),並粘貼先前步驟中的SPF值。
那樣就這樣!請注意,您的域名只能有一個 SPF TXT 記錄,最多不超過 10 次DNS查詢。如果您創建第二個 SPF 記錄而不是編輯第一個,那麼兩者都會失效。所以請保持您的授權發送者列表精簡。
DKIM (DomainKeys Identified Mail) 使用公鑰加密技術來簽署您的傳出郵件。您的郵件伺服器會使用其持有的私鑰附加一個簽名,以便收件人能夠透過您在 DNS 中發布的對應公鑰來驗證。如果郵件在您的伺服器和收件人的收件匣之間的任何時間點被修改,那麼這個簽名檢查就會失敗。
此外: 這個簡單的電子郵件技巧讓我免於煩人的行銷垃圾郵件(而且免費使用)
Google Workspace、Microsoft 365,以及像 SendGrid 這樣的大多数主要電子郵件平台會為您生成一對 DKIM 金鑰。您的任務是複製它們提供的公鑰,並將其貼入您域名的 DNS 設定中作為一條新的 TXT 記錄。
雖然確切的設定步驟取決於您的電子郵件供應商和域名註冊商,但這裡提供一個一般性的概述,說明您需要做什麼。
Google Workspace、Microsoft 365、SendGrid、Mailchimp和其他電子郵件服務供應商,如果您導航到他們的域名認證設定頁面,將會為您生成一個DKIM記錄。例如,如果您使用Google Workspace,這可以在應用程式>中找到。 Google Workspace > Gmail 在 Google 管理控制台。點擊生成新的記錄並先複製這些值.
接下來,導航至您的域名註冊商的 DNS 設置頁面,並像設置 SPIF 時那樣創建新的 TXT 記錄。請注意,某些提供者可能還要求您將其作為 CNAME 記錄而不是 TXT 記錄添加,因此請參考您的電子郵件提供者的文檔。
將您從電郵提供者獲得的機主名稱和記錄值貼入新的DNS記錄。確保沒有拼寫錯誤,因為這可能會影響域名安全性。
現在,請返回您的電郵供應商的驗證設定。這裡是您為您的域名啟用DKIM簽名的位置。在Google Workspace中,這是通過重新訪問管理控制台中的「驗證電郵」頁面並點擊「開始驗證」來完成的。請記住,您應該在DNS記錄花時間在您的域名上傳播後24-48小時後執行此操作。
DKIM 對於轉發的郵件特別有用。轉發常常會中斷 SPF,因為 IP 位址會變更,但 DKIM 簽名通常保持完整無損。這意味著一封轉發的郵件在 SPF 單獨失敗的情況下仍然可以通過驗證。
DMARC (Domain-based Message Authentication, Reporting, and Conformance) 是使 SPF 和 DKIM 具有可執行性的政策層。沒有它,一個偵測到檢查失敗的接收伺服器沒有下一步要怎麼做的指示,而你對什麼失敗或為何沒有視野。這是如何啟用它並運行的:
首先,為 DMARC 報告創建一個專用的信箱,例如 reports@yourdomain.com。
絕大多數電子郵件提供者在其控制台提供 DMARC 產生器,但你也可以使用像 MXToolbox 或 DMARCLY 的第三方服務。
新增一個 TXT 記錄。主機名應該讀作 _dmarc。直接從你的 DMARC 產生器貼上記錄值。
請留意您專屬收件箱在2-4週內是否有任何錯誤報告。這將揭示需要處理的郵箱問題,以提升投遞率。
此外: 我使用真實的釣魚郵件測試了NordVPN的免費詐騙檢查器 - 這是它的表現
與其他兩者一樣,DMARC 是一個 TXT 記錄,這次新增到 _dmarc.yourdomain.com。一個簡單的起始記錄看起來像這樣:v=DMARC1; p=none; rua=mailto:reports@yourdomain.com。p=none 的設置表示接收伺服器不會對失敗的郵件採取任何行動,但會將您指定的地址發送總結報告。這些報告顯示哪些服務代表您發送郵件,以及它們是否通過驗證。
當您檢閱幾週的報告並確認您的合法郵件正無礙通過後,您可以加緊政策。切換至 p=quarantine 將失敗的郵件導向垃圾郵件,然後最終切換至 p=reject 完全阻擋它們。
在未檢閱報告的情況下直接切換至 p=reject,很可能是我最常看到的實施錯誤,結果會阻擋您自己的營銷或交易郵件。
每個協議都有其不足之處,其他協議可以補充。SPF 檢查發送伺服器,但不是收件人實際看到的「From」地址,因此攻擊者可以通過 SPF 而仍然偽裝你的域名。DKIM 驗證訊息完整性,但不檢查簽署域名是否與可見的發送者匹配。
DMARC 會強制這些元素之間的協調,並在你選擇的政策不符合協調時套用。
整體交付效能的提升是可以衡量的。根據Validity的2025年電子郵件基準報告,經過正確驗證的域名看到信箱放置率比未驗證的域名高約60個百分點。對於任何正在運行冷觸達活動或大量郵件列表的人來說,這個差距就是產生結果的活動和完全消失的活動之間的區別.
DNS 變更通常需要 15 分鐘到 48 小時才能在全球範圍內傳播。一旦這個時間窗口過去,免費工具可以立即告訴你所有設定是否正確。MX Toolbox 有分別針對 SPF、DKIM 和 DMARC 的檢查工具。你也可以發送測試郵件到 check@dmarcly.com,該郵件會回覆一份完整的認證報告給你的域名。
您的DMARC匯總報告是最有價值的持續信號。在您發布DMARC記錄後一兩天內,報告將開始送到您指定的地址。它們顯示了所有使用您域發送郵件的伺服器,以及每個伺服器是否通過驗證。定期閱讀它們是及早發現錯誤配置的最佳方法,在它們影響您的投遞率或允許您的域被濫用在詐騙活動中之前。
此內容由慣性聚合(RSS閱讀器)自動聚合整理,僅供閱讀參考。 原文來自 — 版權歸原作者所有。