SPF、DKIM和DMARC术语解析：如何设置这些记录来提高开发信送达率

在企业邮箱的注意事项中提到过SMTP协议以及如何设置，那么本篇文章将从技术角度讨论企业邮箱的一些设置，进而提高外贸开发信的送达率。

SPF、DKIM 和 DMARC 术语解析

SPF、 DKIM、 DMARC 三种需要配置的 DNS 记录，主要用于验证收到的邮件是否经过授权服务器的验证。以前的域名邮件服务器的TXT记录都是手动添加的，并不像现在可以一键绑定企业邮箱并自动完成SPF、DKIM 和 DMARC记录的设置。

先简单了解以下三个概念吧，不会做深入研究，感兴趣的话可以自己查找更多内容。

SPF 记录

全称为 Sender Policy Framework，即发件人策略框架，主要用于防止伪造邮件发送人。

假如你的邮箱服务器接收到了一封来自于 111.111.111.111 这个IP地址的邮件，并声称发件人是 admin@example.com。这时候你的邮箱服务器就会去检索这个发件人是否是伪造的，具体来说就是通过查询 example.com 的SPF记录中是否包含并允许 111.111.111.111 这个IP地址。若允许则会正常收信；若不允许则会则通常会退信，或将其标记为垃圾/仿冒邮件。

DKIM 记录

与SPF记录类似，全称为 DomainKeys Identified Mail ，即域名密钥识别邮件，也是一种电子邮件验证方法，防止他人冒充合法域名。

在发送邮件时，将会携带一段由私钥加密的字段，接收者可以通过查询 DNS 获取 DKIM 记录中的公钥进行解密，这样就达到了验证邮件合法性的目的。

假如 Mark 想欺骗为 example.com 工作的John，让他给发送公司的机密信息。Mark 可以给 John 发送一封看似来自“ bob@example.com”的电子邮件，以骗取他的信任，让 John 误以为 Mark 也在为 example.com 工作。而没有通过 DKIM 和 SPF 的电子邮件会被标记为“垃圾邮件”，那么 John 甚至可能永远不会看到 Mark 的恶意电子邮件，因为它要么进入了他的垃圾邮件文件夹，要么被电子邮件服务器完全拒绝。

DMARC 记录

DMARC 记录是对 SPF、DKIM 记录的一种补充，在使用 DMARC 记录前必须要先设置 SPF、DKIM 记录。

检查各项记录是否设置正常

简单方法

1.使用谷歌企业邮箱给任意个人Gmail邮箱发送测试电子邮件。

2.打开个人Gmail邮箱，找到已接收的测试邮件，点击右上角的三个点，选择“显示原始邮件”，内容中列出了这三种记录的状态，都显示为“PASS”时，即设置正常。

使用终端命令行检查SPF、DKIM和 DMARC

不管是Macos还是Windows，都可以使用终端或者CMD命令行来检查是否成功设置这三个记录。

SPF 记录检查

以Macos为例，打开终端，输入“nslookup -type=txt example.com”，回车即可显示相应的结果。

若显示：“v=spf1 include: spf.google.com ~all”，则SPF记录设置正确。

DKIM 记录检查

由于无法找到 Selector 此方式暂停使用，博主正在寻找解决办法……

DMARC 记录检查

以macos为例，打开终端，输入nslookup -type=txt _dmarc.example.com，回车即可显示相应的结果。

若显示：“v=DMARC1”，则DMARC记录设置正确。

这里推荐一个网站 MxToolbox ，打开后输入域名即可检查SPF、DMARC、DKIM等记录（DMIK仍然需要选择器才可以检查）。

如何正确配置SPF、DKIM 和 DMARC记录

配置 SPF 与 DMARC 记录

SPF和DMARC记录在验证域名的时候会在Cloudflare中自动添加，无须进行设置，省下了不少的麻烦，但有的读者并没有使用Cloudflare的任何服务，因此我这里列举一个手动添加的方法。

提示：强烈建议将域名转移至Cloudflare中解析，由于我所有的域名都已转移至Cloudflare，配置教程就以此为例，DNS记录添加的方式基本上都是一样的。

SPF配置步骤如下：

1.打开并登录域名托管服务商的管理控制台，如：Cloudflare、Namesilo、Namecheap。

2.选择“添加记录”。

• 类型：TXT
• 名称：@，如果您要为子网域添加 SPF 记录，请输入子网域（而非 @）
• TTL：1小时（3600秒），若不允许修改此字段的值，则请默认。
• 内容（值）：v=spf1 include:_spf.google.com ~all

3.保存即可。

DMARC配置步骤如下（配置前，请先完成SPF和DMIK记录的设置，DKIM见下方）：

1.选择“添加记录”。

• 类型：TXT
• 名称：@，如果您要为子网域添加 SPF 记录，请输入子网域（而非 @）
• TTL：1小时（3600秒），若不允许修改此字段的值，则请默认。
• 内容（值）：v=DMARC1; p=none; rua=mailto:postmaster@example.com

需要自行将内容中example.com的域名邮箱改为自己的。

2.保存即可。

补充：设置过程中有些参数比较复杂，我无法全部列举出来，大家可以在Google
Workspace Help中找到参数的详细信息，自行修改。

配置 DKIM

DKIM并不会手动添加，需要在谷歌企业邮箱的管理后台手动开启。

步骤如下：

1.登录谷歌管理后台

2.上方搜索“对电子邮件进行身份验证”，点击并进入。

3.在 “DKIM 身份验证” 一栏中，选择需要开启的域名，点击“生成新的记录”。

4.打开并登录域名托管服务商的管理控制台，这里还是以Cloudflare为例，选择“添加记录”并保存。

• 类型：TXT
• 名称：google._domainkey
• TTL：默认为自动
• 内容（值）：为刚刚生成的内容

5.返回刚刚生成记录的页面，点击启用身份验证即可，验证需要等待大约48小时，实际上几个小时就可以了。

以上就是本篇文章的全部内容了，正确设置SPF、DKIM 和 DMARC这三项记录可以显著提高外贸开发信的送达率，降低被识别为垃圾邮件的风险。当然这是从技术角度来考虑的，开发信送达率低提高还有一些其他技巧，推荐阅读《如何提高外贸开发信的送达率？（解析与技巧汇总）》。