发件人政策框架 (SPF) 是一种电子邮件身份验证方法,用于指定有权为您的网域发送电子邮件的邮件服务器。SPF 有助于防止其他人仿冒您的域名,并能确保邮件正确递送到目标位置。邮件服务器在接收来自您网域的邮件时,可使用 SPF 来验证看似来自您网域的邮件是否确实来自您的网域。
- SPF 有助于防范仿冒邮件 - 垃圾邮件发件人可能会伪造您的域名或单位信息来发送虚假邮件,让邮件看起来好像是您的单位发送的。此类邮件即称为仿冒邮件。仿冒邮件可能会被用于恶意目的,例如传达虚假信息、发送有害软件或诱骗用户提供敏感信息。SPF 可帮助邮件接收服务器验证发送自您网域的邮件是否确实来自您的单位,以及是否由您授权的邮件服务器发出。
- SPF 有助于将邮件准确递送到收件人的收件箱 - SPF 可帮助防止来自您网域的邮件被递送到“垃圾邮件”文件夹。如果您的网域未使用 SPF,那么邮件接收服务器就无法验证看似来自您网域的邮件是否确实由您发送。因此,邮件接收服务器可能会将正常邮件发送到收件人的垃圾邮件文件夹,也可能会拒绝正常邮件。
注意:如果您的域名是在注册 Google Workspace 时通过 Google 合作伙伴购买的,那么您可能无需设置 SPF 记录。检查 SPF 是否是由您的域名托管服务商管理的设置。
电子邮件身份验证的最佳做法
我们建议您始终为您的网域设置以下电子邮件身份验证方法:
- SPF:帮助服务器验证显示为来自特定网域的邮件是否由该域名所有者授权的服务器发送。
- DKIM:会为每封邮件添加数字签名。这样可以让接收服务器验证邮件是否为假冒,以及在传输过程中是否被更改。
- DMARC:使用 SPF 和 DKIM 对邮件进行身份验证,并管理可疑的传入邮件。
准备工作
在为您的单位启用 SPF 之前,请仔细阅读此部分中的信息。
如果您无法找到您的结算记录,可以在线搜索您的域名托管服务商。互联网名称与数字地址分配机构 (ICANN) 是一家收集域名信息的非营利组织。您可以使用 ICANN 查询工具查找您的域名托管服务商。
- 访问 lookup.icann.org。
- 在搜索字段中输入您的域名,然后点击 Lookup(查询)。
- 在搜索结果页面向下滚动到 Registrar Information(注册商信息)。此处的注册商通常就是您的域名托管服务商。
域名转销商
某些域名是由转销商通过单独的注册商托管的。如果您无法通过所列的注册商信息登录或注册商字段为空,说明您的域名托管服务商可能是转销商。
- 在 ICANN 查询结果页面中,向下滚动到 Raw Registry RDAP Response(原始注册 RDAP 响应)。
- 查找 Reseller(转销商)条目。
- 转到转销商的网站。
- 通过您用于购买(或转移)域名的凭据登录。
如果您忘记了自己的密码,可以联系转销商的支持团队。
如果记录中没有列出转销商,请联系所列注册商的支持团队以寻求帮助。
第三方电子邮件提供商
您的网域通过第三方电子邮件服务提供商发送的正常邮件可能无法通过 SPF 检查。如果发生这种情况,邮件接收服务器可能会将来自第三方提供商的邮件发送到“垃圾邮件”文件夹。
要确保第三方提供商发送的邮件能够通过 SPF 检查,请执行以下操作:
- 确认提供商的 SPF 记录。
- 配置 SMTP 中继以通过网域或网络转送邮件。
要为您的网域启用 SPF,请在域名提供商的管理控制台中更新 SPF TXT 记录。
TXT 记录是一种域名系统 (DNS) 记录,包含向网域外的服务器和其他来源提供的文本信息。要了解详细信息,请参阅关于 TXT 记录。
有关详细步骤,请参阅为您的网域启用 SPF。
(可选)检查您当前的 SPF TXT 记录
您的域名提供商可能已经为您设置了 SPF TXT 记录。如需确认,请使用 Google 管理员工具箱中的检查 MX 功能:
- 转到 Google 管理员工具箱。
- 输入您的域名。
- 点击执行检查!
- 测试完成后,请点击有效的 SPF 地址范围。
- 查看 SPF 结果。其中应包括:
_spf.google.com_netblocks.google.com后跟几个 IP 地址_netblocks2.google.com后跟几个 IP 地址_netblocks3.google.com后跟几个 IP 地址
第 1 步:创建 SPF TXT 记录
SPF TXT 记录定义了可为您网域发送邮件的邮件服务器。
每个网域只能有一个 SPF TXT 记录。不过,同一网域的 TXT 记录可以指定多个可为该网域发送邮件的服务器和网域。
TXT 记录内容
如果贵单位发出的所有电子邮件都是通过 Google Workspace 发送的,请为您的 TXT 记录使用以下文本行:
v=spf1 include:_spf.google.com ~all
重要提示:如果除了 Google Workspace 以外,贵单位还通过以下一种或多种方式发送邮件,则必须创建自定义 SPF TXT 记录:
- 通过其他服务器发送邮件。
- 使用第三方邮件提供商。
- 网站使用了会生成自动电子邮件的服务,例如“与我们联系”表单。
例如:
v=spf1 ip4:192.168.0.1/16 include:_spf.google.com include:sparkpostmail.com ~all
您可以参考 TXT 记录的服务器信息和 TXT 记录格式中的信息来创建 TXT 记录。
您的所有邮件服务器的 IP 地址
找出为贵单位发送邮件的所有服务器的 IP 地址。这些服务器可能包括:
- 网络服务器
- 内部部署的邮件服务器,例如 Microsoft Exchange
- 您的服务提供商使用的邮件服务器
- 为您的网域发送电子邮件的所有第三方提供商或服务
所有由您单位控制的网域
找出所有由您单位控制的网域,包括不发送电子邮件的网域。垃圾邮件发件人可能会试图仿冒这些不发送邮件的网域,在您使用 SPF 保护发送邮件的网域后更是如此。
TXT 记录的格式为纯文本行,由标记和值组成。这些标记称为“机制”。其他可选标记称为“限定符”,用于定义存在与机制匹配的内容时要执行的操作。
以下是一些 SPF TXT 记录示例。请将示例中的 IP 地址和域名替换为您自己的地址和域名。
v=spf1 ip4:192.168.0.1/16 -all
v=spf1 -all
SPF TXT 记录的机制
用于创建 SPF TXT 记录的标记称为“机制”。
重要提示:一条 SPF TXT 记录最多支持 10 次查找。TXT 记录中的以下机制都会触发一次查找:a、mx 和 include。如果您的 TXT 记录的查找次数超过 10 次,则来自您网域的邮件无法通过邮件接收服务器的 SPF 身份验证检查。这些邮件可能会被发送至“垃圾邮件”文件夹。有关详情,请参阅检查 SPF 记录的 DNS 查找次数。
下面列出了您可以在 TXT 记录中使用的机制。系统会按照机制在 TXT 记录中的顺序依次检查机制。如果存在与机制匹配的内容且未使用限定符,则默认操作为“通过 SPF”。
注意:此表中的示例地址和域名仅供参考。请将示例值中的 IP 地址和域名替换为您自己的邮件服务器和单位。
| 机制 | 说明和允许的值 |
|---|---|
| v | SPF 版本。必须为 spf1。此标记是必填标记,且必须是记录中的第一个标记。 |
| ip4 | 以 IPv4 地址或地址范围的形式指定邮件服务器或服务器。该值必须是标准格式的 IPv4 地址,例如:ip4:192.168.0.1 |
| ip6 | 以 IPv6 地址或地址范围的形式指定邮件服务器或服务器。该值必须是标准格式的 IPv6 地址,例如:ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF |
| a | 以域名的形式指定邮件服务器,例如:a:solarmora.com |
| mx |
通过引用网域 MX 记录指定一个或多个邮件服务器,例如: 您可以选择使用此机制来指定网域。如果您未指定网域,则默认值为使用 SPF 记录的网域的 MX 记录。 |
| include |
指定不属于您的网域的邮件服务器,例如: 您可以使用此机制来允许第三方邮件发件人。 |
| all | 如果使用,则此标记必须是记录中的最后一个标记。SPF 检查会忽略 all 之后的任何机制。建议使用此机制时加上软拒绝限定符:~all |
SPF TXT 记录的限定符
称为“限定符”的可选标记用于指定当存在与 SPF TXT 记录中的机制匹配的内容时要执行的操作。
系统会按照机制在 TXT 记录中的顺序依次检查机制。如果不使用限定符,则默认操作为“通过 SPF”。如果不存在与机制匹配的内容,则默认操作为“中立”。
下面列出了您可以在 TXT 记录中使用的限定符。限定符是可以添加到记录中任何机制的可选前缀。限定符用于指定存在与机制匹配的内容时要执行的操作。
建议您在 SPF TXT 记录中使用 ~all。
| 限定符 | 说明 |
|---|---|
| + | 通过。允许具有匹配的 IP 地址或域名的服务器为网域发送邮件。如果不使用限定符,则默认操作为“通过”。 |
| - | 拒绝。不允许具有匹配的 IP 地址或域名的服务器为网域发送邮件。SPF 记录不包括邮件发送服务器的 IP 地址或域名。 |
| ~ | 软拒绝。可能允许具有匹配 IP 或网域地址的服务器为网域发送邮件。邮件接收服务器通常会接受邮件并将其标记为可疑邮件。 |
| ? | 中立。SPF 记录未明确表明允许该 IP 地址或域名为网域发送邮件。获得中立结果的 SPF 记录通常包含 ?all。 |
第 2 步:为您的网域启用 SPF
添加 SPF DNS TXT 记录,即可在您的域名提供商处启用 SPF。
- 下方第 4 步中的字段名称可能因提供商而异。不同提供商的 DNS TXT 记录字段名称可能会略有不同。
- 如果贵单位或网域的所有电子邮件均发自 Google Workspace,则请使用下方第 4 步中所示的 TXT 记录值。如果您创建了其他的 TXT 记录,请改为输入该值。
如要启用 SPF,请在域名提供商处更新 SPF DNS TXT 记录。
- 获取用于定义 TXT 记录的文本文件或文本行。
- 登录域名托管服务商的管理控制台。如果您不确定自己的域名托管服务商是谁,请按照查找您的域名提供商中的步骤操作。
- 找到更新网域 TXT 记录的页面。
- 为您的 Google Workspace 邮件服务器添加新的 TXT 记录:
在 SPF 记录中添加新的邮件服务器或域名
每当您执行以下操作时,请在您的域名提供商处更新 SPF TXT 记录:
- 向您单位添加新的邮件服务器
- 开始使用新的第三方发件人
如果您不将新的服务器或发件人信息更新到 TXT 记录中,那么由新的服务器或发件人发出的邮件可能会被发送到“垃圾邮件”文件夹。
首先,按照第 1 步:创建 SPF TXT 记录中的说明,将新的服务器或域名更新到 TXT 记录中。然后,按照第 2 步:为您的网域启用 SPF中的说明,在您的域名提供商处更新 SPF 记录。
SPF 记录问题排查
如果来自您网域的邮件仍然被发送到了“垃圾邮件”文件夹,即使在启用 SPF 之后,情况也是如此,则请尝试采取以下问题排查建议。
确认邮件是否通过了 SPF
要确认您的 SPF 记录是否正常,以及来自您网域的邮件是否通过了 SPF,请检查从您网域发送的邮件。让收到从您网域发送的邮件的用户打开邮件,然后查看电子邮件的完整标头。接着,查看邮件标头中的 SPF 结果。如果标头显示 SPF 失败,请查看 SPF 记录中的错误。请确保记录包含对贵单位所有邮件发送服务器和网域的引用。首先,请查看第 1 步:创建 SPF TXT 记录,并根据需要更改 TXT 记录。然后,按照第 2 步:为您的网域启用 SPF 中的步骤,在您的域名托管服务商处更新记录。查看 TXT 记录的 DNS 查找次数SPF TXT 记录的查找次数上限为 10 次。因此,您的 SPF TXT 记录包含的对其他网域的引用不能超过 10 次。如果您的 TXT 记录的查找次数超过 10 次,则来自您网域的邮件无法通过邮件接收服务器的 SPF 检查。这些邮件可能会被发送至“垃圾邮件”文件夹。
在 TXT 记录中,这些标记的每个实例都会触发一次查找:a, mx, include, ptr。
嵌套查找的次数也会计入 10 次的限额。因此,如果 include 标记中引用的网域在自身的 SPF TXT 记录中引用了其他网域,则这些网域都会占用限额。
如果邮件仍被发送到了“垃圾邮件”文件夹,请使用 Google 管理员工具箱中的检查 MX 功能检查 TXT 记录的查找次数。
要减少 TXT 记录中的查找次数,可采取以下做法:
- 除非必要,否则请勿使用 include 标记。
- 尽可能使用 ip4 或 ip6 标记,而不是 include。
- 移除重复的标记或引用同一域名的标记。
仅引用目前用于为您单位发送邮件的域名。如果有合作伙伴不再为您的域名发送邮件,请移除相应的所有 include 语句。
“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。
