借助 SPF 记录防范电子邮件仿冒行为

防范伪装成来自您网域的假冒电子邮件

垃圾邮件发布者可能会发送伪装成来自您网域的电子邮件,此类邮件即称为仿冒邮件。您可以向域名托管服务商的网站中添加一条发件人政策框架 (SPF) 记录,以帮助收件人了解从您网域发出的电子邮件应该是来自哪些邮件服务器,从而确保他们收到的并非是仿冒邮件。

如果您是在注册 G Suite 时通过 Google 合作伙伴(GoDaddy.com、eNom.com 和 DomainDiscount24.com)购买的域名,则可能无需执行此操作。有关详情,请参阅由您的域名托管服务商管理的设置

向域名托管服务商的网站添加一条 SPF TXT 记录

您的域名托管服务商会维护着一些文本设置(称为 DNS 记录),这些设置用于将网络流量定向到您的网域。SPF TXT 记录列出了可以从您的网域中发送电子邮件的邮件服务器。如果邮件并非从该记录中的服务器发送,则收件人的服务器可能会将其视为垃圾邮件。

注意:一个网域只能有一条 SPF 记录,但这条记录中可以列出多个服务器。有关详情,请参阅向 SPF 记录中添加多个服务器

  1. 在域名托管服务商网站(而不是 Google 管理控制台)登录您的网域帐号。
  2. 进入用于更新网域 DNS 记录的页面。
    此页面的名称可能为“DNS 管理”、“域名服务器管理”、“高级设置”之类。
  3. 找到您的 TXT 记录,并查看您的网域是否已有 SPF 记录。
    SPF 记录以“v=spf1”开头。
  4. 如果您的网域已有 SPF 记录,请将其移除,否则请跳至第 5 步。
  5. 使用以下值创建一条 TXT 记录:
    • Name/Host/Alias(名称/主机/别名):输入 @ 或将其留空。
      您网域的其他 DNS 记录可能会指明应如何填写。
    • Time to Live (TTL)(生存时间 (TTL)):输入 3600 或保留默认值。
    • Value/Answer/Destination(值/应答/目标):输入 v=spf1 include:_spf.google.com ~all
  6. 保存此记录。

这条新 SPF 记录会在 48 小时内生效。

管理 SPF 记录

展开所有部分  |  收起所有部分

验证 SPF 记录
使用 G Suite 工具箱中的“检查 MX”应用验证您的 SPF 记录:
  1. 前往 G Suite 工具箱
  2. 输入您的域名。
  3. 点击执行检查!
  4. 测试完成后,点击有效的 SPF 地址范围
  5. 查看 SPF 结果。
    其中应包括:
    • _spf.google.com
    • _netblocks.google.com 后跟几个 IP 地址
    • _netblocks2.google.com 后跟几个 IP 地址
    • _netblocks3.google.com 后跟几个 IP 地址
向 SPF 记录中添加多个服务器
您的网域只能有一条 SPF 记录。不过,您可以更新 SPF 记录,使其包含您的所有邮件服务器。例如,如果您设置了出站电子邮件网关,您的 SPF 记录应包含 Gmail 服务器地址和出站网关 SMTP 服务器地址。
要向现有 SPF 记录添加邮件服务器,请在 ~all 参数前输入相应服务器的 IP 地址。格式应为 ip4:<地址>ip6:<地址>,具体如下例所示:
v=spf1 ip4:172.16.254.1 include:_spf.google.com ~all
要添加邮件服务器的域名,请为每个域名各使用一个 include 语句。例如:
v=spf1 include:serverdomain.com include:_spf.google.com ~all

相关主题

管理记录中的机制和限定符
SPF 记录中的机制用于指定获允代表相应网域发送邮件的服务器。系统会从左向右逐个评估 SPF 记录中的机制。
下例就是一条 SPF 记录:
v=spf1 ip4:172.16.254.1 include:_spf.google.com ~all
下面的各个机制用于指定可从网域中发送电子邮件的 IP 地址:
  • a
  • mx
  • ip4
  • ip6
  • include
  • all

如果服务器与 SPF 记录中的任何一个机制都不匹配,则 all 机制将决定该电子邮件能否通过 SPF 检查。

要改变电子邮件通过 SPF 检查的方式,您可以为 SPF 记录中的机制添加限定符。
限定符 说明
通过 (+) 如果服务器与带有 + 限定符(或不带限定符)的机制相匹配,则该服务器发送的电子邮件将通过 SPF 检查。收件人应接受该电子邮件。
拒绝 (-) 如果服务器与带有 - 限定符的机制相匹配,则该服务器发送的电子邮件将无法通过 SPF 检查。收件人亦应拒收该电子邮件。
软拒绝 (~) 如果服务器与带有 ~ 限定符的机制相匹配,则该服务器发送的电子邮件将通过 SPF 检查,但会被视为可疑邮件。
中性 (?) 带有 ? 限定符的机制不会对电子邮件能否通过 SPF 检查的决定产生任何影响。
DNS 查询次数限制与 SPF 检查
SPF 支持进行最多 10 次 DNS 查询,嵌套查询次数也计入在内。在 SPF 记录的查询次数超过 10 次后,机制会被视为无效,且不会通过 SPF 检查。
您可以使用“检查 MX”应用查看 SPF 记录的查询次数。

SPF 记录中的机制和修饰词

在 SPF 记录中使用的机制和修饰词可防止 DNS 查询次数达到上限(10 次)。
计入查询次数上限 不计入查询次数上限
  • a
  • exists
  • include
  • mx
  • ptr
  • require
  • all
  • exp
  • ip4
  • ip6

 

要减少 SPF 记录中的查询次数,可采取以下做法:

  • 避免使用不必要的 include 语句。
  • 如有可能,可使用 ip4ip6 机制代替 include 语句。
  • 避免使用 ptr 机制,因为该机制会引发多次 DNS 查询。
  • 移除重复机制或解析为同一域名的机制。
  • 仅引用正在发送邮件的网域。
  • 如果有的合作伙伴不再从您的网域中发送邮件,则请移除所有重定向至其 SPF 记录 include 语句。

相关主题

结合使用 SPF、DKIM 和 DMARC
除了设置 SPF,我们建议您同时设置 DKIM(域名密钥识别邮件)和 DMARC(基于网域的邮件身份验证、报告和一致性)验证机制:
  • SPF 用于指定可以从网域中发送电子邮件的服务器。
  • DKIM 用于验证邮件内容是否真实可信且未经篡改。
  • DMARC 用于指定您的网域对可疑传入邮件的处理方式。

相关主题

相关主题

该内容对您有帮助吗?
您有什么改进建议?