使用 SPF 對電子郵件寄件者進行授權

協助防範假冒來自您網域的郵件

設定 SPF 可防止垃圾郵件發佈者從您的網域傳送未經授權的電子郵件,這類垃圾郵件採用的手法稱為「假冒」。寄件者政策架構 (SPF) 是一套電子郵件安全防護機制,可防範假冒來自您網域的郵件。

假冒是指在未經授權的情況下使用電子郵件,這種情形十分常見,因此部分電子郵件伺服器會要求設定 SPF。如果您不為自己的網域設定 SPF,您寄出的郵件就可能遭到退信,甚至被標為垃圾郵件。

將 SPF 與 DKIM 和 DMARC 搭配使用

建議您在設定 SPF 時,一併設定 DomainKeys Identified Mail (DKIM)網域型郵件驗證、報告與一致性 (DMARC)。SPF 是用來驗證可傳送郵件的網域,DKIM 可驗證郵件內容的真實性以及是否經他人變更,DMARC 則可指定網域應如何處理收到的可疑電子郵件。

為網域建立 SPF 記錄

SPF 記錄是一種 TXT 記錄,其中列有允許從您網域傳送電子郵件的郵件伺服器。如果郵件來自不在 SPF 記錄中的伺服器,就有可能被標示為垃圾郵件。

如要設定 Gmail 的 SPF 記錄,請透過您的網域代管商新增一份 TXT 記錄。別擔心,這不會影響您的郵件收發作業。

如需瞭解新增 TXT 記錄的方式,請與您的網域代管商聯絡。

  1. 前往網域代管商網站 (而不是 Google 管理控制台) 登入您的網域帳戶。

    協助我辨識我的網域代管商

  2. 找出更新網域 DNS 記錄的網頁。這個網頁的名稱可能叫做「DNS Management」(DNS 管理)、「Name Server Management」(名稱伺服器管理) 或「Advanced Settings」(進階設定)。
  3. 找到您的 TXT 記錄,看看是否已經有開頭是 v=spf1 的 SPF 記錄。

    如果您有現成的 SPF 記錄,請繼續進行步驟 4。如果沒有,請跳至步驟 5。

  4. 如果您的網域已有 SPF 記錄,請將這份記錄移除。

    您也可以更新用於多個電子郵件伺服器的現有 SPF 記錄。我們不建議您使用多個 SPF 記錄,以免造成授權問題。建議您為所有電子郵件伺服器使用相同的 SPF 記錄。

  5. 使用下列值建立新的 TXT 記錄:
    • 在 [Name/Host/Alias] (名稱/主機/別名) 欄位中輸入 @ 或將欄位留空。您的其他 DNS 記錄可能會指示正確的輸入項目。
    • 在 [Time to Live (TTL)] (存留時間 (TTL)) 欄位中輸入 3600 或保留欄位的預設值。
    • 在 [Value/Answer/Destination] (值/回應/目的位置) 欄位中輸入 v=spf1 include:_spf.google.com ~all
  6. 儲存記錄。

新的 SPF 記錄可能需要 48 小時才會生效,但通常不會這麼久。

驗證 SPF 記錄

您可以使用 G Suite 工具箱來驗證 SPF 記錄。

  1. 前往 https://toolbox.googleapps.com/apps/checkmx/
  2. 輸入您的網域名稱。
  3. 按一下 [執行檢查!]
  4. 檢查完成後,按一下 [有效的 SPF 位址範圍]
  5. 檢查 SPF 結果。結果應包含:
    • _spf.google.com
    • _netblocks.google.com 以及後接的 IP 位址
    • _netblocks2.google.com 以及後接的 IP 位址
    • _netblocks3.google.com 以及後接的 IP 位址

更新用於多個伺服器的 SPF 記錄

使用多個 SPF 記錄可能會造成授權問題,因此,建議您更新現有的 SPF 記錄並授權給其他伺服器。

舉例來說,如果設定外寄電子郵件閘道,您的 SPF 記錄會包含 Gmail 伺服器位址和外寄閘道 SMTP 伺服器位址。

如要在現有的 SPF 記錄中新增郵件伺服器,請在 ~all 引數的前面輸入伺服器的 IP 位址,格式為 ip4:addressip6:address,例如:

v=spf1 ip4:172.16.254.1 include:_spf.google.com ~all

如要新增郵件伺服器的網域,請為個別網域加入 include 陳述式。例如:

v=spf1 include:serverdomain.com include:_spf.google.com ~all

相關文章

如要進一步瞭解建立 SPF 記錄的資訊,請參閱下列文章:

這篇文章實用嗎?
我們應如何改進呢?