寄件者政策架構 (SPF) 是一套電子郵件驗證機制,可指定哪些郵件伺服器有權為您的網域傳送電子郵件。SPF 有助於防範網域遭到假冒,也能確保郵件正確傳送。郵件伺服器會在收到您網域的郵件時使用 SPF,驗證看似從您網域寄出的郵件確實來自您的網域。
- SPF 可避免郵件遭到假冒:垃圾郵件發布者可能會冒用貴機構/網域的名義,傳送看似從貴機構寄出的偽造郵件,這就是所謂的「假冒」手法。假冒郵件可能會被用來為非作歹,例如傳達不實資訊、寄出有害軟體,或是誘騙使用者提供機密資訊。然而,SPF 可協助收件伺服器確認從您網域寄出的郵件確實來自貴機構,且是經由您授權的郵件伺服器傳送。
- SPF 可協助將郵件傳送至收件者的收件匣:SPF 有助於防止您網域寄出的郵件被歸類為垃圾郵件。如果您的網域未使用 SPF,收件伺服器就無法驗證看似從您網域寄出的郵件是否確實由您傳送,因此可能會將正常的郵件傳送至收件者的垃圾郵件資料夾,甚至拒收這類郵件。
注意:如果您在申請 Google Workspace 時已向 Google 合作夥伴購買網域,或許可以不必設定 SPF 記錄,但請記得確認 SPF 是否為網域代管商管理的其中一項設定。
電子郵件驗證的最佳做法
建議您一律為網域設定下列電子郵件驗證方法:
- SPF 可協助伺服器確認看似來自特定網域的郵件是否確實是透過網域擁有者所授權的伺服器傳送。
- DKIM 會為每一封郵件加上數位簽名,幫助收件伺服器確認郵件並非偽造,而且在傳輸過程中未遭到竄改。
- DMARC 會使用 SPF 和 DKIM 驗證郵件並控管可疑的內送郵件。
事前準備
為貴機構啟用 SPF 之前,請先閱讀本節資訊。
如果找不到帳單記錄,可以在線上搜尋您的網域代管商。網際網路名稱與數字位址分配機構 (ICANN) 是一個非營利機構,負責收集網域資訊。使用 ICANN 查詢工具找出您的網域代管商。
- 前往 lookup.icann.org。
- 在搜尋欄位中輸入您的網域名稱,然後按一下 [Lookup]。
- 在結果頁面中,向下捲動至「Registrar Information」。通常註冊商就是您的網域代管商。
網域經銷商
有些網域是由經銷商透過個別註冊商進行代管。如果無法使用頁面上顯示的註冊商資料登入,或者註冊商欄位空白,那麼您的網域代管商可能是經銷商。
- 在 ICANN 查詢的結果頁面中,向下捲動至「Raw Registry RDAP Response」(原始註冊 RDAP 回覆)。
- 尋找「Reseller」(經銷商) 這一行。
- 前往經銷商的網站。
- 使用您購買 (或轉移) 網域時所用的憑證登入。
如果您忘記密碼,請與經銷商的支援團隊聯絡。
如果查詢結果頁面沒有列出經銷商資料,請向所列註冊商的支援團隊尋求協助。
第三方電子郵件服務供應商
如果您透過第三方電子郵件服務供應商傳送自家網域的郵件,即使郵件沒有問題,也未必能通過 SPF 檢查。在這種情況下,收件伺服器可能會將來自第三方供應商的郵件傳送至垃圾郵件資料夾。
為了確保第三方供應商傳送的郵件能夠通過 SPF 檢查,請完成以下操作:
- 驗證供應商的 SPF 記錄。
- 設定 SMTP 轉發服務,透過您的網域或網路轉送郵件。
(選用) 檢查目前的 SPF TXT 記錄
您的網域供應商可能已為您設定 SPF TXT 記錄。您可以使用 Google Admin Toolbox 中的 Check MX 功能進行檢查:
- 前往 Google Admin Toolbox。
- 輸入您的網域名稱。
- 按一下 [執行檢查!]。
- 檢查完成後,按一下 [有效的 SPF 位址範圍]。
- 檢查 SPF 結果,當中應包含以下內容:
_spf.google.com
_netblocks.google.com
以及後面多個 IP 位址_netblocks2.google.com
以及後面多個 IP 位址_netblocks3.google.com
以及後面多個 IP 位址
步驟 1:建立 SPF TXT 記錄
SPF TXT 記錄會定義哪些郵件伺服器能為您的網域傳送郵件。
一個網域只能設定一筆 SPF TXT 記錄,但您可以在這筆網域 TXT 記錄中指定多個能夠傳送該網域郵件的伺服器和網域。
TXT 記錄內容
如果貴機構的所有電子郵件都是透過 Google Workspace 寄出,請使用以下這行文字做為 TXT 記錄:
v=spf1 include:_spf.google.com ~all
重要事項:除了透過 Google Workspace 傳送郵件,如果您還採用了下列的一或多種做法,就必須建立自訂的 SPF TXT 記錄:
- 使用其他伺服器傳送郵件。
- 使用第三方郵件供應商服務。
- 您的網站採用會產生自動電子郵件的服務,例如「與我們聯絡」表單。
例如:
v=spf1 ip4:192.168.0.1/16 include:_spf.google.com include:sparkpostmail.com ~all
建立 TXT 記錄時,別忘了參考 TXT 記錄的伺服器資訊和 TXT 記錄格式這兩節中的資訊。
所有郵件伺服器的 IP 位址
請為所有可傳送貴機構郵件的伺服器找出相應 IP 位址。這些伺服器可能包括:
- 網路伺服器
- 內部部署郵件伺服器,例如 Microsoft Exchange
- 服務供應商使用的郵件伺服器
- 為您的網域傳送電子郵件的任何第三方供應商或服務
貴機構控管的所有網域
請找出貴機構控管的所有網域,包括不會傳送電子郵件的網域。垃圾郵件發布者可能會試圖假冒不會傳送郵件的網域,特別是在您採用 SPF 保護寄件網域後,越有可能發生這個情況。
TXT 記錄的形式是一行純文字,其中會列出許多標記和值,這類標記稱為「機制」。其他的選用標記則稱為「限定詞」,用於定義出現與機制相符的比對結果時要採取的動作。
以下列舉一些 SPF TXT 記錄範例。您可以將這些範例的 IP 位址和網域替換成自己的位址和網域名稱。
v=spf1 ip4:192.168.0.1/16 -all
v=spf1 -all
SPF TXT 記錄機制
用來建立 SPF TXT 記錄的標記稱為「機制」。
重要事項:SPF TXT 記錄最多可包含 10 筆查詢,而 TXT 記錄中的 a、mx 和 include 機制都會分別產生查詢。TXT 記錄的查詢數一旦超過 10 筆,來自您網域的郵件就無法通過收件伺服器的 SPF 驗證檢查,因而可能會被歸類為垃圾郵件。詳情請參閱檢查 TXT 記錄的 DNS 查詢一節。
以下列出可在 TXT 記錄中使用的機制。系統會按照機制在 TXT 記錄中出現的順序來逐一檢查,如果找到相符的機制,且未使用限定詞,預設的動作就會是通過 SPF 檢查。
注意:這份表格中的位址和網域僅供參考之用。請將範例值改成您郵件伺服器和機構的 IP 位址和網域。
機制 | 說明和允許的值 |
---|---|
v | SPF 版本,必須為 spf1。這個標記是必要項目,且必須是記錄中的第一個標記。 |
ip4 | 依據 IPv4 位址或位址範圍指定一或多個郵件伺服器。這個值必須是標準格式的 IPv4 位址,例如:ip4:192.168.0.1 |
ip6 | 依據 IPv6 位址或位址範圍指定一或多個郵件伺服器。這個值必須是標準格式的 IPv6 位址,例如:ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF |
a | 依據網域名稱指定郵件伺服器,例如:a:solarmora.com |
mx |
參照網域 MX 記錄來指定一或多個郵件伺服器,例如: 您可以選擇是否要用這個機制指定網域。如果您未指定網域,那麼系統會將使用 SPF 記錄網域的 MX 記錄做為預設值。 |
include |
指定他人網域的郵件伺服器,例如: 如要允許第三方郵件寄件者,請使用這個機制。 |
all | 如果使用的話,這必須是記錄中的最後一個標記,因為 SPF 檢查會忽略 all 後的任何機制。建議您將這個機制與「非封鎖性失敗」限定詞 ~all 搭配使用 |
SPF TXT 記錄限定詞
「限定詞」是選用的標記,用於定義出現與 SPF TXT 記錄中的機制相符的比對結果時要採取的動作。
系統會按照機制在 TXT 記錄中出現的順序來逐一檢查。如果您沒有使用限定詞,動作會預設為通過 SPF 檢查;沒有任何機制相符時,動作則會預設為「中立」。
以下列出可在 TXT 記錄中使用的限定詞。限定詞是選填的前置字串,記錄中的任何機制都可以加上限定詞,藉此指定當出現與機制值相符的比對結果時要採取的動作。
建議您在 SPF TXT 記錄中使用 ~all。
限定詞 | 說明 |
---|---|
+ | 代表通過。IP 位址/網域與機制相符的伺服器可以為網域傳送郵件。未使用限定詞時,系統會將「通過」做為預設值。 |
- | 代表失敗。IP 位址/網域與機制相符的伺服器無法為網域傳送郵件,因為 SPF 記錄中沒有寄件伺服器的 IP 位址或網域。 |
~ | 代表非封鎖性失敗。IP/網域位址與機制相符的伺服器「可能」可以為網域傳送郵件。收件伺服器通常會接受郵件,並將其標示為可疑郵件。 |
? | 代表中立。SPF 記錄不會明確指出特定 IP 位址或網域是否可以為網域傳送郵件。內有中立結果的 SPF 記錄通常包含 ?all。 |
步驟 2:為網域啟用 SPF
如要在您的網域供應商網站啟用 SPF,請新增 SPF 的 DNS TXT 記錄。
- 下方步驟 4 中的欄位名稱可能會與您供應商的實際欄位名稱不同;每家供應商的 DNS TXT 記錄欄位名稱也會有些微差異。
- 如果貴機構或網域的所有電子郵件都是透過 Google Workspace 寄出,請使用下方步驟 4 中的 TXT 記錄值;如果您已建立其他 TXT 記錄,請改為輸入該記錄的值。
如要啟用 SPF,請前往您的網域供應商網站更新 SPF 的 DNS TXT 記錄。
- 取得用來定義 TXT 記錄的文字檔或文字行。
- 登入網域代管商的管理控制台。如果不確定您的網域代管商是哪家公司,請按照找出您的網域供應商一節的步驟操作。
- 找出用於更新網域 TXT 記錄的網頁。
- 為 Google Workspace 郵件伺服器新增 TXT 記錄:
在 SPF 記錄中新增郵件伺服器或網域
每當您執行下列操作時,請前往網域供應商網站更新 SPF TXT 記錄:
- 為貴機構新增郵件伺服器
- 開始使用新的第三方寄件服務
如果您並未在 TXT 記錄中更新伺服器或寄件者資訊,系統可能會將新的伺服器或寄件者發出的郵件歸類為垃圾郵件。
首先,請按照步驟 1:建立 SPF TXT 記錄的操作說明,更新 TXT 記錄中的伺服器或網域資訊。接著,按照步驟 2:為網域啟用 SPF 的操作說明,前往網域供應商網站更新 SPF 記錄。
排解 SPF 記錄問題
如果在您啟用 SPF 後,您網域傳送的郵件仍被歸類為垃圾郵件,請嘗試按照下列疑難排解建議操作。
確認郵件是否已通過 SPF
如要確認您的 SPF 記錄是否正常運作,以及來自您網域的郵件是否順利通過 SPF,請檢查從您網域寄出的郵件。請收到您網域郵件的使用者開啟郵件,查看電子郵件的完整標頭。接著,請檢查 SPF 結果的郵件標頭。如果標頭顯示 SPF 失敗,請檢查 SPF 記錄中是否出現任何錯誤,並確保記錄中參照的所有伺服器和網域都能為貴機構傳送郵件。首先,請參閱步驟 1:建立 SPF TXT 記錄,視需要編輯 TXT 記錄。接著,按照步驟 2:為網域啟用 SPF 所列步驟,前往網域代管商網站更新記錄。檢查 TXT 記錄的 DNS 查詢SPF TXT 記錄最多可包含 10 筆查詢,因此您在 SPF TXT 記錄中參照的其他網域不得超過 10 個。TXT 記錄的查詢數一旦超過 10 筆,來自您網域的郵件就無法通過收件伺服器的 SPF 檢查,因此可能會被歸類為垃圾郵件。
在 TXT 記錄中,以下標記的每個例項都會分別產生查詢:a, mx, include, ptr。
請注意,巢狀查詢會計入 10 筆查詢的上限,也就是說,如果 include 標記參照的網域在 TXT 記錄中同時參照了其他網域,這些網域也會計入查詢筆數上限。
如果系統仍將郵件歸類為垃圾郵件,請使用 Google Admin Toolbox 中的 Check MX 功能查看 TXT 記錄的查詢筆數。
如何減少 TXT 記錄中的查詢筆數:
- 避免使用不必要的 include 標記。
- 盡可能以 ip4 或 ip6 標記取代 include。
- 移除重複的標記或參照相同網域的標記。
只參照為貴機構主動傳送郵件的網域。找出不再替您的網域傳送郵件的合作夥伴,然後移除所有對應的 include 陳述式。
Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。