使用 SPF 記錄避免電子郵件遭到假冒

防範看似從您網域寄出的假冒郵件

垃圾郵件發布者可能會傳送看似從您網域寄出的電子郵件,也就是所謂的「假冒」手法。您可以在網域代管商中新增寄件者政策架構 (SPF) 記錄,協助收件人瞭解您網域中的電子郵件應該來自何處,並確保收到的並非假冒郵件。

如果您的網域是在註冊 G Suite 時向 Google 合作夥伴 (GoDaddy.com、eNom.com 及 DomainDiscount24.com) 購買的,您可能不必執行上述操作。詳情請參閱由網域代管商管理的設定

將 SPF TXT 記錄新增至網域代管商

網域代管商會保留將網路流量導向您網域的文字設定 (也就是 DNS 記錄)。SPF TXT 記錄會列出可從您網域傳送電子郵件的郵件伺服器。如果收到未列在記錄中的伺服器所傳送的郵件,收件者的伺服器就可能會將該郵件視為垃圾郵件。

注意:一個網域只能設定一筆 SPF 記錄,但您可以在記錄中列出多個伺服器。詳情請參閱在 SPF 記錄中新增多個伺服器一節。

  1. 前往網域代管商網站 (而不是 Google 管理控制台) 登入您的網域帳戶。
  2. 前往更新網域 DNS 記錄的網頁。
    該網頁的名稱可能類似「DNS management」(DNS 管理)、「name server management」(名稱伺服器管理) 或「advanced settings」(進階設定)。
  3. 找到您的 TXT 記錄,並檢查您的網域是否已經有 SPF 記錄。
    SPF 記錄的開頭為「v=spf1」。
  4. 如果您的網域已有 SPF 記錄,請將這筆記錄移除。如果沒有,請跳至步驟 5。
  5. 使用下列值建立新的 TXT 記錄:
    • 在 [Name/Host/Alias] (名稱/主機/別名) 欄位中輸入 @ 或將欄位留空。
      您網域的其他 DNS 記錄可能會顯示正確的項目。
    • 在 [Time to Live (TTL)] (存留時間 (TTL)) 欄位中輸入 3600 或保留欄位的預設值。
    • 在 [Value/Answer/Destination] (值/回應/目的地) 欄位中輸入 v=spf1 include:_spf.google.com ~all
  6. 儲存記錄。

新的 SPF 記錄會在 48 小時之內生效。

管理 SPF 記錄

全部展開  |  全部收合

驗證 SPF 記錄
您可以使用 G Suite 工具箱中的 Check MX 應用程式驗證 SPF 記錄:
  1. 前往 G Suite 工具箱
  2. 輸入您的網域名稱。
  3. 按一下 [執行檢查!]
  4. 檢查完成後,按一下 [有效的 SPF 位址範圍]
  5. 檢查 SPF 結果。
    當中應包含以下內容:
    • _spf.google.com
    • _netblocks.google.com 以及後面多個 IP 位址
    • _netblocks2.google.com 以及後面多個 IP 位址
    • _netblocks3.google.com 以及後面多個 IP 位址
在 SPF 記錄中新增多個伺服器
您的網域只能設定一筆 SPF 記錄,不過您可以更新 SPF 記錄,並將所有郵件伺服器納入其中。舉例來說,如果您設定了外寄電子郵件閘道,您的 SPF 記錄就會包含 Gmail 伺服器位址和外寄閘道 SMTP 伺服器位址。
如要在現有的 SPF 記錄中新增郵件伺服器,請在 ~all 引數前面輸入伺服器的 IP 位址,格式為 ip4:<位址>ip6:<位址>,如以下範例:
v=spf1 ip4:172.16.254.1 include_spf.google.com ~all
如要新增郵件伺服器的網域,請為個別網域加入「include」陳述式,例如:
v=spf1 include:serverdomain.com include:_spf.google.com ~all

相關主題

管理記錄機制與限定詞
SPF 記錄機制會識別哪些郵件伺服器能夠以您網域的名義傳送電子郵件。系統會從左到右評估 SPF 記錄中的每個機制。
以下為 SPF 記錄範例:
v=spf1 ip4:172.16.254.1 include:_spf.google.com ~all
這些記錄機制可識別哪些 IP 位址能透過網域傳送郵件:
  • a
  • mx
  • ip4
  • ip6
  • include
  • all

如果伺服器與 SPF 記錄中的所有機制皆不相符,則由 all 機制決定是否讓該電子郵件通過 SPF 檢查。

您可以在 SPF 記錄的機制中加入限定詞,藉此決定要讓哪些電子郵件通過 SPF 檢查。
限定詞 說明
Pass (+) 如果寄出電子郵件的伺服器符合含有 + 限定詞 (或沒有限定詞) 的機制,系統就會讓該電子郵件通過 SPF 檢查;收件者應接收這封郵件。
Fail (-) 如果寄出電子郵件的伺服器符合含有 - 限定詞的機制,系統就會判定該電子郵件未通過 SPF 檢查;收件者應拒絕接收這封郵件。
Softfail (~) 如果寄出電子郵件的伺服器符合含有 ~ 限定詞的機制,系統會讓該電子郵件通過 SPF 檢查,但將其視為可疑郵件。
Neutral (?) 含有 ? 限定詞的機制對電子郵件是否能通過 SPF 檢查沒有影響。
DNS 查詢上限和 SPF 檢查
SPF 最多支援 10 筆 DNS 查詢,且巢狀查詢也會計入查詢筆數上限。SPF 記錄的查詢數一旦超過 10 筆,系統就會將記錄機制視為無效,且將 SPF 檢查視為不通過。
您可以使用 Check MX 應用程式查看 SPF 記錄的查詢筆數。

SPF 記錄機制與修飾符

您在 SPF 記錄中使用的機制和修飾符可以防止 DNS 查詢數超過 10 筆的上限。
會記入查詢筆數上限 不會計入查詢筆數上限
  • a
  • exists
  • include
  • mx
  • ptr
  • require
  • all
  • exp
  • ip4
  • ip6

 

如何減少 SPF 記錄中的查詢筆數:

  • 避免使用不必要的 include 陳述式。
  • 盡可能以 ip4ip6 機制取代 include。
  • 避免使用 ptr 機制,因為這會導致系統產生許多筆 DNS 查詢。
  • 移除重複的機制或者會解析為相同網域的機制。
  • 只參照會主動傳送郵件的網域。
  • 找出不再從您的網域傳送郵件的合作夥伴,並從 SPF 記錄中移除所有對應的 include 陳述式。

相關主題

將 SPF 與 DKIM 和 DMARC 搭配使用
建議您在設定 SPF 時,一併設定 DomainKeys Identified Mail (DKIM) 和網域型郵件驗證、報告與一致性 (DMARC):
  • SPF 可為網域指定能夠傳送電子郵件的伺服器。
  • DKIM 可驗證郵件內容的真實性以及是否經他人變更。
  • DMARC 可指定網域處理可疑來信的方式。

相關主題

相關主題

這對您有幫助嗎?
我們應如何改進呢?