SPF、DKIM与DMARC详解
邮件的"From"地址极易伪造。三条DNS记录让接收服务器能够验证一封邮件确实来自你的域名。
三条记录
| 记录 | 回答的问题 | 发布位置 |
|---|---|---|
| SPF | 这个发信IP被允许代表该域名发信吗? | 域名的 TXT |
| DKIM | 这封邮件有域名的加密签名吗? | <selector>._domainkey.<domain> 的 TXT |
| DMARC | SPF/DKIM失败时怎么办、报告发到哪? | _dmarc.<domain> 的 TXT |
它们如何协同
DMARC把SPF和DKIM与可见的 From: 域名绑定(称为对齐(alignment))。当SPF或DKIM之一通过且对齐时,邮件即通过DMARC。DKIM更稳健,因为它的签名能在邮件列表和转发后依然有效,而这些会破坏SPF。
安全部署
- 发布列出真实发信源的SPF,以
~all结尾。 - 在邮件服务商处启用DKIM并发布公钥。
- 以
p=none和rua=报告地址启动DMARC。 - 阅读汇总报告,修复失败的合法发信源,然后收紧至
p=quarantine,最终p=reject。
可用本站 邮件认证检测 检查任意域名。相关:DNS记录类型 与 DNSSEC。
备注: 不要直接跳到
p=reject。没有报告期,你可能会悄无声息地丢弃自己的邮件列表、工单系统和第三方发信。