邮件认证检测(SPF/DKIM/DMARC)
查询域名的SPF、DMARC和DKIM记录,检查其反欺骗配置。
关于这个邮件认证检测工具
伪造发件人(From)地址非常容易,除非域名发布了三条DNS记录来证明哪些服务器可以代表它发信。本工具会查询域名的 SPF、DMARC 和 DKIM,并显示每一项是否已配置。
- SPF(域名根下的
v=spf1 …TXT)列出允许发信的IP和include。 - DMARC(
_dmarc.<domain>的v=DMARC1; p=…TXT)告诉接收方如何处理认证失败的邮件——none、quarantine或reject——以及报告发送到哪里。 - DKIM(
<selector>._domainkey.<domain>的公钥TXT)让接收方可以验证每封邮件上的加密签名。
关于DKIM选择器
DKIM发布在只有发件方知道的*选择器(selector)*下,因此无法从DNS枚举出来。将选择器留空可尝试常见值(default、google、selector1…),或填入你的邮件服务商使用的确切选择器。相关:SPF、DKIM与DMARC详解。
常见问题
我有SPF但工具说DKIM缺失,这有问题吗?
DMARC只需SPF或DKIM中至少一项通过且对齐即可成立。DKIM更稳健,因为它能在转发后依然有效。如果你的服务商使用了不常见的选择器,请明确填入以便工具找到记录。
我应该用哪种DMARC策略?
先用 p=none 收集报告而不影响投递,确认合法来源都能通过后,再切到 p=quarantine,最终切到 p=reject,从而全面防御伪造。
为什么工具无法自动找到DKIM?
DKIM记录位于发件方选择的选择器名(如 s1、k1、google)之下。DNS不允许列出所有子记录,因此除非你提供正确的选择器,工具只能猜测常见选择器。