“有人用自己域名的名义发出我不知情的钓鱼邮件”——能阻止这件事的,正是 SPF / DKIM / DMARC。本文通俗讲解三者的作用与安全的配置步骤。
三者的作用
| 设置 | 作用(一句话) |
|---|---|
| SPF | 用 DNS 声明“允许发送本域名邮件的服务器就是这些” |
| DKIM | 给邮件加上电子签名,证明“传输途中未被篡改、来自正规发件源” |
| DMARC | 声明 SPF/DKIM 失败时如何处理的策略,并接收报告(捆绑三者的关键) |
是如何被验证的(原理)
收件方(Gmail 等)会对收到的邮件检查 SPF 与 DKIM,再把结果对照 DMARC 的策略,决定“放行/隔离/拒绝”。
也就是说,仅有 SPF 和 DKIM 时往往是“做了判定却什么都不做”,只有配上 DMARC 的策略,“拦截冒充”的效力才会真正显现。
安全的配置步骤
SPF 只设一条且正确
把用于发信的正规服务器(自有、邮件投递服务等)无遗漏地全部许可。SPF 记录在一个域名上汇总为一条(多条容易失效)。
启用 DKIM 签名
在所使用的邮件发送平台上启用 DKIM,并把公钥登记到 DNS,使正规邮件带上签名。
DMARC 从 p=none 开始
不要一上来就拒绝。先用 p=none(仅监控)+接收报告,确认正规邮件是否会被误拦。
逐步加严
通过报告补齐正规投递的遗漏后,再从 p=quarantine → p=reject。最终实现“冒充一律拒绝”。
本站视角:你守护的也是“你的用户”
SPF/DKIM/DMARC 不只是为了让自己的邮件能送达,更是一套保护“你的用户”免遭冒用你域名的钓鱼的机制。钓鱼说到底就是窃取认证凭据或密钥的入口。现实中,许多域名只停留在 SPF/DKIM,并未把 DMARC 提升到强制(reject)。不要满足于 p=none,要查看报告、逐步把策略一路加严到 reject,才能真正见效。
接下来阅读
FAQ
QSPF / DKIM / DMARC 是为了什么?
为了让收件方(Gmail 等)能够验证以你的域名发出的邮件是否“真实”。没有它们,第三方就能冒用你名义发送冒充邮件(钓鱼),且无法被拦截,域名的信誉也会受损。
Q三者有什么区别?
SPF 声明“允许发送本域名邮件的服务器”,DKIM 是“证明未被篡改的电子签名”,DMARC 则是“当 SPF/DKIM 失败时如何处理的策略+接收报告”。DMARC 把 SPF/DKIM 捆绑起来,使其真正生效。
Q配置时要注意什么?
先把正规投递(邮件投递服务等)无遗漏地全部许可后,再加严。尤其是 DMARC,如果一上来就设为拒绝(p=reject),可能连正规邮件也被拦截,因此应先用 p=none(仅监控)查看报告,再按 p=quarantine→p=reject 逐步提升。