更新于 2026年6月14日6 分钟阅读
面向 Google Workspace 安全域名的 SPF、DKIM 与 DMARC 配置
面向需要更强信任度和更低仿冒风险的公司域名,提供实用的 Google Workspace 邮件认证指南。
要点
- SPF 授权哪些邮件服务器可以代表该域名发送邮件。
- DKIM 对消息进行签名,使接收方可以验证内容在传输过程中未被篡改。
- DMARC 告诉接收方在 SPF 或 DKIM 对齐失败时如何处理,以及将报告发送到哪里。
为什么这对年轻公司域名很重要
公司网站可以看起来很专业,但邮件域名仍可能很容易被冒充。SPF、DKIM 和 DMARC 通过向接收方提供谁被允许发送邮件、失败应如何处理的证据,弥补这一缺口。
对于一家强调安全的公司,这不是可有可无的装饰。尤其当网站公开 contact、support、security、privacy、legal 和 sales 等邮箱时,它就是公共信任面的组成部分。
建议的上线顺序
- 先创建运营邮箱,包括 dmarc@example.com 这样的 DMARC 报告邮箱。
- 为实际发送方发布 SPF,例如 Google Workspace。
- 启用 Google Workspace DKIM 签名,并发布 DKIM TXT 记录。
- DMARC 从 p=none 和报告启用开始,先观察失败情况再进入强制策略。
- 只有在合法发送方完成对齐后,再切换到 quarantine 或 reject。
需要验证什么
验证应同时来自 DNS 和真实消息头。DNS 确认记录存在。消息头确认通过生产发送路径发出的邮件确实通过 SPF、DKIM 和 DMARC 对齐。
- SPF 只包含真正代表该域名发送邮件的服务。
- DKIM 使用当前 selector,并在收到的消息中显示 pass。
- DMARC 报告会投递到受监控的邮箱。
- 策略需要被记录下来,避免未来新增邮件工具破坏可送达性。
公司级下一步
当报告看起来干净后,应逐步收紧 DMARC。最强的最终状态是 reject,但正确节奏取决于新闻邮件、事务邮件、CRM 工具或支持工具是否也从该域名发送。