SPF/DKIM/DMARC 记录检测工具
只需输入域名,即可实时查询 SPF、DMARC、DKIM 记录,诊断反仿冒邮件认证的配置状况。
使用提示
- 建议按照 SPF、DKIM、DMARC 的顺序进行配置:先完善 SPF 和 DKIM,最后再用 DMARC 向接收方明确处理指示。
- DMARC 不要一开始就设为 p=reject,应先用 p=none 收集报告,确认所有合法发信渠道后再逐步收紧策略,以避免误伤。
- include 数量过多的域名可能触及"10 次 DNS 查询 / 255 字符"的限制而导致查询失败,建议定期清理不必要的 include。
- 本工具仅尝试常见的 DKIM 选择器,因此即使显示"未找到",也可能只是实际使用的选择器名称不同。
- Gmail、Outlook 等主要邮件服务商自 2024 年起已要求大量发信者配置 SPF、DKIM、DMARC,发送邮件通讯的域名应优先确认此项设置。
常见问题
并非绝对必须,但只有三者齐备,才能形成"证明发件方合法性(SPF/DKIM)+ 指示接收方如何处理失败情况(DMARC)"的完整防护链条。仅配置其中一项效果有限,建议按顺序逐步完善。
不一定。DKIM 选择器名称可由各发件服务自由设定,若域名未使用本工具尝试的常见名称(default、google 等),就会显示"未找到"。如需准确确认,请查看发件邮件服务的管理后台或邮件头中的 DKIM-Signature 一行。
不建议这样做。如果尚未完全掌握所有合法发信渠道(如邮件通讯服务或业务系统),直接设为 reject 可能导致正常邮件也被拒收。更安全的做法是先用 p=none 收集数周报告,确认无误后再逐步升级为 quarantine、reject。
最终推荐使用 -all(Fail,明确拒绝),但在对 SPF 配置尚不完全确信的过渡期,可先使用 ~all(SoftFail,视为可疑),确认正常邮件不会被误拦后再切换为 -all。
不会。对所输入域名的 DNS 查询仅为即时查询,获取到的记录信息不会保存在服务器端。
闲话 ― 反仿冒邮件三大支柱的诞生历程
SPF、DKIM、DMARC 分别在不同时期因不同背景而诞生。最早出现的 SPF(约 2003 年)用于声明"哪些 IP 地址可以使用该域名发送邮件",作为对抗垃圾邮件发送者伪造发件地址的手段而普及开来。但 SPF 在邮件转发方面存在弱点:转发后发件 IP 会发生变化,导致认证失败。
弥补这一弱点的是约 2007 年标准化的 DKIM。它不像 SPF 那样依据 IP 地址判断,而是对邮件正文和部分邮件头附加数字签名,接收方使用 DNS 中公开的公钥验证签名,因此只要签名本身未被破坏,即使经过转发也能通过认证。
不过 SPF 和 DKIM 只能检测出"认证失败",至于失败邮件该如何处理(投递、标记为垃圾邮件或拒收)完全取决于接收服务器自身判断。为统一这种"对接收方的指示",2012 年制定了 DMARC。DMARC 还具备将认证结果以报告形式(rua=)回传给发件域名管理者的机制,使管理者能够持续监控自己的域名是否被滥用。
2024 年 Google 和 Yahoo 将 SPF、DKIM、DMARC 事实上列为大量发信者(每日 5000 封以上)的必备要求,这三大支柱也因此从少数大企业的专属知识,变成了发送邮件通讯或系统通知邮件的所有机构都无法忽视的基础常识。