• 首页
  • 归档
  • 关于
  • 搜索
  • 夜间模式
    ©2026  望时代 Theme by OneBlog

    望时代

    搜索
    标签
    # 教程 # Linux # 脚本 # AI # 影音 # 游戏 # 随笔 # 科技 # 认知
  • 首页>
  • >
  • 正文
  • 【科普+教程】科普SPF、DKIM、DMARC,为域名邮箱开启防伪三件套,提升信誉度、安全性、防伪性

    2026年06月26日 2 阅读 0 评论 4924 字

    【科普+教程】科普SPF、DKIM、DMARC,为域名邮箱开启防伪三件套,提升信誉度、安全性、防伪性 __2023年7月11日 __3条评论 __295次阅读 __0人点赞 __Tao_Qi 防丢,防忘,以后还可能用得着。
    微软功能确实多,弄的太杂乱了,好卡啊……
    防止以后又找不见,记录一下。
    以下用微软365的E5订阅为例。
    如果有错误请立刻指正,加鸡腿~ 完成本文之后…… 你的自建邮箱的…… 外发邮件,被当作垃圾邮件的概率降低。除非你自己作死群发推广,那神仙也救不了。
    信誉度上升
    安全性上升
    防伪能力上升 假设 你的域名是 example.com
    微软给的默认域名是 e5.onmicrosoft.com
    你的域名邮箱是 [[email protected]](</cdn-cgi/l/email-protection>) 在开始之前…… 如果你的域名在CF,一切都会方便得多,CF已经把电子邮件所需的东西直观地列出来了。
    只需要 登录仪表板,选择域名,单击左边菜单栏的“DNS”,下拉选择“设置”,下划页面,转到“电子邮件安全”,单击“配置”按钮。
    我已经弄好了,DMARC、SPF、DKIM分别显示为“隔离、软失败、是”
    这是什么? 一句话概括:防止垃圾邮件,防止伪造。
    以下描述抄自微软官方教程: SPF: SPF 帮助验证从你的自定义域发送的出站电子邮件(是否来自所其显示地址)。
    SPF TXT 记录是 DNS 中的记录,它通过识别域中发件人发送的有效邮件源来帮助防止欺骗和钓鱼。 SPF 根据发送域的可疑所有者来验证发件人的 IP 地址,从而验证电子邮件的来源。 CF的描述:
    说人话就是反炸 DKIM: DKIM 电子邮件身份验证的目标是证明邮件的内容没有被篡改。
    确保目标电子邮件系统信任从自定义域发送的出站邮件。 CF的描述:

    DKIM 将公钥添加到您的 DNS 中,供电子邮件接收者验证您的传出签名电子邮件。

    防伪。 DMARC: DMARC 电子邮件身份验证的目标是确保 SPF 和 DKIM 信息与发件人地址匹配。
    DMARC 确保目标电子邮件系统信任从你的域发送的邮件。 将 DMARC 与 SPF 和 DKIM 配合使用可为组织提供更多保护,防止欺骗和网络钓鱼电子邮件。 DMARC 可帮助接收邮件系统决定如何处理来自你的域中未通过 SPF 或 DKIM 检查的邮件。 CF的描述:

    如何处理垃圾

      • *

    开启SPF

    1. 打开域名控制台(如Cloudflare)
    2. 为主域名添加TXT记录:

    如果完全托管在 Office 365 中(即没有本地邮件服务器)的话,解析:
    @ TXT解析到 v=spf1 include:spf.protection.outlook.com -all
    @ 代表根域名 example.com。

    这是最常见的 SPF TXT 记录。 此记录几乎适用于每个人。
    如果是子域名发信,也需要为每个子域创建单独的记录,因为子域不会继承其顶级域的 SPF 记录。
    如
    *.example.com TXT解析到 v=spf1 include:spf.protection.outlook.jp -all 这个只包括了完全托管在日本 的微软服务器,其他地方发出去可能也不被承认。
    添加子域名,以防止攻击者发送声称来自不存在的子域的电子邮件。 这样会【拒绝】验证失败的电子邮件。 为了防止误杀,可以把all前面的-改成~
    如v=spf1 include:spf.protection.outlook.com ~all
    含义:从未列出的服务器发送的电子邮件应会被接受,但可能会被标记为垃圾邮件或不安全。

      • *

    开启DKIM

    1. 登录微软E5(或者其他订阅)账号
    2. 使用浏览器访问 https://security.microsoft.com/dkimv2
    3. 单击要操作的域名,如果没有出现,请在主页->域添加。
    4. 单击“创建DKIM”密钥,过一会会蹦出一个窗口,要求你添加两条CNAME解析。
    5. 登录到域名解析控制台,比如Cloudflare,添加如下记录。

    记录:
    selector1._domainkey.example.com CNAME解析到 selector1-example-com._domainkey.e5.onmicrosoft.com
    selector2._domainkey.example.com CNAME解析到 selector2-example-com._domainkey.e5.onmicrosoft.com

    1. 等待10分钟解析传播后,回到DKIM管理界面,打开为此域的邮件签上 DKIM 签名。


    OK,搞定。

    如果看到 CNAME 记录不存在错误,则可能是由于: 与 DNS 服务器同步,这可能需要几秒钟到几个小时。如果问题仍然存在,请重复这些步骤
    检查是否有任何复制粘贴错误,如额外的空格或选项卡等。 开启 DMARC Microsoft 的 DMARC TXT 记录如下所示:

    _dmarc.microsoft.com. 3600 IN TXT "v=DMARC1; p=none; pct=100; rua=mailto:[[email protected]](</cdn-cgi/l/email-protection>); ruf=mailto:[[email protected]](</cdn-cgi/l/email-protection>); fo=1"
    1. 为入站邮件设置:

    不用管,微软帮你分类好了。

    2.为出站(外发)邮件设置:
    由于微软的挺复杂,而CF有图形化界面, 登录CF控制台,点开域名,控制面板单击“电子邮件”,下拉DMARC管理,
    添加 DMARC 记录,开始获取 DMARC 报告。
    这条是CF的,让她帮你跟踪【代表你发送电子邮件的第三方】。
    。
    注意 :目前,DMARC 管理不支持子域。您只能将此功能用于您的区域顶级域。 _dmarc.example.comTXT解析到v=DMARC1; p=quarantine; rua=mailto:[[email protected]](</cdn-cgi/l/email-protection>)
    rua:你用来接收报告的邮箱是 [[email protected]](</cdn-cgi/l/email-protection>)
    p:收件人服务器对未通过身份验证的电子邮件采取的操作是:隔离(标记为垃圾邮件)
    (拒收: p=reject;什么也不做: p=none )

      • *

    发件测试 拿微软客户端给你的 鸡没有 (Gmail)发一封,然后登录Gmail电脑版,单击邮件右边的三个点,选择【显示原始邮件】,查看报告: 图片已PS,显示的IP是局域网IP。 全部通过,只要你不作死发真正的垃圾邮件 ,基本上不会被送进垃圾箱了。
    QQ邮箱和QQ企业邮箱等奇葩除外,新邮箱往过发,第一封百分百进垃圾箱,原封不动发一遍就是重要邮件,绷不住了。 本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议

    1. qige说道: 2023年7月11日 下午11:10
    2. ananas说道: 2023年7月11日 下午11:14
    3. key说道: 2023年8月31日 下午6:33

    发表回复 取消回复电子邮件地址不会被公开。必填项已用 标注 __ __

    本文著作权归作者 [ doudoudoubao ] 享有,未经作者书面授权,禁止转载,封面图片来源于 [ 互联网 ] ,本文仅供个人学习、研究和欣赏使用。如有异议,请联系博主及时处理。
    教程
    取消回复

    发表留言
    回复

    Copyright©2026  All Rights Reserved.  Load:0.003 s
    Theme by OneBlog V3.7.1
    夜间模式

    开源不易,请尊重作者版权,保留基本的版权信息。