SPF 记录定义了能够代表您网域发送电子邮件的邮件服务器和网域,每个网域只能有一条 SPF 记录,但这条记录可以指定其他获准从您的网域发送电子邮件的服务器和第三方。
- 接收服务器会检查您的 SPF 记录,以验证看似从您的网域发出的邮件是否是从您授权的服务器发出。
- SPF 记录还会告知接收邮件的服务器在检查完邮件后应该如何处理邮件。
SPF 记录格式
SPF 记录采用纯文本行格式,包含标记和值的列表。 这些标记称为“机制”。这些值通常为 IP 地址和域名。
SPF 记录会以 DNS TXT 记录的形式添加到域名提供商处。 如需了解详情,请参阅关于 TXT 记录。
SPF 记录最多可包含 255 个字符。TXT 记录文件大小不应超过 512 字节。
了解 IP 地址
IP 地址可用于识别设备和连接互联网。计算机、移动设备和服务器等设备可通过 IP 地址相互通信。收发电子邮件的服务器可通过其唯一 IP 地址识别。网域的 SPF 记录可能需要为网域发送电子邮件的服务器 IP 地址。
- IP 版本 4 (IPv4) 地址如下所示:203.0.113.42
- IP 版本 6 (IPv6) 地址如下所示:2001:db8:14:5:1:2:bf35:2610
IP 地址通常会以块的形式分配给网络。IP 地址中的斜杠 (/) 表示隔开的 IP 地址块:
- IPv4:192.0.2.0/24
- IPv6:2001:db8:1234::/48
在 SPF 记录中使用 IP 地址块时,SPF 记录应用于地址块中的所有 IP 地址。
SPF 记录机制
请使用下表中的机制创建 SPF 记录。邮件接收服务器会根据机制在 SPF 记录中的排列顺序对邮件进行检查。
注意事项:
- 您可以结合使用可选的 SPF 记录限定符(本页面下文)和机制。
- 您的 SPF TXT 记录包含的对其他网域或服务器的引用不应超过 10 次。这些引用称为“查询次数”。有关详情,请参阅查看 SPF 记录的 DNS 查询次数。
| 机制 | 说明和值 |
|---|---|
| v |
(必需)这是 SPF 版本。此标记必须是记录中的第一个标记。此机制必须为:v=spf1。 |
| ip4 |
以 IPv4 地址或地址范围的形式授权邮件服务器。此值必须为标准格式的 IPv4 地址或地址范围,例如:ip4:192.168.0.1 或 ip4:192.0.2.0/24。 |
| ip6 |
以 IPv6 地址或地址范围的形式授权邮件服务器。此值必须为标准格式的 IPv6 地址或地址范围,例如:ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF 或 ip6:2001:db8:1234::/48。 |
| a |
以域名的形式授权邮件服务器,例如:a:example.com |
| mx |
以网域 MX 记录的形式授权一个或多个邮件服务器,例如:mx:mail.example.com。 如果您的 SPF 记录中不存在该机制,则默认值为使用 SPF 记录的网域的 MX 记录。 |
| 包括 |
以网域的形式授权第三方电子邮件发件人,例如:include:servers.mail.net。 |
| 全部 |
指定所有消息都匹配。我们建议您始终在 SPF 记录中包括该机制。 该机制必须为 SPF 记录中的最后一个机制。SPF 记录中任何排在 all 机制之后的机制将被忽略。 我应该用 ~all 还是 -all?
提示:为防止不用于发送电子邮件的网域遭到仿冒,请使用以下代码作为相应网域的 SPF 记录:vspf1 ~all。 |
| 存在 |
对 SPF 记录中通过 exists 机制指定的网域执行 A 查询。找到结果后,网域会得到解析,身份验证也会成功。如果网域无法解析,身份验证会失败。 |
SPF 记录限定符
限定符是可以添加到 SPF 记录中任何机制的可选前缀。限定符可告知邮件接收服务器,当存在与机制匹配的内容时是否考虑对邮件进行身份验证。例如:
v=spf1 include:_spf.google.com ~all
系统会按照机制在 SPF 记录中的顺序依次检查机制。如果机制没有限定符且存在与机制匹配的内容,则默认操作为“通过身份验证”。如果不存在与机制匹配的内容,则默认操作为“中立”:邮件既不通过身份验证,也不身份验证失败。
使用这些可选限定符来告知邮件接收服务器如何处理与 SPF 记录中机制相匹配的邮件。
| 限定符 | 匹配时邮件接收服务器执行的操作 |
|---|---|
| + | 通过身份验证。授权具有匹配 IP 地址的服务器为您的网域发送邮件。邮件能够通过身份验证。当机制不使用限定符时,则默认执行此操作。 |
| - | 未通过身份验证。具有匹配 IP 地址的服务器无权为网域发送邮件。SPF 记录未包含发送服务器的 IP 地址或域名,因此邮件将无法通过身份验证。 |
| ~ | 身份验证软失败。具有匹配 IP 地址的服务器不太可能获得授权为网域发送邮件。邮件接收服务器通常会接受邮件,但会将其标记为可疑邮件。 |
| ? | 中立。既不通过身份验证,也不身份验证失败。SPF 记录未明确表明授权该 IP 地址为网域发送邮件。获得中立结果的 SPF 记录通常使用 ?all。 |
SPF 记录修饰符(高级)
SPF 修饰符是以 = 分隔的名称/值对,显示在 SPF 记录文本字符串的末尾。修饰符用于指定其他信息、规则例外情况和默认值变体。例如,此 SPF 记录使用 include 机制来检查 Google 的 SPF 记录,并使用 redirect 修饰符来引用另一个网域的 SPF 记录。
v=spf1 include:_spf.google.com redirect=example.com
| 修饰符 | 说明 |
|---|---|
| 重定向 |
重定向到另一个网域的 SPF 记录以进行身份验证。如果您希望多个网域使用同一个 SPF 记录,请使用 redirect 修饰符。 仅当您管理所有受影响的网域时,才使用 redirect 修饰符。对于您不管理的网域,请使用 include 机制。如果您的 SPF 记录使用 all 机制,则 redirect 修饰符会被忽略。 |
| exp |
提供自定义原因,说明邮件为何未能通过 SPF 检查。仅当 SPF 记录包含失败或软失败限定符时才可用。此修饰符会对包含失败说明的 TXT 记录激活 DNS 查找。请使用 SPF 宏自定义此说明。 |