SPF 記錄定義了能夠代表您網域傳送電子郵件的郵件伺服器和網域,每個網域只能有一個 SPF 記錄,但記錄可以指定其他伺服器和第三方,允許他們從您的網域傳送電子郵件。
- 收件伺服器會檢查 SPF 記錄,驗證看似從您網域寄出的郵件,是否確實透過您授權的伺服器傳送。
- SPF 記錄也會指示收件伺服器該如何處理檢查完畢的郵件。
SPF 記錄格式
SPF 記錄是一行純文字,其中會列出許多標記和值。 這類標記稱為「機制」,而值通常是 IP 位址和網域名稱。
SPF 記錄會以 DNS TXT 記錄的形式新增至您的網域供應商。 進一步瞭解 TXT 記錄。
SPF 記錄的長度上限為 255 個字元;TXT 記錄的檔案大小則不得超過 512 個位元組。
瞭解 IP 位址
IP 位址的用途是辨識裝置及連線至網際網路,讓電腦、行動裝置和伺服器等裝置能夠彼此通訊。系統會透過伺服器專屬的 IP 位址來辨識收發電子郵件的伺服器。您可能需要在網域的 SPF 記錄中,加入為網域傳送電子郵件的伺服器 IP 位址。
- IP 第 4 版 (IPv4) 位址的格式如下:203.0.113.42
- IP 第 6 版 (IPv6) 位址的格式如下:2001:db8:14:5:1:2:bf35:2610
IP 位址通常是以區塊的形式指派給網路。如果 IP 位址帶有斜線 (/),表示此為 IP 位址區塊:
- IPv4:192.0.2.0/24
- IPv6:2001:db8:1234::/48
如果您在 SPF 記錄中使用 IP 位址區塊,SPF 記錄會套用至區塊中的所有 IP 位址。
SPF 記錄機制
請透過下方表格中的機制建立 SPF 記錄。收件郵件伺服器會根據機制在 SPF 記錄中出現的順序檢查郵件。
注意事項:
- 您可以視需要將選用的 SPF 記錄限定詞 (本頁後續章節) 與機制搭配使用。
- 您在 SPF TXT 記錄中參照的其他網域或伺服器不得超過 10 個。這類參照資訊的數量稱為「查詢次數」。詳情請參閱「查看 SPF 記錄的 DNS 查詢次數」。
| 機制 | 說明和值 |
|---|---|
| v |
(必要) 這是 SPF 版本。這個標記必須是記錄中的第一個標記。機制必須為:v=spf1。 |
| ip4 |
依據 IPv4 位址或位址範圍授權郵件伺服器。這個值必須是標準格式的 IPv4 位址或位址範圍,例如:ip4:192.168.0.1 或 ip4:192.0.2.0/24。 |
| ip6 |
依據 IPv6 位址或位址範圍授權郵件伺服器。這個值必須是標準格式的 IPv6 位址或位址範圍,例如:ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF 或 ip6:2001:db8:1234::/48。 |
| a |
依據網域名稱授權郵件伺服器,例如:a:example.com |
| mx |
依據網域 MX 記錄授權一或多個郵件伺服器,例如:mx:mail.example.com。 如果您的 SPF 記錄中沒有這項機制,系統會將使用 SPF 記錄網域的 MX 記錄做為預設值。 |
| include |
依據網域授權第三方電子郵件寄件者,例如:include:servers.mail.net。 |
| 全部 |
指定系統對與機制相符的所有郵件執行的動作。建議您一律在 SPF 記錄中納入這項機制。 這必須是 SPF 記錄中的最後一項機制,系統會忽略 SPF 記錄中列於 all 機制之後的所有機制。 該使用 ~all 還是 -all?
提示:如要防止不會傳送電子郵件的網域遭到假冒,請使用 vspf1 ~all 做為該網域的 SPF 記錄。 |
| 存在 |
對 SPF 記錄中以 exists 機制指定的網域執行 A 查詢。如果找到結果,系統會解析網域,之後即可成功完成驗證。但如果無法解析網域,驗證就會失敗。 |
SPF 記錄限定詞
限定詞是選用的前置字串,SPF 記錄中的任何機制都可以加上限定詞,藉此指示收件伺服器在偵測到與機制值相符的郵件時,是否讓該郵件通過驗證。舉例來說:
v=spf1 include:_spf.google.com ~all
系統會按照機制在 SPF 記錄中出現的順序來逐一檢查。如果機制未使用限定詞,那麼系統偵測到相符的郵件時,預設的動作就是讓郵件通過驗證。如果找不到與機制相符的內容,系統預設的動作則為中立:郵件不會有通過驗證與否的問題。
您可以視需要選用這些限定詞,指示收件伺服器如何處理與 SPF 記錄中的機制相符的郵件。
| 限定詞 | 收件伺服器針對與機制相符的郵件採取的動作 |
|---|---|
| + | 通過驗證。IP 位址與機制相符的伺服器有權為網域傳送郵件。系統會讓郵件通過驗證。如果機制未使用限定詞,系統預設會執行這項動作。 |
| - | 不予通過驗證。IP 位址與機制相符的伺服器無權為網域傳送郵件。SPF 記錄不包含寄件伺服器的 IP 位址或網域,因此郵件無法通過驗證。 |
| ~ | 讓驗證非封鎖性失敗。IP 位址與機制相符的伺服器可能未取得為網域傳送郵件的權限。收件伺服器通常會接受郵件,但會將其標示為可疑郵件。 |
| ? | 代表中立,沒有通過驗證與否的問題。SPF 記錄未明確指出該 IP 位址是否有權為網域傳送郵件。會產生中立結果的 SPF 記錄通常是使用 ?all。 |
SPF 記錄修飾符 (進階)
SPF 修飾符是以 = 分隔的名稱或值組合,顯示在 SPF 記錄文字字串的結尾,用於指定額外資訊、規則例外狀況和預設值變動。舉例來說,以下 SPF 記錄使用 include 機制檢查 Google 的 SPF 記錄,並使用 redirect 修飾符參照其他網域的 SPF 記錄。
v=spf1 include:_spf.google.com redirect=example.com
| 修飾詞 | 說明 |
|---|---|
| 重新導向 |
重新導向至其他網域的 SPF 記錄進行驗證。如要讓多個網域使用同一筆 SPF 記錄,請使用 redirect 修飾符。 請只在管理所有受影響網域時,才使用 redirect 修飾符。對於不是您管理的網域,請使用 include 機制。如果 SPF 記錄使用 all 機制,系統會忽略 redirect 修飾符。 |
| exp |
提供郵件未通過 SPF 驗證的自訂原因。只有在 SPF 記錄含有失敗或非封鎖性失敗限定詞時,才會顯示這項資訊。這個修飾符會啟動 DNS 查詢,找出包含失敗原因說明的 TXT 記錄。請使用 SPF 巨集自訂這項說明。 |