如果您设置了发件人政策框架 (SPF),但从您网域发出的邮件仍然出现以下情况,请按照本文中的步骤操作:
- SPF 身份验证失败
- 遭到了邮件接收服务器的拒绝
- 发送到了收件人的“垃圾邮件”文件夹
注意:添加 SPF 记录后,SPF 身份验证最多可能需要 48 小时才会开始生效。
本页内容
最常见的解决方案
确保您拥有 SPF 记录(且只有一条)
您必须拥有 SPF 记录才能发送电子邮件。否则,邮件可能会被屏蔽或直接发送到“垃圾邮件”文件夹。
请注意,每个网域只能有一条 SPF 记录,其中指定了所有主机或电子邮件服务。如果您有多条 SPF 记录,您的邮件可能会最终递送到收件人的“垃圾邮件”文件夹中。如需检查您是否拥有 SPF 记录,请使用网络上提供的各种免费工具。如果您有多条 SPF 记录,请将所有 SPF 记录合并为一条记录。
建议采取的步骤
验证 SPF 语法
如果您仅使用 Google Workspace 发送电子邮件,则 SPF 语法应如下所示:
v=spf1 include:_spf.google.com ~all
如需查看常见 SPF 语法的列表,请参阅设置 SPF。
建议采取的步骤
- 请确保您使用的是正确的“~all”限定符。该符号应为波浪号 (~),而不是连字符 (-) 或问号。连字符可能会过于严格,导致合法电子邮件的递送出现问题。问号不会对外发邮件进行身份验证。
- 输入 SPF 记录时请务必谨慎。拼写错误、多余的空格或引号使用不当可能会导致 SPF 记录无效。
- 在域名托管服务商处添加 SPF 记录时,如果主机与您要将 SPF 记录添加到的域名(而非子域名)相同,请输入 @ 符号。否则,请输入您的域名(例如 yourdomain.com)。
将第三方发件人添加到 SPF 记录
如果您使用 Google Workspace 以外的服务代表您的网域发送电子邮件,则必须在一项 SPF 记录中指定这些服务。例如,如果您使用 Workspace 和 Salesforce 发送电子邮件,则您的 SPF 记录必须同时授权 Google Workspace 和 Salesforce。在此示例中,SPF 语法将为:
v=spf1 include:_spf.google.com include:[salesforce_domain] ~all
如果您的 SPF 记录未引用为您的网域发送邮件的所有服务,则这些发件人发送的邮件可能会无法通过 SPF 身份验证,并被拒收或发送到“垃圾邮件”文件夹。
建议采取的步骤
- 查看 SPF 记录中的服务器和服务。确保目前所有为您的网域发送电子邮件的服务器和发件人都已包括在 SPF 记录中。
- 使用任何新的发件人信息更新 SPF 记录。 然后,将更新后的 SPF 记录添加到您的网域。
- 如果通过您网站上的联系表单发送的邮件被拒收或发送到“垃圾邮件”文件夹,请参阅排查 Gmail 未收到联系表单邮件的问题。
了解 DNS 管理
问:什么是域名托管服务商?
答:域名托管服务商是托管您网站域名的服务商。
问:什么是 SPF 记录?
答:SPF 记录是一行文本,其中列出了获授权代表您的网域发送邮件的 IP 地址和邮件服务器。
问:什么是 DNS TXT 记录?
答:DNS TXT 记录是一种空白记录,可以包含有关您网域的任何类型的纯文本信息(在本例中,您要添加的是 SPF 记录)。您的 DNS TXT 记录可能还包含域名验证 TXT 记录,用于确认您拥有相应域名。
问:如何访问域名托管服务商的 DNS 设置?
答:登录您的域名托管服务商网站,然后前往用于更新域名 DNS TXT 记录的页面。如需查找该页面,请参阅您网域的文档。 有关详情,请参阅设置 SPF。
问:什么是 DNS 查找?
答:当邮件服务器根据 SPF 记录检查来自您网域的传入邮件时,服务器可能会执行查询。查找是寻找网域 IP 地址的过程。在以下示例中,每条 SPF 记录都会导致一次查找:
- SPF 机制:a、exists、include、mx、ptr
- SPF 修饰词:redirect
修正 DNS 查找次数过多的问题
SPF 规范允许最多进行 10 次 DNS 查找(例如,include、a、mx 机制)。包含多项第三方服务的复杂 SPF 记录可能会超出此限制,导致 SPF 记录验证失败。错误消息可能因提供商而异,但可能包含您没有 SPF 记录的警告(即使您确实有 SPF 记录)。
建议采取的步骤
- 使用 Google 管理员工具箱中的检查 MX 工具检查 SPF 记录的查找次数。
- 移除重复和引用相同网域的机制。
- 注意,嵌套查找的次数也会计入 10 次 DNS 查找的限额。如果您的 SPF 记录包含一个网域,而该网域在其 SPF 记录中包含其他网域,则这些网域都会计入 DNS 查找限额。
- 在使用 include 机制时,请注意嵌套查找可能会导致 SPF 记录的 DNS 查找次数超过 10 次。
- 在使用 ip4 和 ip6 机制时,注意 SPF 记录的长度上限为 255 个字符。
- 仅包括正在为您发送电子邮件的网域。
- 为不再为您网域发送邮件的第三方移除所有 include 机制。
等待 24-48 小时,以便修复生效
修复 SPF 记录问题后,这些更改可能需要 24-48 小时才能在全球范围内生效。
其他解决办法
如果您的具体问题未列于上文中,请尝试执行以下一项或多项步骤:
验证外发邮件是否通过了 SPF 身份验证
电子邮件标头会包含 SPF 身份验证检查的结果。如需了解详情,请参阅检查 Gmail 邮件是否通过身份验证和通过完整标头追踪电子邮件。
从 SPF 记录中移除 IP 范围
请避免在 SPF 记录中使用宽泛的共享 IP 地址范围(通常用于云托管/计算)。更新 SPF 记录,以使用网域的云计算实例的固定分配 IP 地址。
检查邮件转发
即使您网域的 SPF 设置正确,转发的邮件仍然可能无法通过 SPF。这通常是由于转发服务器转发邮件的方式所致。
建议采取的步骤
- 使用电子邮件日志搜索验证邮件是否已成功转发并获取原收件人地址。如果将邮件举报为垃圾邮件的用户不是原收件人,则邮件很可能已成功转发。
- 联系转发邮件的第三方,了解他们是否可以更改转发邮件的方式。
- 使用高级问题排查(本页面后文)中的工具检查可疑的电子邮件活动。垃圾邮件发送者有时会通过转发邮件来冒充网域或组织。
如需了解详情,请参阅帮助转发的消息通过身份验证。
检查您的电子邮件发送做法
如果您网域的 SPF 记录有效,而邮件仍会发送至“垃圾邮件”,则可能是由于 SPF 以外的原因导致的。请遵循电子邮件发件人指南来向 Gmail 用户发送电子邮件,特别是在发送大量邮件时。
高级问题排查
如果您在使用上述建议的修复方法后仍然遇到问题,请尝试以下高级问题排查步骤:
在邮件标头中查看身份验证结果
从您网域发送的邮件的标头中包含有关 SPF 身份验证的信息。如需获取从您网域发送的邮件的完整标头,请按照通过完整标头追踪电子邮件中的步骤操作。
找到邮件标头中以 Authentication-Results 开头的部分,留意 spf 条目后面的文本。使用此邮件标头内容在下表中找到适用的行,然后完成建议的步骤。
| 邮件标头内容 | 可能的原因 | 推荐执行的步骤 |
|---|---|---|
| Authentication-Results 中没有 spf 条目 | 邮件没有通过 SPF 检查。您的 SPF 记录可能未正确设置。 | 请参阅确保您拥有 SPF 记录(且只有一条)和验证 SPF 语法(这两部分均位于本页上文)。 |
| spf 条目包含 best guess record |
|
|
| SPF 结果(spf= 后面的文本)为 neutral、softfail 或 fail |
|
|
| SPF 结果(spf= 后面的文本)为 temperror 或 permerror |
|
|
使用报告工具获取详细的数据分析
如需详细了解网域的电子邮件递送和身份验证,请尝试使用以下 Workspace 报告工具。
| 报告工具 | 推荐执行的步骤 |
|---|---|
|
为更好地排查转发问题,请使用邮件日志搜索 (ELS) 获取入站和出站邮件的原始目标地址。ELS 包括传入邮件的来源 IP 地址,您可以借此 IP 地址排查 SPF 身份验证问题。ELS 还会显示您网域的用户收到的邮件是否被标记为垃圾邮件。 |
|
|
“身份验证”报告 |
使用“身份验证”报告查看哪些来自您网域的邮件通过了 SPF、DKIM 和 DMARC 身份验证检查。 |
|
Postmaster Tools |
如果您经常发送大量电子邮件,请使用 Postmaster Tools 详细了解从您网域发送的邮件。该功能提供关于递送错误、垃圾邮件举报和反馈环的信息。 |
|
安全调查工具 |
使用安全调查工具获取传入邮件的身份验证状态,然后找出未经身份验证的传入邮件。 |
|
Gmail 报告和 BigQuery |
使用 Gmail 报告和 BigQuery 获取传入邮件的身份验证状态、单封邮件的详细信息和不同时期的递送统计信息。 |
Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。