电子邮件验证体系深度解析：DMARC、SPF 与 MX 记录

一、MX 记录（Mail Exchange Record）

• 告知其他邮件服务器「邮件应发送至哪个服务器」

• 支持多服务器配置，通过优先级数字（数值越小优先级越高）实现主备切换

example.com.    IN  MX  10 mail1.example.com.  
example.com.    IN  MX  20 mail2.example.com.

• 主服务器：mail1.example.com（优先级 10）

• 备份服务器：mail2.example.com（优先级 20）

# 使用nslookup查询  nslookup -type=mx example.com  

# 使用dig命令查询  dig mx example.com

二、SPF 记录（Sender Policy Framework）

• 防止伪造域名发送垃圾邮件

• 帮助收件方验证发件服务器的合法性

example.com.    IN  TXT  "v=spf1 mx a:mail.example.com include:_spf.google.com ~all"

• v=spf1：指定 SPF 协议版本为 1

• mx：允许 MX 记录中列出的服务器发送邮件

• a:mail.example.com：允许该主机的 A 记录 IP 发送邮件

• include:_spf.google.com：继承 Google 的 SPF 规则

• ~all：软失败策略（标记异常邮件但不直接拒绝）

# 使用nslookup查询  nslookup -type=txt example.com  

# 使用dig命令查询  dig txt example.com

三、DMARC 记录（Domain-based Message Authentication, Reporting & Conformance）

• 明确未通过验证邮件的处理策略（接受 / 隔离 / 拒绝）

• 监控域名滥用情况，提供验证结果报告

_dmarc.example.com.    IN  TXT  "v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-forensics@example.com; fo=1"

• v=DMARC1：协议版本为 DMARC1

• p=quarantine：验证失败的邮件放入垃圾邮箱（可选策略：none仅报告，reject直接拒绝）

• pct=100：策略应用于 100% 的邮件

• rua：接收聚合报告的邮箱地址

• ruf：接收取证报告的邮箱地址

• fo=1：当 SPF 或 DKIM 任一验证失败时生成报告

# 使用nslookup查询  nslookup -type=txt _dmarc.example.com  

# 使用dig命令查询  dig txt _dmarc.example.com

四、三者协同关系与工作流程

▶ 邮件发送流程

1. 发送方服务器连接至接收方服务器

2. 接收方通过MX 记录定位收件服务器地址

▶ 验证流程

1. SPF 验证：检查发件 IP 是否在 SPF 记录授权列表内

2. DKIM 验证：（可选）检查邮件是否被篡改（本文未详述）

3. DMARC 决策：根据 SPF/DKIM 结果，按 DMARC 策略处理邮件（接受 / 隔离 / 拒绝）

▶ 报告流程

五、最佳实践指南

▍MX 记录配置建议

• 冗余设计：至少设置 2 条 MX 记录（主备服务器）

• 优先级逻辑：主服务器优先级≤10，备份服务器优先级≥20

• 服务可用性：确保 MX 指向的服务器正常运行且开放 25 端口

▍SPF 记录配置建议

• 全授权覆盖：包含所有合法发件服务器（如办公邮箱、营销邮件平台等）

• 拒绝策略：避免使用+all（允许所有），推荐使用~all（软拒绝）或-all（硬拒绝）

• 长度限制：记录总长度≤255 字符，超长可拆分多个 TXT 记录（用括号包裹）

▍DMARC 记录部署步骤

1. 初始阶段：设置p=none仅收集报告，不执行过滤

2. 分析阶段：通过报告识别异常发件源，补充 SPF 授权

3. 强化阶段：逐步调整为p=quarantine（隔离）或p=reject（拒绝）

4. 监控机制：配置有效报告邮箱，定期分析验证数据

六、常见问题与解决方案

七、总结

• 提升送达率：减少被误判为垃圾邮件的概率

• 保护域名安全：有效抵御钓鱼邮件和域名滥用

• 增强合规性：满足行业标准（如金融、医疗等领域的邮件安全要求）