2025-06-23如何在 Google Workspace 中设定 SPF、DKIM 和 DMARC 确保电子邮件安全与发送达率

我常常接到很多询问，发现有很多做外贸的同学会使用 Google Workspace来管理商业电子邮件。虽然这不是发行大量邮件的最好平台，但即使是一般的商业邮件，若未正确设定电子邮件认证，和大量发送的邮件一样可能会被标记为垃圾邮件，甚至无法送达收件者信箱。

设定SPF、DKIM和DMARC是确保邮件安全性和提升送达率的关键步骤。接下来用简单易懂的方式，手把手教你完成这些设置，！

为什么需要设定SPF、DKIM和DMARC？

先前的文章中有提到，Google和其他邮件服务（如雅虎）在2024年起对大量邮件寄送者的要求内，就包含了这三项认证，今年微软也加入了这个行列，所以这三项认证在获得良好声誉来说，是必要的存在。除了这个理由之外，这些认证也可以保护您的品牌，防止钓鱼邮件或诈骗邮件假冒您的网域。

事前准备

在开始设置之前，请确认以下事项：

1. 您拥有 Google Workspace 管理员账号
2. 有些功能需要 Google Workspace 管理员权限才能执行。
3. 您拥有域名管理权限
4. 您需要能够登录 DNS（如阿里云、GoDaddy、Namecheap）或 DNS 托管商（如 Cloudflare）的管理后台。
5. 检查现有的 DNS 记录
6. 确保您了解目前的 DNS 设置，避免错误删除、重复或记录冲突。

一：设置 SPF 记录

SPF 记录是一个 TXT 记录，告诉接收邮件服务器哪些 IP 地址或服务器可以代表您的域名发送邮件。对于 Google Workspace，您需要新增 Google 的 SPF 记录。

操作步骤

1. 登录域名管理后台
2. 登录您的域名注册商或 DNS 托管商（如阿里云或 Cloudflare）。
3. 找到“DNS 管理”或“高级 DNS 设置”区域。
4. 检查现有 SPF 记录
5. 搜索是否有以 v=spf1 开头的 TXT 记录。
6. 如果已存在 SPF 记录，建议删除重新设置，因为每个域名只能有一条 SPF 记录，否则可能导致系统查找失败。
7. 新增 SPF 记录
8. 点击「新增记录」或「新 DNS 记录」，参考 Google 官方文档，设置以下内容：
9. TXT 记录类型：选择 TXT
10. 主机名称：@ 代表根域名，或留空。
11. 值：输入 v=spf1 include:_spf.google.com ~all（表示授权 Google Workspace 发送邮件，并对未授权的发送者进行软失败，标记为可疑）。
12. 保存记录。

二：设置 DKIM 记录

DKIM 为您的电子邮件添加数字签名，确保邮件内容未被篡改。Google Workspace 会为您的域名生成 DKIM 公钥，只需将其添加到 DNS 记录即可。您也可以参考 官方文档 进行设置。

操作步骤

1. 在 Google Workspace 中生成 DKIM 密钥
2. 登录 Google 管理控制台
3. 导航至 应用 > Google Workspace > Gmail > 电子邮件验证

1. 选择要设置 DKIM 的域名，点击「生成新记录」。
2. 选择 DKIM 长度（建议 2048 位，前缀使用系统默认），然后点击「生成」。

1. Google 会提供以下信息：
2. 类型：TXT
3. TXT 记录名称：google._domainkey
4. TXT 记录值：以 v=DKIM1; k=rsa; p= 开头的长字符串。
5. 复制这些信息备用。
6. 在域名管理后台新增 DKIM 记录
7. 返回您的 DNS 管理页面，点击「新增记录」。
8. 设置以下内容：
9. 类型：TXT
10. 名称/主机：输入 google._domainkey（或 Workspace 管理员提供的名称）。
11. 值：粘贴 Google 提供的完整 DKIM 值（从 v=DKIM1 开始）。
12. 保存记录。
13. 启用 DKIM 验证
14. 返回 Google Workspace 管理员的「电子邮件验证」页面。
15. 点击「开始验证」。
16. 如果验证失败，可能是 DNS 记录尚未传播，请等待几分钟或几小时后重试。

三：设置 DMARC 记录

DMARC 结合 SPF 和 DKIM，定义未通过认证的邮件应如何处理，并提供域名使用报告。建议在 SPF 和 DKIM 传播完成并验证通过后再设置 DMARC，否则容易验证失败。

操作步骤

1. 生成 DMARC 记录
2. 可以使用 EasyDMARC 的 DMARC 记录生成器 生成记录，或根据 Google 建议 手动创建。
3. 例如，最简单的 DMARC 记录示例：
4. v=DMARC1; p=none; rua=mailto:rua@example.com;
5. p=none：不对未通过认证的邮件采取行动。
6. rua：指定接收 DMARC 报告的电子邮件地址（建议使用您的域名或 Google Workspace 群组邮件）。
7. 在域名管理后台新增 DMARC 记录
8. 返回 DNS 管理页面，点击「新增记录」。
9. 设置以下内容：
10. 类型：TXT
11. 名称/主机：输入 _dmarc.example.com（将 example.com 替换为您的域名）。
12. （某些 DNS 可能会自动配置域名，记录会自动变成 _dmarc。）
13. 值：粘贴生成的 DMARC 记录，如 v=DMARC1; p=none; rua=mailto:rua@example.com。
14. 保存记录。
15. 关于如何进一步加强 DMARC 保护您的域名，后续我会再发一篇文章详细说明。

注意事项

1. 避免多个 SPF 或 DMARC 记录
2. 每个域名只能有一个 SPF 记录和一个 DMARC 记录。多个记录会导致认证失败。如果使用第三方邮件服务（如 Mailchimp），可以用分号 ; 来扩展认证范围。
3. 定期检查 DNS 记录
4. 每年至少检查一次 SPF、DKIM 和 DMARC 设置，并根据 DMARC 报告（RUA）中的问题加强防护。
5. DNS 传播时间
6. DNS 记录变更可能需要 1-48 小时才能生效。如果验证测试失败，请稍等再试。如果确认设置无误但仍失败，可能是记录冲突，可以检查是否有重复记录。
7. 验证设置
8. 设置完成后，可以使用 MX Toolbox 工具检查，或发送一封邮件至 Gmail 账户，点击邮件右上角的「显示原始邮件」，检查标头是否显示 pass。

虽然本次以 Google Workspace 域名作为示范，但无论是使用哪个 DNS 服务，官方都会提供设置参数的教学。设置前请先准备好资料，这样设置时就会更快完成！ 我将操作方式的影片放在这里，不清楚可以来参考。