如何正确配置域名的SPF解析以避免邮箱解析异常？

操作场景

SPF是遵循一定格式规范的TXT类型的DNS记录，Gmail等邮件系统严格校验域名的SPF解析，如果邮箱解析的SPF记录集配置不正确，通常会导致以下几类问题：

• 邮件被拒绝：接收邮件服务器在验证SPF记录时，发现发件人IP不在允许列表中，可能会直接拒绝邮件，导致邮件无法送达。
• 邮件被标记为垃圾邮件：SPF记录错误可能导致邮件被接收方标记为垃圾邮件，降低邮件的可信度，影响送达率。
• 送达率下降：错误的SPF记录可能影响邮件的正常投递，导致邮件无法及时到达用户收件箱。
• 合法邮件被误判：接收方可能错误地将合法邮件识别为垃圾邮件，影响用户体验。
• 增加安全风险：错误的SPF记录可能让攻击者更容易伪造邮件，增加被钓鱼或恶意邮件攻击的风险。

本文档指导您配置正确的SPF记录以避免您的邮箱业务异常。

SPF记录集规范

在配置TXT记录的value值时，必须严格遵循相关格式规范，以下内容是SPF记录集的核心语法，

以如下SPF记录为例：

v=spf1 ip4:192.xx.xx.0 ip4:192.xx.xx.1 include:example.com -all

• v=spf1：告诉服务器这里包含一条SPF记录，每一条 SPF 记录都必须以这个字符串开始。
• ip4:192.xx.xx.0 ip4:192.xx.xx.1：表示SPF记录授权的客户端IP地址，即本域授权IP地址为192.xx.xx.0和192.xx.xx.1的客户端发送电子邮件。
• include:example.com：告知收件方哪些第三方组织被授权代表该域名发送电子邮件。在该示例中，被包含域example.com的SPF记录内容应被检查，其中包含的IP地址也应被视为已授权。

  一条SPF记录中可包含多个域名。

• -all：排外标识，表示SPF记录中未列出的地址，没有被授权发送电子邮件，应该被拒绝。

  ~all：表示未列出的电子邮件将被标记为不安全邮件或垃圾邮件，但仍会被接受。

  +all：表示任何服务器都可以代表该域发送电子邮件。

约束与限制

要确保SPF记录有效，需要注意如下几点：

• SPF记录必须以“v=spf1”开头。
• 每个域名不能关联多条SPF记录。
• 建议SPF记录以“-all”或者“~all”结尾，明确排外策略。

SPF记录集如何配置

以公网域名解析为例，配置SPF记录集详细请参见配置公网域名解析。

示例：通过华为云DNS为域名hwdnsops.net配置SPF记录集，如下图所示，仅供参考。

检测SPF记录是否有效

在您添加SPF记录后，可使用MXToolbox工具进行检测，以确保您的SPF记录配置可以正常使用。

以spf.hwdnsops.net为例：

1. 通过浏览器访问MXToolbox。
2. 在页面的搜索框中输入您的SPF记录集名称。
3. 单击检测按钮后面的，下拉选择“SPF Record Lookup”。

   

4. 单击检测按钮，查看检测结果。

   

   • 第一部分是解析SPF记录后的功能描述。
   • 第二部分是检查SPF的配置是否符合规范。

     如果配置不符合规范，会出现检测失败，如下图所示。