部落格
郵件 SPF DKIM DMARC 設定

隨著網路上垃圾信越來越氾濫,國際間打擊垃圾郵件的力道也越來越強,《沛盛資訊》在2019年協助客戶發送電子報發現,過去即使沒有設定郵件的SFP、DKIM、DMARC,仍然可以正常發送,不會被特別標記。但現在各大個人信箱,如Gmail、Yahoo、Outlook、Hotmail,經常都會被攔截,加註由某某發信機代發,如下圖。

大型品牌客戶,為了維繫自己的品牌形象,不希望被標注”透過”,解決的方法便是設置郵件相關DNS (SFP、DKIM、DMARC)。《沛盛資訊》作為台灣規模最大的電子報發送業者,便協助所有沛盛客戶,不論規模大小,一律設定SFP、DKIM、DMARC。

郵件DNS設定的原因

電子郵件寄送的設計,就如同實體的郵局、郵差。紙本的郵件,任何人都可以寫封信,假冒聲稱是另外一個人,然後交由郵局寄給對方。在電子郵件寄送上,每一個寄件人網域,透過SPF的設定,指名該網域僅能透過某些IP或網域寄送。若電子郵件收信服務器,發現出現非來自指定IP/網域信件,便可做有效的攔截。

當設定完SPF,Gmail便不會顯示”透過”某某代發業者寄送郵件,這是郵件DNS最基礎的一步。接下來,DKIM係用來作為郵件發送的數位簽章,用來防止郵件內容遭到竄改。在發送郵件時由發信服務器對郵件以私鑰進行簽章,收信機接收時用公鑰驗證,如果公鑰與私鑰能配對成功,代表郵件確實為原始發信機所發出。

DMARC 是用來輔助 SPF 與 DKIM 的不足,用來讓發信端網域通知收件端郵件服務器,當遇到 SPF 與 DKIM 的設定檢查不過時,進行的處理方式。最知名的案例就是 Yahoo 在2014年,宣布 DMARC 設為「拒絕」,也就是說所有不是從 Yahoo 郵件服務器發出的郵件,寄信人都不能用 Yahoo 郵件地址。

SFP、DKIM、DMARC 設定方法

透過 SPF、DKIM、DMARC 的郵件驗證機制,在收件端郵件服務器,首先由 SPF 可以檢查是否發信機的 IP 為認可發送該寄信者網域郵件。其次,以 DKIM 查看郵件發信時的私鑰與收信時的公鑰是否匹配,代表內容確實為該發信機發出。最後,由 DMARC 知道,假設 SPF/DKIM 驗證不過時,此封郵件該如何處理。以 Gmail 為例,必須做到 SPF、DKIM、DMARC 通通都設定且驗證通過,這封郵件才比較不可能被丟進垃圾信箱匣。

《沛盛資訊》整理完整的SFP、DKIM、DMARC 設定白皮書,為業界最完整詳實參考手冊,歡迎下載

設定中若有任何問題,都歡迎與《沛盛資訊》聯繫