1982年设计的电子邮件系统有个致命缺陷——任何人都能伪造发件地址。四十多年过去,这个漏洞仍在被钓鱼和垃圾邮件利用。2024年起,Gmail和Yahoo对批量发件人强制要求三项身份验证机制,不合规的邮件直接进垃圾箱或被拒收。

邮件身份验证靠三道防线协同工作。SPF(发件人策略框架)验证发送服务器是否获得域名授权,DKIM(域名密钥识别邮件)用加密签名确保邮件传输中未被篡改,DMARC则强制执行域名对齐策略。三者缺一不可。

打开网易新闻 查看精彩图片

SPF的实现相对直接。域名管理员在DNS中发布TXT记录,列出授权IP地址段。接收方查询该记录,核对发件IP是否在白名单中。关键细节:记录末尾的~all表示软失败,-all才是硬拒绝。生产环境务必使用-all,但需先确认所有合法发件源均已纳入。

打开网易新闻 查看精彩图片

SPF有个硬限制——DNS查询不得超过10次。每用一个include:就消耗一次查询额度,超限会导致permerror,接收方直接忽略整条记录。多服务商场景建议拆分:为每个第三方服务配置独立子域名,如sendgrid._spf.example.com,各自维护SPF记录。

DKIM在2026年的重要性已超过SPF。原因是转发场景:当邮件经中间服务器转发时,发件IP改变导致SPF失效,而DKIM签名依附于邮件内容本身,能完整穿越转发链。DKIM的部署需要生成2048位RSA密钥对,私钥驻留发件服务器用于签名,公钥通过DNS的TXT记录公布供验证。

打开网易新闻 查看精彩图片

2024年的合规清单很具体:SPF或DKIM必须通过验证;DMARC要求From头域名与DKIM签名域名严格对齐;邮件头必须包含一键退订链接;全程TLS加密连接。这些不再是最佳实践,而是准入门槛。身份验证失败时,内容质量再高也无济于事。