mailcow DKIM, SPF and DMARC
設定 SPF 發信驗證
- SPF 是一個防止網域冒名發信的機制,透過設定自己網域的 TXT 紀錄來指定發信主機,如果接收 Email 的主機找不到信件網域的 SPF 記錄,在無法驗證的情況下退信機率極高!要加入 SPF 很簡單,請在 DNS 新增一筆記錄如下:
Type: TXT
Host: @
Value: v=spf1 include:_spf.google.com ~all
- 如果您的 DNS 主機有支援 SPF 設定,也可以另外加入 SPF Type,但是原本的 TXT Record 還是一定要新增會比較保險。如果您除了使用 GMail 還有在其他主機透過程式發信,也一定要加入發信主機的 IP Address,SPF Record 如下:
Type: SPF
Host: @
Value: v=spf1 include:_spf.google.com ip4:1.0.0.2 ip4:1.0.0.1 a mx ~all
-
驗證結果如下:
設定 DMARC 處理策略
- 設定好 SPF 之後我們先設定 DMARC,因為這個比較簡單,但是實際上 DMARC 驗證機制是基於 SPF 與 DKIM 兩個驗證方法。DMARC 直接在 DNS Server 設定即可,請加入以下 TXT Record:
Type: TXT
Host: _dmarc
Value: v=DMARC1; p=none; rua=mailto:postmaster@<您的網域>.com
-
驗證結果如下:
設定 DKIM 公鑰
111.09.21 目前最新版本會自動協助產出 DKIM 。
- 進入網頁上的頁面有一個 DKIM 選項,選擇要產生的網域點選 2048 然後按下 Add 系統會自動產生key
- 去查看剛剛選擇的網域裡面會有看到 DKIM 這個項目,把裡面的值複製到 DNS 上面就可以了
-
因產生出來的 DKIM 值過長,如果您是自建用
bind
的話會因為字元過長造成無法啟動服務因此要修改該 DKIM 值。要把值切成多段就可正常重啟服務了,這個可能需要由您自己判斷要切多長了。 -
線上驗證 DKIM Record Lookup
-
驗證結果如下:
- 線上驗證 MX Lookup