mailcow DKIM, SPF and DMARC

設定 SPF 發信驗證

• SPF 是一個防止網域冒名發信的機制，透過設定自己網域的 TXT 紀錄來指定發信主機，如果接收 Email 的主機找不到信件網域的 SPF 記錄，在無法驗證的情況下退信機率極高！要加入 SPF 很簡單，請在 DNS 新增一筆記錄如下：

Type: TXT
Host: @
Value: v=spf1 include:_spf.google.com ~all

• 如果您的 DNS 主機有支援 SPF 設定，也可以另外加入 SPF Type，但是原本的 TXT Record 還是一定要新增會比較保險。如果您除了使用 GMail 還有在其他主機透過程式發信，也一定要加入發信主機的 IP Address，SPF Record 如下：

Type: SPF
Host: @
Value: v=spf1 include:_spf.google.com ip4:1.0.0.2 ip4:1.0.0.1 a mx ~all

• 線上驗證 SPF Record Check - Lookup SPF Records

• 驗證結果如下：

設定 DMARC 處理策略

• 設定好 SPF 之後我們先設定 DMARC，因為這個比較簡單，但是實際上 DMARC 驗證機制是基於 SPF 與 DKIM 兩個驗證方法。DMARC 直接在 DNS Server 設定即可，請加入以下 TXT Record：

Type: TXT
Host: _dmarc
Value: v=DMARC1; p=none; rua=mailto:postmaster@<您的網域>.com

• 線上驗證 DMARC Check Tool - Check DMARC Records for Errors

• 驗證結果如下：

設定 DKIM 公鑰

111.09.21 目前最新版本會自動協助產出 DKIM 。

• 進入網頁上的頁面有一個 DKIM 選項，選擇要產生的網域點選 2048 然後按下 Add 系統會自動產生key

• 去查看剛剛選擇的網域裡面會有看到 DKIM 這個項目，把裡面的值複製到 DNS 上面就可以了

• 因產生出來的 DKIM 值過長，如果您是自建用 bind 的話會因為字元過長造成無法啟動服務因此要修改該 DKIM 值。要把值切成多段就可正常重啟服務了，這個可能需要由您自己判斷要切多長了。

• 線上驗證 DKIM Record Lookup

• 驗證結果如下：

• 線上驗證 MX Lookup

參考相關網頁：

• DNS Setup
• 設定 SPF, DKIM, DMARC Email 驗證解決「Gmail 未經驗證網域」警告

• [Bind] DNS 新增 Mail Server DKIM TXT欄位 - 超過 255 字元處理方式
• 線上驗證工具
• DNS驗證