SPF、DKIM 和 DMARC 是三種常見的電子郵件驗證技術,用來防止垃圾郵件、釣魚攻擊和冒用寄件人地址。它們分別透過「寄件伺服器授權」、「數位簽章驗證」和「策略規範」來提升郵件安全性。

三大驗證機制簡介
 
協定 全名 功能 核心原理
SPF Sender Policy Framework 防止寄件人地址被偽造 在 DNS 中設定 TXT 記錄,指定哪些伺服器可用該網域寄信,收件端會檢查寄件 IP 是否在授權範圍內
DKIM

DomainKeys Identified Mail

 驗證郵件完整性與來源 寄件伺服器在郵件標頭加入加密簽章,收件端用公開金鑰驗證,確保郵件未被竄改
DMARC Domain-based Message Authentication, Reporting & Conformance 整合 SPF 與 DKIM,提供策略與回報機制 網域擁有者可在 DNS 中設定策略(拒絕、隔離或接受),並接收驗證失敗的報告
 

為什麼重要?

  • 防止釣魚攻擊:避免駭客冒用公司網域寄送假郵件。
  • 提升寄件信譽:像 Gmail、Yahoo、Outlook 等郵件服務商會依據 SPF/DKIM/DMARC 驗證結果決定是否將郵件送入收件匣。
  • 品牌保護:避免網域被濫用,維持企業信任度。
  • 合規要求: 2024 年起,Gmail 和 Yahoo 對大量寄件者強制要求 DKIM 與 DMARC 驗證。
 

 

如何設定?

SPF、DKIM 和 DMARC 必須透過管理自己網域的名稱伺服器 ( DNS ) 來設定,請先了解網域的 DNS 主機是自管或是由申請單位代管。

SPF 設定 :
郵件主機的對外 IP 必須固定並於 DNS 中宣告這個 IP,例如: 61.222.xx.xx
DNS 主機要加一筆 TXT 紀錄,範例如下:
Domain.com.tw.  TXT  v=spf1 ip4:61.222.xx.xx/32 -all

主機: Domain.com.tw.  或使用 @ 代表網域。
類型: TXT
內容: v=spf1 ip4:61.222.xx.xx/32 -all

同時這筆 IP 必須向 ISP ( IP 發放單位,例如 Hinet ) 申請該 IP 的反解析服務。 
Hinet 申請網址:  https://www.cht.com.tw/home/campaign/Hinet/value_service.html

DKIM 、DMARC 設定:

請登入自管或代管的 DNS設定畫面。

1.複製郵件伺服器 domain 的相關 金鑰 ( mail server 設定畫面, 郵件管理 > 組態 > 多重網域名稱)

2. DNS 新增 TXT 類型紀錄:
主機: dkim._domainkey
類型: TXT
內容: 如上圖範例。
v=DKIM1; k=rsa; p=MIGfMA0GCSq ******   這段公開金鑰完整內容

3.到 DNS 服務器再新增一筆 DMARC 紀錄,如下:
主機: _dmarc
類型: TXT
內容:  v=DMARC1; p=quarantine


以上設定完成到 -->郵件管理 > 組態 > 設定,"啟動 DKIM-Signature" 這個勾選啟用。
 




 




 
回上層