外贸开发信总进垃圾箱？先把 SPF、DKIM、DMARC 这三条 DNS 记录配对

自 2024 年 2 月起，Gmail 与 Yahoo 已强制要求“批量发件方”必须同时配置 SPF、DKIM、DMARC，否则邮件会被直接拒收或丢进垃圾箱。对靠开发信获客的外贸团队来说，这是一道绕不开的硬门槛。这三条记录可以理解为邮件世界里的“身份证 + 防伪签名 + 验真规则”，缺一不可。下面把它们各自的作用和配置方法讲清楚。

一、SPF：声明“谁有资格替我的域名发信”。SPF 是一条加在域名上的 TXT 记录，告诉收件服务器哪些 IP 或邮件服务商被允许用你的域名发信。例如用 Microsoft 365 发信，记录通常是 v=spf1 include:spf.protection.outlook.com -all，结尾的 -all 表示“除清单内的来源外一律不可信”。两个最常见的坑：第一，一个域名只能有一条 SPF 记录，同时用多个发信平台时要把各自的 include 合并进同一条，不能写多条；第二，SPF 有 10 次 DNS 查询的上限，include 套太多层会导致整条记录失效。

二、DKIM：给每封信盖上“防伪数字签名”。DKIM 使用一对密钥：私钥保存在发信服务器上，对每封外发邮件生成签名；公钥则以 TXT 记录发布在你的 DNS 里，通过一个选择器（selector）定位，形如 selector1._domainkey.yourdomain.com。收件方用公钥验签，就能确认邮件在传输途中没被篡改、且确实来自你的域名。主流企业邮箱（Microsoft 365、Google Workspace、Zoho）后台都能一键开启 DKIM，开启后系统会给出需要添加的 DNS 记录，照着加到域名解析里即可。

三、DMARC：把前两者绑在一起，并规定“验不过怎么办”。DMARC 同样是一条 TXT 记录，加在 _dmarc.yourdomain.com 上。它要求 SPF 或 DKIM 至少有一项通过、且与发件域名“对齐”，并定义验证失败时的处置策略：p=none 只监控不拦截，p=quarantine 丢进垃圾箱，p=reject 直接拒收。正确做法是循序渐进：先用 p=none，并配上 rua=mailto:你的邮箱 来接收聚合报告，观察两到三周、确认正常邮件都能通过后，再收紧到 quarantine，最后才上 reject。一上来就 p=reject，很可能把自己的正常邮件也一起误杀。

四、配置完怎么自查？最简单的办法：用该域名给一个 Gmail 地址发一封测试邮件，在 Gmail 里点开“显示原始邮件”，看到 SPF、DKIM、DMARC 三项都是 PASS，就说明配置已经生效。也可以用 MXToolbox 的在线工具检测，或在命令行执行 nslookup -type=txt yourdomain.com 直接查看记录是否已发布。注意 DNS 解析生效通常需要几分钟到几小时，刚加完查不到属于正常现象，稍等再试即可。

五、最后一句实话：身份认证是“必要条件”而不是“充分条件”。把这三条配好，只是让邮件不被收件方在第一道关卡直接拦下。要让进箱率真正稳定，还要做好发件域名预热、控制发送频率、定期清洗无效与退信地址、保证邮件内容不像群发广告。把认证和这些发送习惯一起做扎实，开发信才能稳稳落进买家的收件箱。