什麼是 SPF / DKIM / DMARC?2025 年寄發Email,一定要搞懂的重要知識

#網站知識

什麼是 SPF / DKIM / DMARC?2025 年寄發Email,一定要搞懂的重要知識

夏木樂作為網站廠商,經常要幫客戶設定電子郵件從網站寄發的功能。但經常會遇到企業的信箱寄送到使用者那邊後,卻進了垃圾信。早期可能還不會這麼嚴格,但近年來,許多企業的通知信變成垃圾信的機率越來越高,這是什麼原因呢?

另外,也有許多企業詢問夏木樂,能不能打造自己的 EDM 電子報平台。當企業自己寄發大宗郵件時,要如何避免被視為廣告信件而阻擋呢?

今天夏格飛藉著這篇文章,說明一下近年來日益嚴格的電子郵件寄發規則,以及如何通過認證成為有效的郵件來源。

為什麼現今寄發電子郵件越來越難?

隨著網路詐騙和垃圾郵件日益猖獗,電子郵件的安全性成為企業與個人越來越重視的議題。你是否曾收過「自己寄給自己」的奇怪郵件?或者客戶常常回報沒收到你發的信?這些問題都與電子郵件驗證有關。為了保護使用者的信箱免受垃圾郵件和詐騙郵件的影響,各大電子郵件服務商也開始採取更嚴格的驗證機制。

GoogleYahoo 同時在 2024 年宣布針對電子郵件寄件者的規範。未來寄送到 Gmail 與 Yahoo 的信件, 都將依照相關規範,如果不符合規範的信件,將會受到過濾與阻擋。其中 寄件者身份驗證 就是必須事先完成的認證。而驗證方式包含 SPF / DKIM / DMARC 等等模式。

詳情請見另一篇文章:

為什麼 DMARC、DKIM 和 SPF 很重要?

電子郵件本身是一個設計非常古老的通訊協議,原本並沒有安全驗證的機制。這也讓駭客可以輕易偽造「寄件人」的地址,看起來像是老闆、銀行、或政府機構寄來的信,也可能出現前面提到的「自己寄給自己」的狀況。

為了解決這個問題,業界逐步推廣三種核心技術:

機制用途說明
SPF誰可以代表你寄信用 DNS 記錄證明此網域可以代表你發信,避免被冒用
DKIM保證信件沒被動手腳透過一組特定加密金鑰做解密,確保信件是由你寄送的,已避免信件冒用或是遭到中途攔截竄改訊息。
DMARC監控與回報說明當 SPK / DKIM 驗證未通過時,對於該信件的後續處理措施

這三者相互搭配,構築了一個可靠的寄件人驗證架構。

SPF:誰可以代表你寄信?

SPF 是一個 DNS 記錄,用來指定哪些伺服器可以代表你的網域寄送郵件。當收件伺服器收到信件時,會檢查寄件 IP 是否在你設定的 SPF 記錄中,若不在,則可能標記為垃圾郵件。

例如,若你公司用 Google Workspace 寄信,你的網域就必須設定類似這樣的 SPF 記錄:

v=spf1 include:_spf.google.com ~all

這告訴收件伺服器:「我允許 Google 的伺服器代我寄信,其他的都不可信」。

注意:單有 SPF 並不足以防止所有偽造攻擊,它也無法保證內容沒被竄改,所以還需要 DKIM 來補強。

DKIM:保證信件沒被動手腳

DKIM 則是利用加密技術,幫每封信加上一個「數位簽章」。這個簽章可以讓收件方驗證,這封信確實來自你,且內容沒在中途被竄改。

簽章會以公開金鑰的方式放在 DNS 中,讓收件伺服器能驗證真偽。舉例來說,你的 DNS 中可能會有一段 DKIM 記錄:

default._domainkey.yourdomain.com

有了 DKIM,駭客即使能偽造寄件人,也無法偽造這個數位簽章。這對保護信件內容完整性至關重要。

DMARC:建立規則與監控回報

DMARC 是整合 SPF 和 DKIM 的策略規則,並進一步定義當驗證失敗時該怎麼處理。你可以透過 DMARC 設定以下策略:

  • none:只是收集報告,不採取行動。

  • quarantine:將可疑信件丟入垃圾信夾。

  • reject:直接拒收未通過驗證的信。

同時,DMARC 也可以設定回報機制,讓你定期收到驗證失敗的詳細報告,掌握是否有人冒用你的網域發信。

一個基本的 DMARC 記錄範例如下:

v=DMARC1; p=quarantine; rua=mailto:dmarc-report@yourdomain.com;

其他折衷方式

由於許多企業不具備這麼有經驗的 IT 人員可以設定 DNS,所有某些郵件寄送廠商,會提供折衷的解決方案。例如 SendGrid 就提供了「單一寄件人認證」的服務。

單一寄件人認證

企業必須指定一個專門用來寄件的 Email 位址,這個位址必須要同時能收到信。 SendGrid 會寄發認證信到這個信箱,企業人員登入信箱後,點擊連結完成認證。

一旦完成這個認證,就有很高的機率,網站寄出的通知信不再會掉垃圾郵件了。但這並不屬於上面三種 DNS 認證的其中一種,為什麼會有效果呢?

原因 1:收件伺服器建立了最低程度的信任

完成「單一寄件人驗證」後,SendGrid 會記錄你這個寄件人(例如 youremail@gmail.com)是有經過確認的合法寄件人,而不是隨便填的假寄件者。

  • SendGrid 在發信時,會加上類似 "X-SG-EID" 等內部標頭,告訴收件伺服器「這個寄件人有經過 SendGrid 認證」。

  • 收件服務(Gmail、Outlook)會根據這類標頭、信件歷史、發件者信譽分數等做判斷,並「給你一些額外的信任」。

雖然這不等於 SPF/DKIM 的加密簽章那麼強,但比起未經驗證的亂填 Email 好很多。

原因 2:收件者行為影響學習(尤其是 Gmail)

例如 Gmail、Yahoo 等會依據以下行為「學習」並調整未來信件分類:

  • 你自己或測試者點擊了那封垃圾信 → 移到收件匣 → 點擊「非垃圾郵件」
    👉 Gmail 會認為「這個寄件人好像沒那麼可疑」

  • 點開信、閱讀、點擊連結,這些正向互動都會回饋給 Gmail 的信件評分機制

完成單一寄件人驗證後,再次發信的內容多半是你主動測試、點閱的,這些行為也會默默幫你加分。

原因 3:SendGrid 會把你移出「Sandbox 等待區」

SendGrid 對新帳號、未驗證寄件人、或低信譽發信者有一個隱形的送信沙盒機制(IP Warm-up / 信譽保護)

完成寄件人驗證後:

  • SendGrid 更有信心把信寄出(甚至會用 IP 信譽較高的伺服器)

  • 信件內容中「寄件人標頭」更乾淨,不會被收件端自動視為高風險

原因 4:部分信件過濾器會參考 SendGrid 的內部寄件人資料庫

像 Microsoft Outlook、Yahoo 等信件服務,有可能已與 SendGrid 建立某種信任關係,例如:

  • 寄件者有通過 SendGrid 平台驗證

  • 寄件紀錄健康(低退信率、低垃圾信檢舉)

這些資訊會加總進入信件篩選機制中,所以一旦驗證完成,你的信就比較不容易進垃圾信。

以上是我們常用的郵件廠商 SendGrid 的認證方式,為了保護企業郵件不要被誤認成危險來源,現在的電子郵件廠商都非常嚴格,不讓您自己做太多無法監控的事情。

結論:2025 年了,Email 寄送的門檻不再一樣

從 2024 年開始,Google 和 Yahoo 等大型郵件服務商已經明確要求大量寄信者必須設定 SPF、DKIM 和 DMARC,或者最起碼簡單的「單一寄件人認證」,否則信件可能被拒收或標記為垃圾郵件。即使你只是每月寄幾百封行銷信,也有可能受影響。

此外,設定這些機制不僅是為了防止假冒,更是為了提升送達率和品牌信譽。當收件伺服器看到你設定齊全,會更傾向相信你的信件是合法的,並優先投遞到「收件匣」而非垃圾郵件夾。

如果您想要打造一個網站,並且頻繁對消費者寄發通知信,歡迎找夏木樂洽詢,我們會幫您尋找合適的解決方案。

相關文章