App StoreApp Store
Google PlayGoogle Play
Temp Mail Logo

Temp Mail 保护您的隐私,同时让您的收件箱远离垃圾邮件。

← Back to Blog
Privacy

如何检查任意域名的 SPF / DKIM / DMARC (2026 免费指南)

Best-TempMail 团队2026-04-04
如何检查任意域名的 SPF / DKIM / DMARC (2026 免费指南)

如果你的邮件正在被丢到垃圾邮件、被退回,或者带着 "未验证发件人" 的警告,你应该首先检查的就是你的 邮件认证设置

也就是说,你需要核对这三条关键记录:

  • SPF (Sender Policy Framework)
  • DKIM (DomainKeys Identified Mail)
  • DMARC (Domain-based Message Authentication, Reporting, and Conformance)

这些 DNS 记录会告诉 Gmail、Outlook、Yahoo 等邮箱服务商,你的域名是否真的被授权可以发邮件。如果其中任何一条缺失、损坏或者过于宽松,你的消息很快就会失去信任。

在这份免费的 2026 指南里,你会学到:

  • 如何检查 SPF 记录
  • 如何检查 DKIM 记录
  • 如何检查 DMARC 记录
  • 为什么邮件即使有了这些记录还会被丢进垃圾箱
  • 邮件认证里最常见的错误
  • 在任意域名上排查送达性问题的最快方法

如果你正在管理一个企业域名、邮件订阅、客服邮箱、外联活动、SaaS 产品或者冷邮件系统,这是你能做的最重要的技术检查之一。

一句话回答:怎样检查一个域名的 SPF / DKIM / DMARC?

要检查任意域名的 SPF、DKIM、DMARC:

  1. 查询该域名的 DNS TXT 记录
  2. 验证存在 SPF 记录 且有效
  3. 验证某个 DKIM 选择器 能解析到一个有效的公钥
  4. _dmarc.你的域名.com 处查找 DMARC 策略
  5. 确认这些记录不仅 "存在",还要 配置正确
  6. 如果邮件仍在进垃圾箱,分析一封 真实邮件的邮件头,看到底什么通过、什么失败

对于新手而言,最快的方法是先用 Email Health Checker 跑一次完整的域名扫描,如果哪里看起来不对再去深入具体记录。

2026 年 SPF / DKIM / DMARC 为什么重要

邮箱服务商比以往任何时候都更加严格。

现代收件箱不只看你的邮件内容,还会看你的域名是否拥有可信的发送配置。

强健的 SPF / DKIM / DMARC 设置能帮你:

  • 改善 进入收件箱的几率
  • 降低 邮件伪造 (spoofing) 风险
  • 防止你的域名被用于钓鱼攻击
  • 减少进入 垃圾邮件箱 的概率
  • 让 Gmail、Outlook、Yahoo 和企业邮件网关更信任你
  • 随着时间推移,建立更健康的发件人声誉

如果你在发送以下任何一种邮件:

  • 事务性邮件
  • 验证码
  • 邮件订阅 (Newsletter)
  • 冷外联
  • 客服回复
  • 密码重置邮件
  • SaaS 通知

…那邮件认证就不再是可选项了。

什么是 SPF / DKIM / DMARC? (通俗解释)

在动手检查记录之前,理解一下每一项各自做什么会很有帮助。

SPF: 谁有权代表你的域名发送邮件

SPF 是一条 DNS TXT 记录,列出哪些邮件服务器或服务被允许代表你的域名发送邮件。

例如,如果你正在使用:

  • Google Workspace
  • Microsoft 365
  • Mailgun
  • SendGrid
  • Amazon SES
  • Brevo
  • Zoho Mail

…那么这些服务通常需要写进你的 SPF 记录里。

SPF 防的是: 没有授权却假装从你域名发邮件的发件人。

SPF 不能保证的是: 可见的 "From" 地址完全按照 DMARC 接受的方式对齐 (alignment)。

DKIM: 证明邮件被签过名

DKIM 会给你的发件邮件附上一段密码学签名。

收件方服务器收到这条消息后,会检查保存在 DNS 里的公钥,确认:

  • 这封邮件是被授权发送方签名过的
  • 邮件在传输途中没有被篡改

DKIM 防的是: 被篡改的邮件,以及没有有效签名的伪造邮件。

重要: DNS 里有 DKIM 记录 并不 自动等同于 DKIM 在真实发件中工作正常。

DMARC: 当 SPF 或 DKIM 失败时,告诉收件方该怎么处理

DMARC 建立在 SPF 和 DKIM 之上。

它告诉收件方服务器:

  • 失败的邮件是该 被监控被隔离,还是 被拒收
  • 聚合报告 发到哪里
  • 通过认证的域名是否与可见的 "From" 域对齐

DMARC 策略的几种取值:

  • p=none → 仅监控
  • p=quarantine → 可疑邮件可能被丢去垃圾箱
  • p=reject → 失败的邮件应被拒收

DMARC 防的是: 域名伪装、冒充身份,以及对认证执行的不力。

如何检查任意域名的 SPF / DKIM / DMARC

下面是最简单也最实用的工作流。

第 1 步:先做一次完整的邮件认证扫描

不要一条一条手工查记录,先做一次 域名层级的全景扫描

Email Health Checker 可以快速看到:

  • SPF 状态
  • DKIM 是否存在
  • DMARC 是否存在
  • MX 配置
  • 基础认证健康度
  • 常见的风险信号

这是最好的第一步,因为它能立即告诉你:在你深入排查之前,这个域名是不是缺了一些显而易见的东西。

为什么重要: 很多域名失败的原因都是简单问题,比如没有 DMARC、没有 DKIM、缺少 MX、SPF 结构有问题。

第 2 步:如何检查 SPF 记录

如果你想知道 怎么正确检查 SPF 记录,不要只问 "它存在吗?",你要问:它是否有效、干净,并且在限制范围之内?

一条有效的 SPF 记录长什么样

通常以这样开头:

v=spf1 include:_spf.google.com ~all

看哪些点

  • v=spf1 开头
  • 该域名只有 一条 SPF TXT 记录
  • 包含你 当前 在用的发送服务商
  • 以一个合理的策略结尾,例如:
    • ~all (软失败)
    • -all (硬失败)
  • 没有 超过 10 次 DNS 查询上限

常见的 SPF 错误

  • 发布了 多条 SPF 记录
  • 留着以前邮件服务商遗留的 include:
  • 用了 +all 这种过于宽松的规则
  • 超过了 10 次查询上限
  • 切换 ESP 后忘了更新 SPF

2026 年最大的 SPF 隐患:10 次查询限制

这是很多送达性问题中最常见、却也最隐蔽的"杀手"。

如果你的 SPF 嵌套了太多服务商、转发服务或 SaaS 工具,可能就会超过允许的 DNS 查询次数,然后悄无声息地失败。

如果你的 SPF 比较复杂,可以用 SPF Flattening Toolinclude 链 "拍平" 为显式的 IP,让记录保持在限制以内。

第 3 步:如何检查 DKIM 记录

如果你在搜 怎么检查 DKIM 记录,关键要点是:

DKIM 是基于选择器 (selector) 的。

也就是说,你通常需要:

  • 域名
  • 发送平台所使用的 选择器

DKIM 记录通常住在类似下面的位置:

selector1._domainkey.example.com

看哪些点

  • 选择器能正确解析
  • 存在一条 TXT 记录
  • 公钥 (p=) 在
  • 记录格式正确
  • 密钥强度足够
  • 平台是真的在给真实发件邮件签名

常见的 DKIM 错误

  • 用错了选择器
  • 记录发布了,但邮件服务商那边没启用 DKIM
  • DNS 中的 TXT 格式损坏
  • 密钥过弱或过旧
  • 错误地轮换密钥
  • 把 "记录存在" 当成 "DKIM 通过"

如果你想对记录本身做更深入的技术检查,可以用 DKIM Analyzer 查看密钥强度、记录结构和潜在的 DKIM 配置问题。

第 4 步:如何检查 DMARC 记录

要正确地 检查 DMARC 记录状态,请去找下面这个位置的 TXT 记录:

_dmarc.example.com

一条最基本的 DMARC 记录长这样:

v=DMARC1; p=none; rua=mailto:dmarc@example.com

看哪些点

  • v=DMARC1 开头
  • 设有策略:
    • p=none
    • p=quarantine
    • p=reject
  • 最好包含报告地址:
    • rua=mailto:...
  • 可选的取证报告:
    • ruf=mailto:...
  • 可能存在对齐设置:
    • adkim=
    • aspf=
  • 可选的渐进式上线:
    • pct=

常见的 DMARC 错误

  • 根本没有 DMARC 记录
  • 永远停留在 p=none
  • 没有配置接收报告的邮箱
  • 语法错误
  • 忽视对齐失败
  • 不理解就照抄一份通用记录

要快速验证记录,看它是只在监控还是真的在执行,可以用 DMARC Checker

为什么有 SPF / DKIM / DMARC,邮件还是进垃圾箱

这是送达性里最容易被误解的一部分。

一个域名可能 存在 SPF、DKIM、DMARC 记录,邮件仍然会落到垃圾箱。

为什么?

因为 存在 不等于 配置正确

常见原因:

  • SPF 存在,但超过了 10 次查询限制
  • SPF 通过,但 对齐失败
  • DKIM 记录存在,但 真实签名失败
  • 邮件被转发或重写后 DKIM 被破坏
  • DMARC 存在,但停在 p=none
  • 域名声誉差
  • 发送 IP 声誉差
  • 内容触发了垃圾邮件过滤器
  • 链接看起来可疑
  • 退信率很高
  • 投诉率很高
  • 反向 DNS 缺失或弱
  • 发送量模式突然变化

一个重要事实

SPF + DKIM + DMARC 是基础,而不是整个送达性体系。

它们帮助邮箱服务商更信任你,但无法弥补糟糕的发件人声誉或具有垃圾邮件特征的发送行为。

怎么排查邮件为什么进了垃圾箱

如果你的 DNS 记录看起来一切正常,但真实邮件仍然落进垃圾箱,就别只盯着 DNS 看了。

你需要去检查 邮件原始头 (raw email headers)

那才是接收端服务器实际看到的东西。

可以用 Email Header Analyser 来分析:

  • SPF pass/fail
  • DKIM pass/fail
  • DMARC pass/fail
  • Authentication-Results
  • 邮件跳数 / 中继路径
  • 对齐相关的线索
  • 与垃圾邮件路由相关的信号

这一步非常关键:很多人只检查 DNS 记录,从来不去测试 真正送达的邮件,而隐藏的问题往往就在那里。

检查邮件认证最快的工作流

要在 2026 年用最简单实用的工作流,按这个顺序就好:

  1. 先用 Email Health Checker 做一次大范围扫描
  2. DMARC Checker 检查 DMARC 策略与执行级别
  3. DKIM Analyzer 检查 DKIM 质量和选择器有效性
  4. SPF Flattening Tool 审视 SPF 结构和查询次数
  5. 如果收件箱投递仍然失败,用 Email Header Analyser 分析真实邮件头

这样你就同时拥有:

  • DNS 层级 的视角
  • 策略层级 的视角
  • 真实邮件层级 的视角

这三种视角的组合远比只做一次基本的 TXT 查询要有用得多。

要避开的常见 SPF / DKIM / DMARC 错误

下面这些错误在企业域名、SaaS 应用和冷邮件系统中反复出现。

SPF 错误

  • 多条 SPF TXT 记录
  • 太多 include: 查询
  • 旧服务商还留在记录里
  • +all 或者过于宽松的策略
  • 切换服务商之后没有更新 SPF

DKIM 错误

  • 选择器错了
  • 记录发布了但签名功能没开
  • TXT 格式损坏
  • 密钥过弱
  • 没用真实发出的邮件做过测试

DMARC 错误

  • 没有 DMARC 记录
  • 永远停留在 p=none
  • 没有 rua= 报告地址
  • 忽视对齐
  • 语法错误
  • 从来没有走向真正执行

2026 年的 SPF / DKIM / DMARC 最佳实践

如果你今年想拥有更好的收件箱投递率,目标线大致是:

  • 只发布 一条干净的 SPF 记录
  • SPF 保持在 10 次查询上限以内
  • 把 SPF 里那些已废弃或不再使用的服务商清掉
  • 使用强 DKIM 密钥
  • 确认 DKIM 在 真实发件邮件 上签了名
  • 在每一个用于发送邮件的活动域名上发布 DMARC
  • 从监控开始,逐步过渡到执行
  • 收集 DMARC 报告
  • 不只看 pass/fail,还要看对齐
  • DNS 或 ESP 变更后重新测试
  • 一旦感觉哪里不对,就去看邮件头
  • 长期监控声誉和退信趋势

这份清单适合谁?

这份指南适合你在运行:

  • 公司网站
  • SaaS 产品
  • 客服邮箱
  • 邮件订阅系统
  • 事务性邮件
  • 冷外联活动
  • 代理代管的客户域名
  • 自定义域名邮件转发
  • 电商通知
  • 密码重置 / 验证系统

如果邮件对你的业务很重要,那邮件认证同样重要。如果你用 一次性邮箱 来做测试,理解邮件认证还能帮你挑出真正能成功送达的服务商。

写在最后

如果你需要从自己的域名发送邮件,学会如何检查 SPFDKIMDMARC,是你能学到的回报率最高的技术技能之一。

它能帮你:

  • 改善收件箱投递率
  • 降低被伪造的风险
  • 诊断为什么邮件会进垃圾箱
  • 抓出隐蔽的 DNS 错误
  • 与邮箱服务商建立信任

而最重要的一点是:

仅仅"拥有" SPF / DKIM / DMARC 记录是不够的——它们必须有效、对齐,并且经过真实邮件行为的检验。

一个域名乍一看可能是"已经配置好"的,实际上还是会在生产环境失败。

所以最聪明的做法是:

  • 检查域名
  • 审视记录
  • 验证策略
  • 测试真实邮件

把这件事做成习惯,你就能在送达性受损之前,提前发现绝大多数邮件认证问题。

常见问题 (FAQ)

怎么查一个域名的 SPF?

去 DNS 里找一条以 v=spf1 开头的 TXT 记录。确保 只存在一条 SPF 记录、它包含你当前在用的发送服务商,并且没有超过 10 次 DNS 查询限制

怎么查一个域名的 DKIM?

你需要这个 域名,以及通常情况下发送平台使用的 选择器。这条 DKIM TXT 记录里应该包含一个有效的公钥并具有正确的格式,而且你还要确认真实发出的邮件确实在被签名。

怎么查一个域名的 DMARC?

_dmarc.你的域名.com 找一条 TXT 记录。它应该以 v=DMARC1 开头,并包含一个策略,比如 p=nonep=quarantinep=reject。强烈建议同时配置一个 rua= 报告地址。

最好的 SPF / DKIM / DMARC 检查工具是什么?

最好的方法不是单一的某个检查,而是把以下几个组合起来:

  • 域名级别的邮件认证扫描
  • DMARC 直接验证
  • DKIM 记录检查
  • SPF 结构审视
  • 真实邮件头分析

这样你既能拿到 DNS 视角,也能拿到真实邮件视角。

为什么有了 SPF、DKIM、DMARC,邮件还是会进垃圾箱?

因为这些记录的"存在"并不能 保证 进入收件箱。邮件仍可能因为以下原因被丢进垃圾箱:

  • 对齐失败
  • DKIM 签名损坏
  • SPF 结构薄弱
  • 域名或 IP 声誉差
  • 内容触发垃圾邮件过滤器
  • 投诉率或退信率过高
  • DMARC 没有真正执行

DMARC 一定要 SPF 和 DKIM 吗?

DMARC 在 SPF 和 DKIM 都正确配置时效果最好。从技术上讲,如果 SPF 或 DKIM 中有一个能在正确对齐下通过,DMARC 也算通过——但同时依赖两者会更稳健,也是被推荐的做法。

SPF 的 "10 次查询限制" 是什么?

SPF 评估最多只能进行 10 次 DNS 查询。如果你的 SPF 因为太多 include: 机制而超过这个限制,就可能直接失败,从而损害送达性。

DMARC 应该用 p=none 还是 p=reject?

如果你刚开始,p=none 用来观察是有用的。但长期停留在 p=none 会削弱保护。一旦认证稳定,大多数域名都应该向 p=quarantinep=reject 推进。

有了 SPF、DKIM、DMARC,送达性就够了吗?

不够。这些记录是必备的,但送达性同样取决于:

  • 域名声誉
  • IP 声誉
  • 内容质量
  • 投诉率
  • 退信率
  • 发送行为
  • 名单卫生
  • 基础设施质量

认证是基础,而不是整个体系。

继续阅读

← Back to all articlesTry Free Temp Mail →
Free · Instant · Anonymous

Your temp mail is ready right now

No signup, no password. A disposable inbox waiting the moment you open the page.

Get My Free Temp Mail →