一份实用的分步指南,帮助你把密码重置、OTP、收据和订单确认邮件送进收件箱:SPF、DKIM、DMARC 对齐、专用子域名、预热与监控——附正确的 DNS 记录以及 2024 年 Gmail/Yahoo 发件人规则。
什么是"事务性邮件",以及为什么送达率很重要
事务性邮件是指由用户操作触发的任何消息:密码重置、一次性密码(OTP)、订单确认、收据、物流更新以及账户提醒。与营销邮件不同,这些消息是用户预期会收到的、对时效性敏感,并且往往关乎安全。如果一封 OTP 落入垃圾邮件——或者根本没有送达——客户就无法登录、完成结账或找回账户。
送达率是指一封已发送的消息到达收件箱(而非垃圾邮件文件夹或被悄无声息地拦截)的概率。它不由你的应用代码控制,而是由你发件域名的信誉与认证决定。本指南将逐步介绍让事务性邮件稳定送达的具体步骤,所举示例适用于任何服务商,并且便于在沙特境内(in-Kingdom)的环境中运维。
第 1 步:使用专用的发件子域名
如果你的根域名(example.sa)同时承载着员工邮箱和营销活动,那就绝不要用这个原始根域名来发送事务性邮件。信誉是按域名分别追踪的,一次营销投诉不应该殃及你的 OTP 送达。
请使用一个专用子域名,例如:
- 用
mail.example.sa或notify.example.sa承载事务性流量 - 用一个单独的子域名(例如
news.example.sa)承载批量营销邮件
这样可以隔离信誉,使营销问题永远不会拦截一封密码重置邮件。把你应用的 SMTP 凭据指向这个子域名的发件身份。
第 2 步:正确配置 SPF
SPF(发件方策略框架,Sender Policy Framework)是一条 DNS TXT 记录,列出哪些服务器被允许代表你的域名发信。请把它发布到发件子域名上。
notify.example.sa. TXT "v=spf1 include:_spf.alskyline.com -all"
需要注意的规则:
- 每个域名必须有且仅有一条 SPF 记录。多条
v=spf1记录会让 SPF 彻底失效。 - 为每个发件服务使用
include:。请把_spf.alskyline.com替换为你的服务商提供的 include 值。 - 当你确信记录已经完整后,以
-all(硬失败)结尾;仅在测试阶段使用~all(软失败)。 - SPF 必须保持在 10 次 DNS 查找以内,否则会返回
permerror并失败。如果超出,请扁平化或合并 include。
第 3 步:配置 DKIM
DKIM(域名密钥识别邮件,DomainKeys Identified Mail)会对每封邮件进行加密签名,使收件方能够验证邮件未被篡改且确实来自你的域名。你的服务商会生成一对密钥,并给你一个公钥用于发布——通常是一条指向其密钥的 CNAME,或一条 TXT 记录。
一条典型的、由 CNAME 委派的 DKIM 记录:
s1._domainkey.notify.example.sa. CNAME s1.dkim.alskyline.com.
请严格按照服务商指定的内容使用选择器(selector)(上例中的 s1)和目标值。发布之后,发送一封测试邮件并确认邮件头中显示 dkim=pass。要定期轮换密钥,并保留服务商签发的选择器。
第 4 步:发布 DMARC 策略并要求对齐
DMARC 把 SPF 和 DKIM 与可见的 From: 地址绑定起来,并告诉收件方在校验失败时该如何处理。请在你的组织域名上的 _dmarc 处发布一条 TXT 记录:
_dmarc.example.sa. TXT "v=DMARC1; p=none; rua=mailto:dmarc@example.sa; adkim=s; aspf=s"
- 从
p=none开始,在不影响送达的前提下进行监控。 rua=会向你发送每日的汇总报告(压缩的 XML),显示哪些来源通过、哪些失败。- 阅读这些报告两到四周,修复任何校验失败的合法来源,然后收紧到
p=quarantine,最终收紧到p=reject。
**对齐(Alignment)**是团队常常忽略的部分。只有当通过 SPF 或 DKIM 校验的域名与 From: 域名一致时,DMARC 才算通过。如果你的 From: 是 @example.sa,但你通过服务商自有域名发信而没有对齐 DKIM,那么即便 SPF/DKIM 各自都通过,DMARC 仍会失败。请用你自己域名的 DKIM 密钥签名,并使用相匹配的 return-path(回退路径)。验证无误后,使用 adkim=s/aspf=s 实现严格对齐。
第 5 步:满足 2024 年 Gmail 与 Yahoo 的发件人规则
自 2024 年 2 月起,Gmail 和 Yahoo 开始强制执行一些基线要求。即使你低于批量发送阈值,遵守这些规则也能改善投放效果。
| 要求 | 详情 |
|---|---|
| SPF 和 DKIM | 两者都必须通过,并与 From: 对齐 |
| DMARC | From 域名上至少发布 p=none |
| 垃圾邮件投诉率 | 保持在 0.3% 以下;力争低于 0.1% |
| 一键退订 | 批量/营销邮件必需(RFC 8058 的 List-Unsubscribe + List-Unsubscribe-Post) |
| 有效的 PTR / 正向确认反向 DNS | 发件 IP 必须具有匹配的反向 DNS |
当向 Gmail 每日发送达到 5,000 封时,批量发件人的强制执行就会启动。纯事务性发件方通常远低于这一阈值,但无论如何都必须做认证。请注意,一键退订针对的是营销/已订阅邮件——不要在 OTP 或安全提醒中添加退订链接。
第 6 步:预热发件域名和 IP
全新的域名或 IP 没有任何信誉。突然发送大量邮件看起来就像一次垃圾邮件攻击。请在一到两周内逐步提升发送量——先从每天向你最活跃的收件人发送几百封开始,然后大致每天翻倍,同时密切关注退信率和投诉率。在共享发件基础设施上,预热基本上已经为你处理好了,但一个新的子域名发件身份仍然能从循序渐进的起步中受益。
第 7 步:把内容和邮件头做对
- 设置清晰、一致的
From:名称,以及一个真实、有人监控的 reply-to 地址。 - 保持健康的文字与图片比例;避免全图片邮件和短链接服务。
- 从真实的子域名发信,而不是从一个配置错误的域名上的 no-reply 地址发信。
- 在 HTML 之外同时附带纯文本部分(multipart/alternative)。
- 让 OTP 和重置邮件保持简短,验证码或链接要清晰可见。
第 8 步:监控并响应
送达率是一项持续性工作,而非一劳永逸。请注册 Google Postmaster Tools 和 Yahoo Sender Hub,以监控你的域名信誉、垃圾邮件率和认证结果。每周阅读你的 DMARC 汇总报告。在退信率或投诉率上升时设置告警,并立即排查——信誉一旦受损,恢复起来很缓慢。及时移除硬退信的地址,这样你就不会持续向已失效的邮箱发信。
境内投递与合规
对于沙特和海湾合作委员会(GCC)的企业而言,你的邮件和客户数据存储在哪里至关重要。Skyline Cloud 在沙特境内运行企业邮箱托管以及底层云基础设施,符合 PDPL、NCA 和 SDAIA 的相关要求,并提供本地阿拉伯语支持,帮助你一次性正确配置 SPF、DKIM 和 DMARC。如需深入了解沙特语境下的 SMTP 与认证背景,请参阅事务性邮件与 SMTP 中心。
小结
让事务性邮件进入收件箱,归根结底在于一套可复用的基础:一个专用子域名、正确的 SPF、用你自己的域名进行 DKIM 签名、带对齐的 DMARC、循序渐进的预热、干净的内容,以及持续的监控。把它配置好一次,盯紧报告,你的 OTP 和收据就会可靠地送达。
准备好用沙特境内基础设施、配合本地支持来发送事务性邮件了吗?创建你的 Skyline Cloud 账户,今天就让你的发件域名完成认证。
Comments
0 total · 0 threads