如何为你的域名配置企业邮箱（MX、SPF、DKIM、DMARC）

一份实用的分步指南，教你在自有域名上运行专业邮件：正确配置 MX、SPF、DKIM 和 DMARC，确保邮件能够送达、通过身份验证并免受伪造攻击。

开始之前

你需要准备：

• 一个已注册的域名（例如某个 .sa 域名）以及对其 DNS 区域的访问权限。
• 一个已为该域名开通的企业邮箱。
• 来自服务商的 DNS 配置值：MX 主机名、SPF include 值，以及你的 DKIM 公钥/选择器（selector）。

如果你还没有邮箱，请在 Skyline Cloud 上创建账户并先添加你的域名。由于 Skyline 在境内（沙特境内）数据中心运营，你的邮箱数据会保留在沙特阿拉伯境内——这对满足 PDPL 以及 NCA/SDAIA 的数据驻留要求非常重要。

四条记录一览

第 1 步——配置 MX 记录

MX（Mail Exchanger，邮件交换）记录将你的域名指向负责接收来信的服务器。它们使用一个**优先级（priority）**值：数字最小的会被优先尝试，数字较大的作为备用。

在你的 DNS 区域中添加以下记录（请使用服务商提供给你的确切主机名）：

yourcompany.sa.   3600  IN  MX  10  mail.alskyline.com.
yourcompany.sa.   3600  IN  MX  20  mail2.alskyline.com.

要点：

• 主机名/名称应为你的裸域名（通常填写为 @），而不是 www。
• MX 的值必须是一个主机名（一条 A/AAAA 记录），绝不能是 IP 地址。
• 删除所有旧的或默认的 MX 记录（例如指向先前主机的记录）——残留记录会导致邮件被分流或丢失。

在 DNS 的 TTL 生效后进行验证：

dig +short MX yourcompany.sa

第 2 步——添加 SPF 记录

SPF（Sender Policy Framework，发件人策略框架）是一条 TXT 记录，列出了被授权代表你的域名发送邮件的服务器。收件方会拒收或标记来自列表之外服务器的邮件。

yourcompany.sa.  3600  IN  TXT  "v=spf1 include:_spf.alskyline.com ~all"

逐项解析：

• v=spf1 —— SPF 版本（始终位于最前）。
• include:_spf.alskyline.com —— 授权你的服务商的发送服务器。
• ~all —— 软失败（softfail）：来自其他来源的邮件仍会被接收，但会被标记为可疑。在你确信无误后，可将其收紧为 -all（硬失败 hardfail），从而直接拒收未经授权的发件方。

关键规则：

• 每个域名只能有一条 SPF 记录。如果你通过多个服务发送邮件（除了邮箱服务商之外，还有比如 CRM 或营销工具），请将它们的 include 合并到一条记录中：

"v=spf1 include:_spf.alskyline.com include:_spf.othervendor.com ~all"

• SPF 最多允许 10 次 DNS 查询。include: 语句过多会导致 permerror 错误并造成邮件静默投递失败。

检查记录：

dig +short TXT yourcompany.sa

第 3 步——发布你的 DKIM 密钥

DKIM（DomainKeys Identified Mail，域名密钥识别邮件）使用邮件服务器上的私钥为每封外发邮件添加数字签名。收件方会从你的 DNS 中获取相应的公钥并验证签名，从而证明邮件真实且未被修改。

你的服务商会生成一对密钥，并提供给你一个选择器（selector）（例如 s1 或 default）以及公钥。请将其作为 TXT 记录发布在 selector._domainkey.yourcompany.sa 处：

s1._domainkey.yourcompany.sa.  3600  IN  TXT  "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..."

注意事项：

• p= 的值是服务商提供的那串很长的公钥——请原样粘贴，不要添加任何空格或换行。
• 有些 DNS 控制面板会自动将过长的 TXT 值切分为多段字符串；这没有问题。
• DNS 中的选择器必须与你的邮件服务器签名所用的选择器一致。

验证公钥能否解析：

dig +short TXT s1._domainkey.yourcompany.sa

第 4 步——设置 DMARC 策略

DMARC（Domain-based Message Authentication, Reporting & Conformance，基于域名的邮件身份验证、报告与一致性）将 SPF 与 DKIM 串联起来。它告诉收件服务器如何处理验证失败的邮件，以及将报告发往何处，以便你监控滥用情况。

请先以监控模式起步，以免误拦正常邮件：

_dmarc.yourcompany.sa.  3600  IN  TXT  "v=DMARC1; p=none; rua=mailto:dmarc@yourcompany.sa; fo=1"

• p=none —— 仅监控；收集报告但不影响投递。
• rua= —— 接收汇总报告的地址。
• 在收到几周干净的报告之后，收紧策略：

"v=DMARC1; p=quarantine; rua=mailto:dmarc@yourcompany.sa; pct=100"

随着你逐步确认所有正常发件方都能通过验证，将策略从 p=none → p=quarantine → p=reject 逐级推进。p=reject 是防止域名被伪造的最强保护。

第 5 步——端到端测试

待 DNS 传播完成后：

1. 从你的新邮箱向一个 Gmail 账户发送一封邮件，打开它并选择显示原始邮件（Show original）。确认显示 SPF: PASS、DKIM: PASS 和 DMARC: PASS。
2. 向一个免费的 mail-tester 测试服务发送一封测试邮件，争取拿到满分。
3. 确认双向收发——向你的域名_发信_，并_从_它回信。

常见陷阱

• 存在两条 SPF 记录。 务必合并为一条；第二条记录会使两条都失效。
• MX 指向 IP 地址。 只能使用主机名。
• TTL 陈旧。 在迁移前将 TTL 降低到 300，以便更改快速生效。
• DKIM 密钥在粘贴时被截断——重新完整复制整个 p= 值。

大功告成

配置好 MX、SPF、DKIM 和 DMARC 之后，你的域名便能收发专业、经过身份验证的邮件，既能抵达收件箱，又能抵御伪造。如需带境内（沙特境内）数据驻留与本地阿拉伯语支持的托管邮箱，欢迎了解 Skyline 企业邮箱托管或我们更广泛的云服务。

准备好让你的品牌出现在邮件中了吗？立即在 Skyline Cloud 上开始，几分钟内即可添加你的域名。