Defaults.Exposed

Defaults.Exposedการแก้ไขGuides

การตั้งค่าอีเมลบนโดเมนใหม่: Checklist SPF, DKIM และ DMARC 20 นาที (2026)

เผยแพร่ 2026-07-08

ตัวเลข ณ วันที่ 2026-06-29 · ระเบียบวิธี v7 ข้อมูลสำมะโนรวมทั่ว 261 ล้านโดเมนที่ได้รับการให้คะแนน ดู วิธีที่เราให้คะแนน

โดเมนใหม่ต้องการสี่สิ่งก่อนอีเมลแรก: การสแกน baseline, ระเบียน SPF หนึ่งตัวที่ระบุผู้ให้บริการจริงของคุณ, การลงนาม DKIM ด้วยโดเมนที่กำหนดเอง, และระเบียน DMARC ที่มี reporting เปิดตั้งแต่วันแรก โดเมนส่วนใหญ่ไม่ไปถึงที่นั่น — 46.4% (121,145,609 ของ 261,086,232 โดเมนที่ได้รับการให้คะแนน) ไม่มี SPF เลย ตามสำมะโน Defaults.Exposed (ณ วันที่ 2026-06-29)

การเผยแพร่ทุกอย่างใช้เวลาประมาณ 20 นาที: สแกนเพื่อ baseline เพิ่มระเบียน SPF หนึ่งตัว เปิดใช้งาน DKIM ด้วยโดเมนที่กำหนดเองของผู้ให้บริการ เผยแพร่ DMARC p=none พร้อมที่อยู่ reporting ตามต้องการเพิ่ม MTA-STS จากนั้นสแกนใหม่และเก็บรายงาน สิ่งที่ใช้เวลามากกว่าคือสิ่งที่ checklist ไม่สามารถเร่งได้ — DNS propagation และ sending reputation — และคู่มือนี้ซื่อสัตย์เกี่ยวกับทั้งสอง

20 นาทีเพียงพอจริงๆ หรือ?

สำหรับ การเผยแพร่ระเบียน ใช่ — ทุกขั้นตอนด้านล่างคือรายการ DNS บวกสองสามคลิกใน admin console ของผู้ให้บริการ สองสิ่งใช้เวลามากกว่า และการแกล้งทำเป็นอย่างอื่นคือวิธีที่โดเมนใหม่ลงเอยใน spam:

การอ้างสิทธิ์ที่ซื่อสัตย์: 20 นาทีซื้อการยืนยันตัวตนที่เผยแพร่อย่างถูกต้อง สองสามสัปดาห์ถัดไปของการส่งที่ฉลาดซื้อ deliverability

Checklist 20 นาที

  1. รันการสแกนฟรีที่ defaults.exposed ก่อน สแกนโดเมนใหม่ก่อนที่คุณจะแตะ DNS baseline ที่ได้รับการให้คะแนน “ยังไม่ได้กำหนดค่า” ใช้เวลาไม่กี่วินาทีในการจับและทำให้รายงานหลังมีความหมาย — คุณจะต้องการคู่ก่อนและหลัง (ขั้นตอน 6)
  2. เผยแพร่ระเบียน SPF หนึ่งตัวสำหรับผู้ให้บริการจริงของคุณ ระเบียน TXT หนึ่งตัวที่เริ่มต้นด้วย v=spf1 ที่มี include ของผู้ให้บริการ — เช่น v=spf1 include:_spf.google.com ~all สำหรับ Google Workspace หรือ include:spf.protection.outlook.com สำหรับ Microsoft 365; ถ้า DNS ของคุณอยู่ที่ registrar panel คำแนะนำ GoDaddy ครอบคลุม quirk ของ UI ระเบียนหนึ่งตัวเท่านั้น: ระเบียน v=spf1 สองตัวคือ permanent error ที่ทำให้ SPF เป็นโมฆะทั้งหมด — สถานะที่ 1,013,416 โดเมนติดอยู่ ประมาณหนึ่งใน 138 ของโดเมนที่พยายาม SPF (สำมะโน ณ วันที่ 2026-06-29) มักเป็น ซากที่เหลือจากการ migration อย่าเพิ่ม include “เผื่อไว้”: SPF cap DNS lookup ที่ 10 และอย่างน้อย 797,263 โดเมนได้ทำให้ระเบียนของตัวเป็นโมฆะโดยการเกินขีดจำกัดนั้น และรู้ว่า SPF ตรวจสอบจริงๆ อะไร: receiver ประเมินมันกับโดเมน Return-Path (RFC5321.MailFrom) — ที่อยู่ bounce — ไม่ใช่ header From ที่ผู้รับของคุณเห็น
  3. เปิดใช้งานการลงนาม DKIM ด้วยโดเมนที่กำหนดเอง ผู้ให้บริการของคุณลงนามอีเมลไม่ว่าจะเป็นอย่างไร คำถามคือ โดเมนใด ที่ลายเซ็นระบุ จนกว่าคุณจะทำขั้นตอนนี้เสร็จ Google Workspace ลงนามด้วยค่าเริ่มต้น gappssmtp.com และ Microsoft 365 ด้วย onmicrosoft.com — ลายเซ็นที่ผ่าน DKIM แต่ไม่จัดตำแหน่งกับโดเมนของคุณ ดังนั้น DMARC ยังล้มเหลว สร้าง key ใน admin console และเผยแพร่สิ่งที่ผู้ให้บริการให้คุณ: ระเบียน TXT ขนาด 2048-bit สำหรับ Google, CNAME สอง (selector1/selector2) สำหรับ Microsoft 365 ถ้าระเบียนไม่ใส่ใน DNS panel ของคุณ ดู แก้ DKIM — key ยาวที่ UI บิดเบือนคือ classic
  4. เผยแพร่ DMARC ตั้งแต่วันแรก — p=none พร้อมที่อยู่ reporting ระเบียน TXT หนึ่งตัวที่ _dmarc.yourdomain.com: v=DMARC1; p=none; rua=mailto:[email protected] ชัดเจนเกี่ยวกับสิ่งที่มันทำ: p=none ไม่ปกป้องอะไรเลย — มันคือโหมด monitoring แต่ไม่มีค่าใช้จ่าย และรายงาน aggregate จึงครอบคลุมประวัติการส่งของโดเมนตั้งแต่ข้อความแรก โดเมนที่ established ใช้เวลาหลายสัปดาห์ของ reporting เพียงแค่ค้นพบ sender ที่พวกเขาลืมว่ามี คุณกำลังซื้อการมองเห็นนั้นฟรี ตั้งแต่วันศูนย์ ดู แก้ DMARC สำหรับ anatomy ของระเบียน
  5. ตามต้องการแต่ถูกบนโดเมนใหม่: MTA-STS และ TLS-RPT MTA-STS บอกเซิร์ฟเวอร์ sending ว่าโดเมนของคุณต้องการ TLS สำหรับ inbound mail (ระเบียน DNS บวก policy file ขนาดเล็กที่ host); TLS-RPT รายงานความล้มเหลวการ encrypt การส่ง บนโดเมนที่ established สิ่งเหล่านี้ต้องการความใส่ใจ; บนโดเมนใหม่ที่มีผู้ให้บริการอีเมลหนึ่งราย ไม่มีอะไรที่จะพัง และ mode: testing ปราศจากความเสี่ยงโดยพื้นฐาน ตั้งค่าตอนนี้หรือข้ามไป — แต่ตัดสินใจ อย่า drift
  6. สแกนใหม่และเก็บรายงาน รัน การสแกน อีกครั้ง — SPF, DKIM และ DMARC ควรแสดงสีเขียวทั้งหมด บันทึกรายงานที่ได้รับการให้คะแนน: หลักฐานที่มีวันที่ของสถานะของโดเมน ณ การ launch และสิ่งที่ผู้ประกันภัยหรือแบบสอบถามของลูกค้าจะถามถึง

โดเมนเท่าไรที่ทำ checklist นี้จริงๆ สำเร็จ?

น้อยมาก — และส่วนใหญ่ล้มที่อุปสรรคแรก ของ 261,086,232 โดเมนที่ได้รับการให้คะแนนในสำมะโน Defaults.Exposed (ณ วันที่ 2026-06-29):

เป้าหมาย checklistความเป็นจริงของสำมะโน (ของ 261,086,232 โดเมนที่ได้รับการให้คะแนน ณ วันที่ 2026-06-29)
ขั้นตอน 2 — เผยแพร่ระเบียน SPF ใดๆ46.4% ไม่เคยทำ: 121,145,609 โดเมนไม่มี SPF เลย
ขั้นตอน 4+ — DMARC ที่นโยบายการบังคับใช้10.59% (27,640,987 โดเมน); 89.41% ไม่มีนโยบายที่บังคับใช้
Triad ครบ — SPF + DKIM + enforced DMARC3.87% (10,092,481 โดเมน)

20 นาทีที่หน้านี้อธิบายทำให้โดเมนใหม่นำหน้าประมาณ 96% ของอินเทอร์เน็ตบน triad ครบ โมเดลวุฒิภาวะการยอมรับ SPF แจกแจงทุกขั้นของบันไดนั้น

โดเมนใหม่จะถึง p=reject ได้เร็วแค่ไหน?

สัปดาห์ ไม่ใช่เดือน — ข้อได้เปรียบที่แท้จริงของการเริ่มใหม่ สิ่งที่ทำให้การบังคับใช้ DMARC ช้าบนโดเมนที่ established คือ legacy: CRM connector ที่ลืม, เครื่องมือ invoicing ที่มีคนเชื่อมต่อในปี 2019, newsletter platform ที่ไม่มีใครบันทึก แต่ละอย่างต้องถูกค้นพบในรายงานและแก้ไขก่อนที่นโยบายจะสามารถเข้มงวดขึ้น — จึงเป็นการ rollout หลายเดือนมาตรฐาน

โดเมนใหม่ไม่มี legacy sender: คุณกำหนดค่า sender ทุกรายด้วยตัวเองสัปดาห์นี้ และรายงานของขั้นตอน 4 จะยืนยันมัน รัน p=none สอง-สี่สัปดาห์ของการส่งจริง ตรวจสอบว่ารายงานครอบคลุมทุกสิ่งที่คุณใช้จริงๆ (mailbox, invoice, receipt, contact form ของเว็บไซต์) จากนั้นย้ายไปยัง p=quarantine และต่อไปยัง p=reject เมื่อพวกมัน run clean กลไก staged — pct ramp, subdomain policy, สิ่งที่จะดู — อยู่ใน จาก p=none ไปสู่ p=reject; บนโดเมนใหม่คุณจะเคลื่อนผ่านพวกมันอย่างรวดเร็ว ไปยังจุดที่มีเพียง 10.59% ของโดเมนที่ได้รับการให้คะแนนที่ไปถึง

แล้วโดเมนเก่าที่คุณกำลังแทนที่?

ถ้าโดเมนใหม่นี้เป็นส่วนหนึ่งของการ rebrand โดเมนที่คุณกำลังทิ้งไว้เบื้องหลังคือความเสี่ยงอีเมลที่ใหญ่ที่สุดของคุณตอนนี้: ยังเป็นของคุณ ยังเชื่อถือได้โดยคู่ค้า ไม่ได้รับการดูแลอีกต่อไป อย่าทิ้งมัน — ล็อคมันลงอย่างชัดเจน นั่นคืองานสั้นๆ ของตัวเอง: โดเมนเก่าจากการ rebrand ของคุณคือประตูที่คุณทิ้งเปิดไว้

คำถามที่พบบ่อย

ฉันสามารถเผยแพร่ระเบียนเหล่านี้ก่อนเลือกผู้ให้บริการอีเมลได้หรือไม่? DMARC ใช่ — p=none ด้วย rua เป็นอิสระจากผู้ให้บริการ ดังนั้นเผยแพร่มันวันที่คุณลงทะเบียน SPF ต้องการ include ของผู้ให้บริการ; จนกว่าคุณจะเลือกหนึ่งราย เผยแพร่ v=spf1 -all (ไม่มีอะไรได้รับอนุญาตให้ส่ง) และแทนที่มันในขั้นตอน 2 ที่เข้มงวดกว่าสถานะ no-record ที่ 121,145,609 โดเมนอยู่ใน (46.4% ของ 261,086,232 ที่ได้รับการให้คะแนน ณ วันที่ 2026-06-29)

ฉันต้องการ DKIM ถ้า SPF ผ่านอยู่แล้วหรือไม่? ใช่ SPF พังภายใต้การส่งต่อโดยการออกแบบ และมันตรวจสอบโดเมน Return-Path ซึ่งสำหรับหลายเครื่องมือไม่ใช่ของคุณ — DKIM ที่จัดตำแหน่งคือขาที่รอดชีวิตทั้งสอง มีเพียง 3.87% ของโดเมนที่ได้รับการให้คะแนนที่ทำ triad SPF+DKIM+enforced-DMARC ครบ (สำมะโน ณ วันที่ 2026-06-29); DKIM คือขั้นตอนที่ผู้ที่ล้มเลิกส่วนใหญ่ข้าม เริ่มที่ แก้ DKIM ถ้าการสแกนตั้งค่าสถานะมัน

โดเมนใหม่ควรใช้ ~all หรือ -all? บนโดเมนที่ established ~all คือทางเลือกที่ระมัดระวังในขณะที่คุณค้นหา sender ที่ลืมไป โดเมนใหม่ไม่มีอะไรให้ค้นหา: เมื่อ include ของผู้ให้บริการอยู่แล้วและ DKIM ลงนาม -all ปลอดภัยเร็วกว่ามาก อยากได้ belt และ brace ทั้งคู่? ยืนยันด้วยสองสัปดาห์ clean ของรายงาน DMARC ก่อน

ระเบียนทั้งสามผ่าน — ทำไมอีเมลของฉันยังไปที่ spam? เพราะการยืนยันตัวตนและ reputation คือสิ่งที่แตกต่างกัน: ระเบียนที่ผ่านหมายความว่า receiver สามารถยืนยันว่าอีเมลเป็นของคุณ ไม่ใช่ว่าพวกเขาเชื่อถือคุณเลย โดเมนใหม่ได้รับความเชื่อถือโดยการส่ง consistent, wanted, low-volume mail และ ramp ทีละน้อย ถ้าอีเมลล้มเหลวการตรวจสอบแทนที่จะแค่ลงใน spam เริ่มที่ แก้ SPF และทำงานผ่านผลลัพธ์การสแกน

ส่งรายงานให้เจ้าของ

ถ้าคุณตั้งค่าโดเมนนี้สำหรับลูกค้า ปิดงานด้วยหลักฐาน รัน การสแกนฟรี ใหม่หลังจากขั้นตอน 6 และส่งต่อรายงานที่ได้รับการให้คะแนนให้เจ้าของธุรกิจ: SPF, DKIM และ DMARC ผ่าน ภาษาธรรมดา มีวันที่ ณ การ launch มันคือสิ่งประดิษฐ์ที่พวกเขาจะต้องใช้สำหรับการต่ออายุประกันภัยไซเบอร์และแบบสอบถามความปลอดภัยผู้จัดหาถัดไป — และมันพิสูจน์ว่าโดเมนเริ่มต้นชีวิตแบบที่ 96% ของอินเทอร์เน็ตไม่สามารถจัดการได้

ตรวจสอบโดเมนของคุณ → · จาก p=none ไปสู่ p=reject โดยไม่สูญเสียอีเมลที่ถูกกฎหมาย → · ข้อมูลรวมเท่านั้น ข้อมูลถูกจัดเก็บและประมวลผลในสหภาพยุโรป