Defaults.Exposed › การแก้ไข › Guides
การตั้งค่าอีเมลบนโดเมนใหม่: Checklist SPF, DKIM และ DMARC 20 นาที (2026)
เผยแพร่ 2026-07-08
ตัวเลข ณ วันที่ 2026-06-29 · ระเบียบวิธี v7 ข้อมูลสำมะโนรวมทั่ว 261 ล้านโดเมนที่ได้รับการให้คะแนน ดู วิธีที่เราให้คะแนน
โดเมนใหม่ต้องการสี่สิ่งก่อนอีเมลแรก: การสแกน baseline, ระเบียน SPF หนึ่งตัวที่ระบุผู้ให้บริการจริงของคุณ, การลงนาม DKIM ด้วยโดเมนที่กำหนดเอง, และระเบียน DMARC ที่มี reporting เปิดตั้งแต่วันแรก โดเมนส่วนใหญ่ไม่ไปถึงที่นั่น — 46.4% (121,145,609 ของ 261,086,232 โดเมนที่ได้รับการให้คะแนน) ไม่มี SPF เลย ตามสำมะโน Defaults.Exposed (ณ วันที่ 2026-06-29)
การเผยแพร่ทุกอย่างใช้เวลาประมาณ 20 นาที: สแกนเพื่อ baseline เพิ่มระเบียน SPF หนึ่งตัว เปิดใช้งาน DKIM ด้วยโดเมนที่กำหนดเองของผู้ให้บริการ เผยแพร่ DMARC p=none พร้อมที่อยู่ reporting ตามต้องการเพิ่ม MTA-STS จากนั้นสแกนใหม่และเก็บรายงาน สิ่งที่ใช้เวลามากกว่าคือสิ่งที่ checklist ไม่สามารถเร่งได้ — DNS propagation และ sending reputation — และคู่มือนี้ซื่อสัตย์เกี่ยวกับทั้งสอง
20 นาทีเพียงพอจริงๆ หรือ?
สำหรับ การเผยแพร่ระเบียน ใช่ — ทุกขั้นตอนด้านล่างคือรายการ DNS บวกสองสามคลิกใน admin console ของผู้ให้บริการ สองสิ่งใช้เวลามากกว่า และการแกล้งทำเป็นอย่างอื่นคือวิธีที่โดเมนใหม่ลงเอยใน spam:
- Propagation ระเบียนใหม่มักเกิดขึ้นภายในไม่กี่นาที แต่ resolver cache ตาม TTL และโดเมนที่ delegate ใหม่อาจใช้เวลาหลายชั่วโมงในการตอบอย่างสม่ำเสมอ ตรวจสอบด้วย
dig; อย่าตื่นตระหนกแก้ไขในขณะที่ cache ตามทัน - Warm-up โดเมนใหม่มี sending reputation เป็นศูนย์ และการยืนยันตัวตนคือ precondition สำหรับ reputation ไม่ใช่ substitute เริ่มด้วยปริมาณต่ำ scale ของมนุษย์และ ramp ทีละน้อยกว่าสัปดาห์
การอ้างสิทธิ์ที่ซื่อสัตย์: 20 นาทีซื้อการยืนยันตัวตนที่เผยแพร่อย่างถูกต้อง สองสามสัปดาห์ถัดไปของการส่งที่ฉลาดซื้อ deliverability
Checklist 20 นาที
- รันการสแกนฟรีที่ defaults.exposed ก่อน สแกนโดเมนใหม่ก่อนที่คุณจะแตะ DNS baseline ที่ได้รับการให้คะแนน “ยังไม่ได้กำหนดค่า” ใช้เวลาไม่กี่วินาทีในการจับและทำให้รายงานหลังมีความหมาย — คุณจะต้องการคู่ก่อนและหลัง (ขั้นตอน 6)
- เผยแพร่ระเบียน SPF หนึ่งตัวสำหรับผู้ให้บริการจริงของคุณ ระเบียน TXT หนึ่งตัวที่เริ่มต้นด้วย
v=spf1ที่มี include ของผู้ให้บริการ — เช่นv=spf1 include:_spf.google.com ~allสำหรับ Google Workspace หรือinclude:spf.protection.outlook.comสำหรับ Microsoft 365; ถ้า DNS ของคุณอยู่ที่ registrar panel คำแนะนำ GoDaddy ครอบคลุม quirk ของ UI ระเบียนหนึ่งตัวเท่านั้น: ระเบียนv=spf1สองตัวคือ permanent error ที่ทำให้ SPF เป็นโมฆะทั้งหมด — สถานะที่ 1,013,416 โดเมนติดอยู่ ประมาณหนึ่งใน 138 ของโดเมนที่พยายาม SPF (สำมะโน ณ วันที่ 2026-06-29) มักเป็น ซากที่เหลือจากการ migration อย่าเพิ่ม include “เผื่อไว้”: SPF cap DNS lookup ที่ 10 และอย่างน้อย 797,263 โดเมนได้ทำให้ระเบียนของตัวเป็นโมฆะโดยการเกินขีดจำกัดนั้น และรู้ว่า SPF ตรวจสอบจริงๆ อะไร: receiver ประเมินมันกับโดเมน Return-Path (RFC5321.MailFrom) — ที่อยู่ bounce — ไม่ใช่ header From ที่ผู้รับของคุณเห็น - เปิดใช้งานการลงนาม DKIM ด้วยโดเมนที่กำหนดเอง ผู้ให้บริการของคุณลงนามอีเมลไม่ว่าจะเป็นอย่างไร คำถามคือ โดเมนใด ที่ลายเซ็นระบุ จนกว่าคุณจะทำขั้นตอนนี้เสร็จ Google Workspace ลงนามด้วยค่าเริ่มต้น
gappssmtp.comและ Microsoft 365 ด้วยonmicrosoft.com— ลายเซ็นที่ผ่าน DKIM แต่ไม่จัดตำแหน่งกับโดเมนของคุณ ดังนั้น DMARC ยังล้มเหลว สร้าง key ใน admin console และเผยแพร่สิ่งที่ผู้ให้บริการให้คุณ: ระเบียน TXT ขนาด 2048-bit สำหรับ Google, CNAME สอง (selector1/selector2) สำหรับ Microsoft 365 ถ้าระเบียนไม่ใส่ใน DNS panel ของคุณ ดู แก้ DKIM — key ยาวที่ UI บิดเบือนคือ classic - เผยแพร่ DMARC ตั้งแต่วันแรก —
p=noneพร้อมที่อยู่ reporting ระเบียน TXT หนึ่งตัวที่_dmarc.yourdomain.com:v=DMARC1; p=none; rua=mailto:[email protected]ชัดเจนเกี่ยวกับสิ่งที่มันทำ:p=noneไม่ปกป้องอะไรเลย — มันคือโหมด monitoring แต่ไม่มีค่าใช้จ่าย และรายงาน aggregate จึงครอบคลุมประวัติการส่งของโดเมนตั้งแต่ข้อความแรก โดเมนที่ established ใช้เวลาหลายสัปดาห์ของ reporting เพียงแค่ค้นพบ sender ที่พวกเขาลืมว่ามี คุณกำลังซื้อการมองเห็นนั้นฟรี ตั้งแต่วันศูนย์ ดู แก้ DMARC สำหรับ anatomy ของระเบียน - ตามต้องการแต่ถูกบนโดเมนใหม่: MTA-STS และ TLS-RPT MTA-STS บอกเซิร์ฟเวอร์ sending ว่าโดเมนของคุณต้องการ TLS สำหรับ inbound mail (ระเบียน DNS บวก policy file ขนาดเล็กที่ host); TLS-RPT รายงานความล้มเหลวการ encrypt การส่ง บนโดเมนที่ established สิ่งเหล่านี้ต้องการความใส่ใจ; บนโดเมนใหม่ที่มีผู้ให้บริการอีเมลหนึ่งราย ไม่มีอะไรที่จะพัง และ
mode: testingปราศจากความเสี่ยงโดยพื้นฐาน ตั้งค่าตอนนี้หรือข้ามไป — แต่ตัดสินใจ อย่า drift - สแกนใหม่และเก็บรายงาน รัน การสแกน อีกครั้ง — SPF, DKIM และ DMARC ควรแสดงสีเขียวทั้งหมด บันทึกรายงานที่ได้รับการให้คะแนน: หลักฐานที่มีวันที่ของสถานะของโดเมน ณ การ launch และสิ่งที่ผู้ประกันภัยหรือแบบสอบถามของลูกค้าจะถามถึง
โดเมนเท่าไรที่ทำ checklist นี้จริงๆ สำเร็จ?
น้อยมาก — และส่วนใหญ่ล้มที่อุปสรรคแรก ของ 261,086,232 โดเมนที่ได้รับการให้คะแนนในสำมะโน Defaults.Exposed (ณ วันที่ 2026-06-29):
| เป้าหมาย checklist | ความเป็นจริงของสำมะโน (ของ 261,086,232 โดเมนที่ได้รับการให้คะแนน ณ วันที่ 2026-06-29) |
|---|---|
| ขั้นตอน 2 — เผยแพร่ระเบียน SPF ใดๆ | 46.4% ไม่เคยทำ: 121,145,609 โดเมนไม่มี SPF เลย |
| ขั้นตอน 4+ — DMARC ที่นโยบายการบังคับใช้ | 10.59% (27,640,987 โดเมน); 89.41% ไม่มีนโยบายที่บังคับใช้ |
| Triad ครบ — SPF + DKIM + enforced DMARC | 3.87% (10,092,481 โดเมน) |
20 นาทีที่หน้านี้อธิบายทำให้โดเมนใหม่นำหน้าประมาณ 96% ของอินเทอร์เน็ตบน triad ครบ โมเดลวุฒิภาวะการยอมรับ SPF แจกแจงทุกขั้นของบันไดนั้น
โดเมนใหม่จะถึง p=reject ได้เร็วแค่ไหน?
สัปดาห์ ไม่ใช่เดือน — ข้อได้เปรียบที่แท้จริงของการเริ่มใหม่ สิ่งที่ทำให้การบังคับใช้ DMARC ช้าบนโดเมนที่ established คือ legacy: CRM connector ที่ลืม, เครื่องมือ invoicing ที่มีคนเชื่อมต่อในปี 2019, newsletter platform ที่ไม่มีใครบันทึก แต่ละอย่างต้องถูกค้นพบในรายงานและแก้ไขก่อนที่นโยบายจะสามารถเข้มงวดขึ้น — จึงเป็นการ rollout หลายเดือนมาตรฐาน
โดเมนใหม่ไม่มี legacy sender: คุณกำหนดค่า sender ทุกรายด้วยตัวเองสัปดาห์นี้ และรายงานของขั้นตอน 4 จะยืนยันมัน รัน p=none สอง-สี่สัปดาห์ของการส่งจริง ตรวจสอบว่ารายงานครอบคลุมทุกสิ่งที่คุณใช้จริงๆ (mailbox, invoice, receipt, contact form ของเว็บไซต์) จากนั้นย้ายไปยัง p=quarantine และต่อไปยัง p=reject เมื่อพวกมัน run clean กลไก staged — pct ramp, subdomain policy, สิ่งที่จะดู — อยู่ใน จาก p=none ไปสู่ p=reject; บนโดเมนใหม่คุณจะเคลื่อนผ่านพวกมันอย่างรวดเร็ว ไปยังจุดที่มีเพียง 10.59% ของโดเมนที่ได้รับการให้คะแนนที่ไปถึง
แล้วโดเมนเก่าที่คุณกำลังแทนที่?
ถ้าโดเมนใหม่นี้เป็นส่วนหนึ่งของการ rebrand โดเมนที่คุณกำลังทิ้งไว้เบื้องหลังคือความเสี่ยงอีเมลที่ใหญ่ที่สุดของคุณตอนนี้: ยังเป็นของคุณ ยังเชื่อถือได้โดยคู่ค้า ไม่ได้รับการดูแลอีกต่อไป อย่าทิ้งมัน — ล็อคมันลงอย่างชัดเจน นั่นคืองานสั้นๆ ของตัวเอง: โดเมนเก่าจากการ rebrand ของคุณคือประตูที่คุณทิ้งเปิดไว้
คำถามที่พบบ่อย
ฉันสามารถเผยแพร่ระเบียนเหล่านี้ก่อนเลือกผู้ให้บริการอีเมลได้หรือไม่?
DMARC ใช่ — p=none ด้วย rua เป็นอิสระจากผู้ให้บริการ ดังนั้นเผยแพร่มันวันที่คุณลงทะเบียน SPF ต้องการ include ของผู้ให้บริการ; จนกว่าคุณจะเลือกหนึ่งราย เผยแพร่ v=spf1 -all (ไม่มีอะไรได้รับอนุญาตให้ส่ง) และแทนที่มันในขั้นตอน 2 ที่เข้มงวดกว่าสถานะ no-record ที่ 121,145,609 โดเมนอยู่ใน (46.4% ของ 261,086,232 ที่ได้รับการให้คะแนน ณ วันที่ 2026-06-29)
ฉันต้องการ DKIM ถ้า SPF ผ่านอยู่แล้วหรือไม่? ใช่ SPF พังภายใต้การส่งต่อโดยการออกแบบ และมันตรวจสอบโดเมน Return-Path ซึ่งสำหรับหลายเครื่องมือไม่ใช่ของคุณ — DKIM ที่จัดตำแหน่งคือขาที่รอดชีวิตทั้งสอง มีเพียง 3.87% ของโดเมนที่ได้รับการให้คะแนนที่ทำ triad SPF+DKIM+enforced-DMARC ครบ (สำมะโน ณ วันที่ 2026-06-29); DKIM คือขั้นตอนที่ผู้ที่ล้มเลิกส่วนใหญ่ข้าม เริ่มที่ แก้ DKIM ถ้าการสแกนตั้งค่าสถานะมัน
โดเมนใหม่ควรใช้ ~all หรือ -all?
บนโดเมนที่ established ~all คือทางเลือกที่ระมัดระวังในขณะที่คุณค้นหา sender ที่ลืมไป โดเมนใหม่ไม่มีอะไรให้ค้นหา: เมื่อ include ของผู้ให้บริการอยู่แล้วและ DKIM ลงนาม -all ปลอดภัยเร็วกว่ามาก อยากได้ belt และ brace ทั้งคู่? ยืนยันด้วยสองสัปดาห์ clean ของรายงาน DMARC ก่อน
ระเบียนทั้งสามผ่าน — ทำไมอีเมลของฉันยังไปที่ spam? เพราะการยืนยันตัวตนและ reputation คือสิ่งที่แตกต่างกัน: ระเบียนที่ผ่านหมายความว่า receiver สามารถยืนยันว่าอีเมลเป็นของคุณ ไม่ใช่ว่าพวกเขาเชื่อถือคุณเลย โดเมนใหม่ได้รับความเชื่อถือโดยการส่ง consistent, wanted, low-volume mail และ ramp ทีละน้อย ถ้าอีเมลล้มเหลวการตรวจสอบแทนที่จะแค่ลงใน spam เริ่มที่ แก้ SPF และทำงานผ่านผลลัพธ์การสแกน
ส่งรายงานให้เจ้าของ
ถ้าคุณตั้งค่าโดเมนนี้สำหรับลูกค้า ปิดงานด้วยหลักฐาน รัน การสแกนฟรี ใหม่หลังจากขั้นตอน 6 และส่งต่อรายงานที่ได้รับการให้คะแนนให้เจ้าของธุรกิจ: SPF, DKIM และ DMARC ผ่าน ภาษาธรรมดา มีวันที่ ณ การ launch มันคือสิ่งประดิษฐ์ที่พวกเขาจะต้องใช้สำหรับการต่ออายุประกันภัยไซเบอร์และแบบสอบถามความปลอดภัยผู้จัดหาถัดไป — และมันพิสูจน์ว่าโดเมนเริ่มต้นชีวิตแบบที่ 96% ของอินเทอร์เน็ตไม่สามารถจัดการได้
ตรวจสอบโดเมนของคุณ → · จาก p=none ไปสู่ p=reject โดยไม่สูญเสียอีเมลที่ถูกกฎหมาย → · ข้อมูลรวมเท่านั้น ข้อมูลถูกจัดเก็บและประมวลผลในสหภาพยุโรป