Defaults.Exposed › 修复 › Guides
Fix guides
- “DKIM Signature Not Valid”——各种原因,按排查顺序排列(2026)
“DKIM signature not valid”有五个常见原因,从内容在传输途中被修改到密钥被截断。在 261 百万个已评分域名中,只有 51.84% 发布了可发现的 DKIM 密钥。数据截至 2026-06-29。 - "DMARC 策略未启用":检测工具到底在说什么,以及诚实的五分钟第一步(2026)
"DMARC 策略未启用"意味着没有 DMARC 记录,或者记录设成了 p=none。只有 10.59% 的域名强制执行 DMARC 策略——75.11% 干脆没有发布任何记录。该发布的确切 TXT 记录、要避开的语法坑,以及第一周会是什么样子。数据截至 2026-06-29。 - "SPF 记录未找到"——但你明明有一条?真正的五个原因(2026)
SPF 记录未找到,但你确定它存在?有 1,013,416 个域名发布了两条或以上的 SPF 记录——这是一种 PermError,很多检测工具会把它报告成“未找到”。五个真正的原因、每个原因的 60 秒测试方法,以及修法。数据截至 2026-06-29。 - DKIM "No Key for Signature":选择器与密钥轮换修复指南(2026)
DKIM "no key for signature" 意味着你的签名指向的选择器记录在 DNS 中不存在。如何找到选择器、发布记录并安全轮换密钥——在 261 百万个域名中,只有 3.87% 完成了 SPF+DKIM+DMARC 三件套。数据截至 2026-06-29。 - DKIM 通过但 DMARC 失败:gappssmtp.com / onmicrosoft.com 默认签名陷阱(2026)
当邮件用 gappssmtp.com 或 onmicrosoft.com 签名时,DKIM 通过但 DMARC 依然失败——服务商默认签名永远无法与你的 From 域名对齐。在 12,145,313 个授权 Google 的域名中,只有 18.5% 强制执行 DMARC。数据截至 2026-06-29。 - DKIM“Body Hash Did Not Verify”——是什么改动了你的邮件,以及怎么修(2026)
“Body hash did not verify”意味着邮件离开你时 DKIM 签名是有效的——是传输途中有东西改写了它。在 261 百万个已评分域名中,只有 3.87% 具备 SPF + DKIM + DMARC 完整三件套。数据截至 2026-06-29。 - DMARC 失败但 SPF 和 DKIM 都通过?对齐修复指南(2026)
SPF 和 DKIM 都通过时 DMARC 仍可能失败,因为两项检查认证的都不是你的 From 域名——这就是对齐缺口。在 261 百万个已评分域名中,只有 7.4% 在强制执行的 DMARC 策略下以对齐方式通过 SPF。数据截至 2026-06-29。 - Gmail "550-5.7.1 Message Blocked"——解读退信原因并修复(2026)
Gmail 550-5.7.1 解读:策略拦截、没有反向 DNS 的 IPv6、垃圾邮件与信誉拒收——以及 Google 已经迁移到新代码的那些字符串。只有 10.59% 的域名强制执行 DMARC。数据截至 2026-06-29。 - Gmail 550 5.7.26 "The Sender Is Unauthenticated":按要求顺序排列的修复方案(2026)
当你的邮件同时未通过 SPF 和 DKIM 时,Gmail 会返回 550 5.7.26。在通过 _spf.google.com 授权 Google 服务器的 12,145,313 个域名中,只有 18.5% 强制执行 DMARC。5.7.26 系列(以及新代码 5.7.27/5.7.30)的解码表,外加按顺序排列的修复步骤。数据截至 2026-06-29。 - Mailchimp、Brevo 或 Klaviyo 邮件 DMARC 失败?开启真正的域名认证(2026)
通讯平台在以你的域名发信、却没有以你的域名身份完成认证时,就会 DMARC 失败——修法是启用自定义域名认证。在授权 SendGrid 的 740,321 个域名中,只有 18.0% 强制执行 DMARC。数据截至 2026-06-29。 - Outlook 拒收你的邮件:550 5.7.515、550 5.7.509 和 compauth=fail,解读与修复(2026)
两个不同的微软系统会拒收邮件:消费者版 Outlook.com 会拒收未通过认证的大宗发件方(550 5.7.515),Exchange Online 则是在执行你自己的 DMARC 拒收策略(550 5.7.509)。在授权 spf.protection.outlook.com 的 10,205,070 个域名中,只有 21.7% 强制执行 DMARC。数据截至 2026-06-29。 - SPF PermError:如何在不弄坏邮件的前提下修复"DNS 查询次数过多"(2026)
至少有 797,263 个域名超出了 SPF 10 次 DNS 查询的上限,它们的 SPF 返回 PermError——作废,且被算作 DMARC 失败。修复顺序:数清真实查询次数、清理失效的 include、改用子域名,只在最后才靠自动化做扁平化。数据截至 2026-06-29。 - Yahoo 554 5.7.9 “Message Not Accepted for Policy Reasons”——发件方修复指南(2026)
当邮件违反 Yahoo 的发件方策略时会返回 554 5.7.9——通常是 SPF/DKIM 认证失败或 DMARC 强制执行。在 261 百万个已评分域名中,只有 10.59% 强制执行 DMARC。数据截至 2026-06-29。 - 从 p=none 到 p=reject 且不误伤合法邮件:分阶段上线方案(2026)
分四个阶段把 DMARC 从 p=none 推进到 p=reject——监控、修复来源、逐步提高 quarantine 比例、拒收。37,312,637 个域名停留在 p=none,已评分域名中只有 10.59% 强制执行。数据截至 2026-06-29。 - 你听说的那个发票诈骗故事——会不会发生在你公司?两分钟见分晓(2026)
有人能不能发出一张看起来完全像来自你公司的假发票?89.41% 的已评分域名可能被这样冒用——一次免费的两分钟检查告诉你你的域名是否在其中。数据截至 2026-06-29。 - 你的 SaaS 工具 SPF 一直失败?原因和修复顺序——欧洲版(2026)
当一个 SaaS 工具“SPF 失败”时,真正的问题通常是 DMARC 对齐或 10 次 DNS 查询上限——有 2,119,539 个域名只差一个 include 就会跌下悬崖。怎么诊断,以及 HubSpot、Salesforce、Mailchimp 和 SendGrid 的修复顺序。数据截至 2026-06-29。 - 保险续保表在问 SPF、DKIM 和 DMARC——该怎么答(2026)
网络保险续保表在问你的域名是否做过 DMARC、SPF 和 DKIM 扫描。只有 7.4% 的已评分域名具备保险公司真正想核查的对齐且强制执行的配置——两分钟内拿到一个真实、带日期的答案。数据截至 2026-06-29。 - 在新域名上配置邮件:20 分钟搞定 SPF、DKIM 和 DMARC 的清单(2026)
用大约 20 分钟在新域名上配置 SPF、DKIM 和 DMARC。46.4% 的域名从未发布过 SPF,只有 3.87% 完成了完整的认证三件套。数据截至 2026-06-29。 - 客户的安全问卷在问邮件认证——一个下午答完(并补齐差距)(2026)
供应商安全问卷在问 DMARC、SPF 和 DKIM。在已评分的域名中,只有 7.4% 的域名把邮件认证完全对齐并强制执行——如何如实作答,并在一个下午内免费补齐差距。数据截至 2026-06-29。 - 换了邮件工具后 DKIM 失败:CNAME 与选择器迁移指南(2026)
换了邮件工具后 DKIM 坏了?被 DNS 面板追加了区域名的 CNAME 目标和被过早删除的选择器,几乎解释了所有迁移后故障。在 261 百万个域名中,只有 3.87% 凑齐 SPF+DKIM+DMARC 三件套。数据截至 2026-06-29。 - 换了邮件服务商之后 SPF 就不好用了——迁移修复方案(2026)
换邮件服务商之后 SPF 坏了?新记录几乎肯定是加在旧记录旁边的——两条 v=spf1 记录会让 SPF 整体作废,目前有 1,013,416 个域名正处于这个状态。十分钟迁移修复方案,逐步讲解。数据截至 2026-06-29。 - 改名前留下的那个旧域名,是一扇你没关上的门——如何锁死不发邮件的域名(2026)
一个从不发邮件的停放域名,照样能被人拿来冒充你的企业发邮件。三条免费 DNS 记录就能把它锁死——而目前有 46.4% 的域名连 SPF 记录都没有。数据截至 2026-06-29。 - 有人在用你的域名发邮件:应急响应指南(2026)
有人在冒用你的域名发邮件?先确认是精确域名冒用还是仿冒域名——两者的修法完全不同。89.41% 的域名没有强制执行的 DMARC 策略,46.4% 干脆没有发布 SPF。数据截至 2026-06-29。 - 联系表单邮件进垃圾箱——Web 服务器发件的修复方法(2026)
联系表单和网站邮件进了垃圾箱?你的 Web 服务器在以未认证方式发送它们——应改为通过认证 SMTP 发送站点邮件。46.4% 的域名根本没有发布 SPF 记录。真正有效的修复顺序。数据截至 2026-06-29。 - 转发邮件 SPF 失败——为什么你修不好它,以及真正有效的办法(2026)
转发在设计上就会破坏 SPF——你写不出能扛住转发的记录。诚实的解法是对齐的 DKIM。根据 Defaults.Exposed 普查,有 7,355,985 个域名单靠 Namecheap 的转发 include 撑着。数据截至 2026-06-29。