Defaults.Exposed

Defaults.Exposed修复Guides

Mailchimp、Brevo 或 Klaviyo 邮件 DMARC 失败?开启真正的域名认证(2026)

发布于 2026-07-08

数据截至 2026-06-29 · 方法论 v7。 基于 261 百万个已评分域名的汇总普查数据。参见我们如何评分

通讯平台以“来自”你域名的身份发信,却没有以你的域名完成认证,DMARC 就会失败。修法是启用平台的自定义域名认证——它的 DKIM CNAME,再加上(如果提供的话)一个自定义退信域名。这种缺口很常见:根据 Defaults.Exposed 对 261,086,232 个域名的普查(2026-06-29),在授权 SendGrid 的 740,321 个域名中,只有 18.0% 强制执行 DMARC。

修法是几条 DNS 记录,加上在平台设置里花十分钟。以下内容:为什么平台的共享认证在 2024 年 2 月之后就不够用了、在 Mailchimp、Brevo、Klaviyo 和 SendGrid 里该打开哪个开关,以及按顺序排列的修复步骤——包括从免费邮箱 From 地址迁移出来,这一步没有任何 DNS 记录能替你补救。

为什么平台明明说一切都已验证,通讯邮件却还是 DMARC 失败?

因为通过认证的是平台自己,不是你。开箱即用状态下,ESP 会用它自己的退信域名替你的活动邮件设置 Return-Path,往往也用它自己的域名做 DKIM 签名。接收方是对照 Return-Path(RFC5321.MailFrom)域名,而不是 From 标头来评估 SPF 的,所以 SPF 干干净净地通过了……只不过通过的是平台的域名。

DMARC 并不关心 SPF 或 DKIM 是否抽象意义上“通过”了。它问的是有没有任何一项是针对你 From 地址里的那个域名通过的——这种匹配叫对齐。ESP 的 SPF 通过项在它自己的退信域名上,不是你的;没有自定义域名 DKIM 的话,它的签名也在它自己的域名上,不是你的。什么都对不上齐,所以你的 From 域名 DMARC 失败——与此同时平台的仪表盘却显示一片绿勾,因为从它的角度看,认证工作正常。开启自定义域名认证(让 DKIM 以你的域名签名)就是全部的修法。完整的对齐机制见 DMARC 失败但 SPF 和 DKIM 都通过

2024 年 2 月发生了什么变化?

Google 和 Yahoo 开始强制执行大宗发件方要求:针对 From 域名的对齐认证、已发布的 DMARC 策略、一键退订,以及垃圾邮件率限制。“搭 ESP 认证的便车、随便用什么身份发信”这条共享基础设施的捷径行不通了。对通讯邮件发件方来说,这带来了两个后果:

完整的要求清单见我们的 Google 与 Yahoo 发件方要求 数据文章。

这个开关在 Mailchimp、Brevo、Klaviyo 和 SendGrid 里分别叫什么?

每个平台都有同一个功能,只是名字不同。它产出的东西永远是一小组要加进你 DNS 的 CNAME 记录——不管菜单上怎么写,你都能靠这一点认出它。

平台功能名称(大致)你要加进 DNS 的内容备注
MailchimpDomain authenticationDKIM CNAME(k2._domainkeyk3._domainkey只靠 DKIM 对齐——Mailchimp 已不再用 SPF include,不要加
BrevoAuthenticate your domainDKIM CNAME 组 + 验证记录设置时以 Brevo 文档里当前的记录组为准
KlaviyoDedicated sending domainDKIM CNAME + 退信(Return-Path)子域名专属域名同时也给你带来 SPF 对齐
SendGridDomain authentication(automated security)CNAME 组(DKIM + return-path)不需要 SPF include——CNAME 已经覆盖了

有两个规律值得注意。第一,这些平台没有一个想要你在 SPF 记录里加 include:——现代 ESP 认证都是靠 CNAME 委托实现的,留着一个旧 include 只会白白消耗 DNS 查询预算。第二,CNAME 委托本身就是个优点:平台可以在委托的名字背后轮换它的 DKIM 密钥,而你完全不用再动 DNS。

怎么一步步修复通讯邮件的 DMARC 失败?

  1. 动 DNS 之前,先在 defaults.exposed 运行免费扫描。 它会显示你域名当前的 SPF、DKIM 和 DMARC 状态,让你看清楚即将要补上的对齐缺口。
  2. 在平台里开启自定义域名认证(见上表)。它会生成专属于你账号的 CNAME 记录。
  3. 把 CNAME 原样加进你的 DNS。 一个经典的错误:会自动给主机名补上你区域后缀的 DNS 面板,会把 k2._domainkey.yourdomain.com 变成 k2._domainkey.yourdomain.com.yourdomain.com。如果你的面板会自动追加域名,就只粘贴主机名部分。如果之后平台报告“no key for signature”,说明选择器记录没生效——见 DKIM “no key for signature”
  4. 在平台有提供的地方,设置自定义退信域名(Return-Path)。 这也能让 SPF 这条腿对齐,给 DMARC 两条通过的路。在没有提供这个选项的地方(比如 Mailchimp),单靠对齐的 DKIM 就足以完全通过 DMARC——DMARC 只需要一条腿对齐。
  5. 如果 From 地址还在用免费邮箱,把它换成自己的域名。[email protected],不是 [email protected]。这是硬性要求,不是可选项。
  6. 在平台里验证,然后重新扫描。 等平台的检查变绿(DNS 生效可能要几分钟到几小时),给自己发一封活动邮件,确认标头显示 DKIM 是用你的域名签名的。然后处理 修复 DMARC 页面标出的其他问题——如果你的域名根本没有 DMARC 记录,那就是接下来十分钟要做的事。

有多少通讯邮件发件方真正把这件事做对了?

普查是从 DNS 一侧读出来的:对每个平台,有多少域名授权了它——其中又有多少保护了正在发信的这个域名,数据来自 Defaults.Exposed 对 261,086,232 个域名的普查(2026-06-29)。

平台(SPF 目标)授权它的域名数强制执行 DMARC 的比例
SendGrid(sendgrid.net740,32118.0%
Mailgun(mailgun.org1,306,69235.9%
Amazon SES(amazonses.com551,44641.9%

数据截至 2026-06-29 的普查。“强制执行 DMARC”指授权域名发布了 p=quarantine 或 p=reject。

即便是在表格顶端,专业平台上的大多数发件方依然没有保护好域名:在授权 Amazon SES 的 551,446 个域名中,只有 41.9% 强制执行 DMARC,Mailgun 的 1,306,692 个中只有 35.9%——SendGrid 的 740,321 个中更是只有 18.0%。基础设施很专业,域名保护大多没跟上。包含邮箱托管商在内的完整服务商排行见哪家邮件服务商的 SPF 最强

常见问题

我需要把 Mailchimp 加进我的 SPF 记录吗? 不需要——而且不要加。Mailchimp 通过它的 k2/k3 CNAME 只靠 DKIM 对齐,已经不再为客户发布 SPF include。一个残留的旧 include:servers.mcsv.net 对 DMARC 毫无作用,只会白白浪费 DNS 查询预算;这里对齐的那条腿是 DKIM。

开启域名认证能让我的通讯邮件走出垃圾箱吗? 它去掉了最大的一个原因——在一个有 DMARC 策略的域名上发送未对齐的邮件——而且这是 Google/Yahoo 规则的硬性要求。但它修不了名单质量问题:即使认证完美无缺,高投诉率和缺失一键退订依然会让邮件留在垃圾箱里。先把认证修好;这是有明确答案的那部分。

我能不能继续用 @gmail.com 地址发活动邮件? 不能。免费邮箱服务商正是为了不让别人以它们的身份发信,才发布严格的 DMARC 策略,而你的 ESP 永远没法和 gmail.com 对齐。自 2024 年 2 月起,这类邮件会被大规模拒收或丢进垃圾箱。在 From 地址上用自己的域名,是唯一的出路。

我已经开了域名认证——为什么 DMARC 还是失败? 通常是三件事之一:CNAME 被会自动追加区域后缀的 DNS 面板搞乱了(第 3 步)、活动邮件的 From 域名和你认证的域名不一致,或者除了通讯邮件之外还有别的发信来源在失败。在 2026-06-29 普查覆盖的全部 261,086,232 个域名中,只有 10.59% 强制执行了 DMARC——如果你的域名做到了,说明已经很接近了;重新扫描,看看是哪条腿没对齐。

每天发信量不到 5000 封的小名单也适用吗? 最严格的门槛正式来说只针对大宗发件方,但接收方会把认证的基本要求套用在所有人身上,而且现在的 ESP 不论发信量大小都要求域名认证。把它当成硬性要求就好:只是几条 DNS 记录,能在你的名单增长的那一天挡住活动邮件崩掉的风险。

把报告发给老板

如果你是在替客户修这个问题——或者你拥有这份通讯邮件但不掌握 DNS——用证据来收尾。CNAME 生效后重新运行免费扫描,把评分报告转发给企业负责人:语言直白、带日期、DMARC 对齐已修好。这份凭证能回答网络保险续保和下一份客户安全问卷里的问题——一份记录在案的前后对比,而不是一句“我在 Mailchimp 里点了几下按钮”。

检查你的域名 → · DMARC 失败但 SPF 和 DKIM 都通过 → · 修复 DMARC → · 修复 DKIM → · 我们如何评分 → · 仅使用汇总数据。数据在欧盟境内存储和处理。