Defaults.Exposed › 设置 › SPF

如何为 Microsoft 365 配置 SPF

添加一条 SPF 记录，让全世界都知道 Microsoft 365 的服务器有权替你的域名发邮件。

这件事对你的生意意味着什么

SPF（发件人策略框架，Sender Policy Framework）是你域名 DNS 里的一条简短声明，列出哪些邮件服务器有权以你的域名发信。没有它，骗子就能冒用你的地址，向你的客户和供应商发送假发票、付款请求或假报价单——同时，你自己发出的正经邮件也更容易被丢进垃圾箱。配置 SPF 是免费的，只需几分钟，是你保护品牌信誉、确保邮件正常送达最有力、最省钱的措施之一。

重要：这件事究竟在哪里完成

这一点常让人犯糊涂，所以有必要说清楚：

• Microsoft 365 负责运行你的邮件（邮箱位于 Exchange Online 上）。但 Microsoft 365 是邮件平台——它不一定是你域名 DNS 所在的地方。
• SPF 记录要加在你的 DNS 托管商那里——也就是掌管你域名服务器（nameservers）的那家公司。它可能是你买域名的注册商（GoDaddy、Namecheap 等）、某个虚拟主机商，或像 Cloudflare 这样的服务。
• 如果你让微软来管理你的 DNS，那么你的 DNS 托管商就是微软，你需要在 Microsoft 365 管理中心 → 设置 → 域 → DNS 记录 里编辑这条记录。这种情况下，当你设置域名时，微软通常会自动替你加上正确的 SPF 记录。

所以：微软告诉你这条记录该写什么内容；而你要把它加到你 DNS 所在的地方。除非微软同时也运行你的 DNS，否则 Microsoft 365 内部的邮箱设置并不保存这条记录。

第一步：是哪家公司在运行你的 DNS？

一条 DNS 记录只有加在你域名的**域名服务器（nameservers）**所指向的地方才会生效。如果你不确定，请在注册商账户里查看该域名，找 Nameservers（域名服务器）一栏，或者问问当初帮你建网站的人。如果域名服务器指向的不是微软，请把 SPF 记录加到那家公司的 DNS 设置里（找 DNS / Records / Advanced DNS）。加错地方什么用都没有。

你要添加的内容

一条用于 Microsoft 365 的 TXT 记录。标准的值是：

v=spf1 include:spf.protection.outlook.com -all

• include:spf.protection.outlook.com 授权 Microsoft 365 的邮件服务器替你发信。
• -all 是微软推荐的值——一种「硬失败」，告诉收件方拒收任何未列出的发信源。如果你还不能确定每一个发信方都已包含在内，可以先用较温和的 ~all，之后再收紧为 -all。

每个域名只能有一条 SPF 记录（即一条以 v=spf1 开头的 TXT 记录）。 如果你已经有一条——比如因为你还通过某个邮件营销工具或 CRM 发信——请不要再加第二条。请编辑现有的那条，把微软的部分加进去，例如：

v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net -all

操作步骤

1. 登录你的 DNS 托管商（你的注册商、虚拟主机商或 DNS 服务商——如果微软运行你的 DNS，则是 Microsoft 365 管理中心）。
2. 打开你域名的 DNS 设置（找 DNS / Records / Advanced DNS）。
3. 添加一条新记录，类型选 TXT。
4. 在 Name（名称） / **Host（主机）**字段中填入 @（表示「域名本身」）。不要在这里填你的完整域名。
5. 在 Value（值） / **Data（数据）**字段中粘贴 v=spf1 include:spf.protection.outlook.com -all（如果你有其他发信方，则填合并后的记录）。
6. TTL 保持默认即可（1 小时没问题）。
7. 保存。

人们常踩的坑

• 它不是邮箱设置。 有人在 Microsoft 365 的设置里搜「SPF」却找不到填写的地方——那是因为它属于你的 DNS，而不在邮箱或 Exchange 管理设置里。
• 只能有一条 SPF 记录。 出现两条以 v=spf1 开头的记录会让 SPF 彻底失效。请用额外的 include: 条目把多个发信方合并进同一条记录。
• 名称填 @，不是你的域名。 在 Name 字段里填完整域名可能会把记录建到错误的位置。
• 注意引号。 多数 DNS 托管商会替你加引号——直接粘贴纯文本的值即可。如果你的托管商显示该值已经被 "..." 包住，不要再加一层；带双重引号的记录是损坏的。
• 微软用的是 spf.protection.outlook.com。 一些较旧的或从别处复制来的记录可能引用了不同的主机名——请确保 include 部分正好是 spf.protection.outlook.com。
• 改动不是即时的。 DNS 在全网更新可能需要几分钟到几个小时不等。

验证是否生效

保存后，用 Defaults.Exposed 上的免费检测确认这条记录已上线且正确无误。输入你的域名，它会用通俗的语言告诉你 SPF 是否配置妥当。你的数据在欧盟境内处理。

完成了？ 免费检查您的域名 以确认设置已生效——并查看您在全部 34 项检查中的完整评级。