SPF

SPF(Sender Policy Framework)是基于 DNS 的邮件认证标准,定义在 RFC 7208 中。发件域名的所有者发布单条 TXT 记录,声明哪些 IP 地址或第三方服务获授权以该域名 "发出" 邮件。当收件服务器收到一封自称来自 @yourcompany.com 的消息,会查询 yourcompany.com 上的 SPF 记录,验证消息是否来自列表中的 IP。如果是,SPF 通过;否则,SPF 失败。

TXT 记录以 v=spf1 开头,以 "all" 限定符结尾:

v=spf1 include:amazonses.com -all

常见 mechanism:

• include:domain — 递归引入另一个域的 SPF(常用于 ESP)。
• ip4:1.2.3.4 / ip6:::1 — 显式 IP 授权。
• a、mx — 授权该域 A 或 MX 记录对应的 IP。
• -all hard-fail(拒收),~all soft-fail(标记为可疑),?all 中性。

SPF 把每次评估的递归 DNS 查询总数限制在 10 次 之内(RFC 7208 §4.6.4)。每个 include:、a、mx、exists: 和 redirect= 都消耗一次查询;嵌套 include 累计计数。叠加太多第三方服务会触发 permerror,大多数收件方会按失败处理。ip4: 和 ip6: 不消耗查询次数,当总数攀升到 7-8 时,把陈旧的 include 合并为显式 IP 段是解决之道。

AcelleMail 不生成也不签署 SPF — 这是运营方 DNS zone 的职责。标准的搭建流程是:选定发送 vendor(/pricing 页推荐的是 Amazon SES),发布包含该 vendor 发送域名的 SPF 记录(SES 对应 include:amazonses.com),把 AcelleMail 的 sending server 指向同一 vendor credentials — SPF 链路至此闭合。更深入的逐步走查与 troubleshooting 在 送达率 pillar 指南。