TXT 记录、SPF、验证
DNS 与记录
DNS 查询 查询任意域名的全部 DNS 记录 A 记录查询 域名的 IPv4 地址 AAAA 记录查询 域名的 IPv6 地址 MX 查询 域名的邮件服务器 NS 查询 权威名称服务器 TXT 查询 TXT 记录、SPF、验证 CNAME 查询 规范名称(别名)记录 SOA 查询 起始授权机构记录 SRV 查询 服务位置记录 CAA 查询 哪些 CA 可以签发证书 反向 DNS(PTR) IP 地址到主机名 DNSSEC 检测 该域名是否已签名并通过验证? DNS 健康检测 完整的委派与 DNS 诊断报告电子邮件送达率
SPF 检测 验证您的发件人策略框架记录 DMARC 检测 检查并评估您的 DMARC 策略 DKIM 检测 查找并验证您的 DKIM 公钥 黑名单检测 对照电子邮件黑名单(DNSBL)检测 IP SMTP 测试 连接邮件服务器并检测 STARTTLS MTA-STS 检测 入站邮件的强制 TLS 策略 BIMI 检测 电子邮件的品牌徽标记录 TLS-RPT 检测 SMTP TLS 报告策略网络与网站
SSL 证书检测 检查网站的 TLS 证书和到期情况 HTTP 标头检测 检查响应标头、重定向和安全性 Ping(TCP) 通过 TCP 检测可达性和延迟 端口检测 哪些常用端口处于开放状态域名
WHOIS 查询 域名、IP 和 ASN 的注册数据TXT 记录在 DNS 中存放任意文本,被广泛用于邮件认证(SPF)、域名所有权验证和服务配置。单个域名可以同时发布多条 TXT 记录。由于灵活且易于添加,TXT 记录已成为为域名附加机器可读策略和证明的标准方式。
TXT 记录最初用于自由格式的备注,如今则承载着供其他系统读取的结构化数据。SPF 策略列出哪些服务器可代表该域名发件。以 TXT 发布的 DKIM 和 DMARC 记录用于认证邮件并就其出具报告。来自 Google、Microsoft、Atlassian 以及无数 SaaS 工具的验证字符串证明你掌控该域名。你还可能看到用于站点验证、BIMI 或自定义应用设置的 TXT 记录。每一条服务于不同的消费方,所以繁忙的域名会随时间累积许多条。
IPeek 返回该域名上的每一条 TXT 记录,各以带引号的字符串呈现。通过前缀来识别它们:v=spf1 标记 SPF 策略,v=DMARC1 标记 DMARC 策略(通常在 _dmarc 子域上),而 google-site-verification 或类似令牌标记所有权证明。被拆分为多个带引号片段的长字符串,是被解析器拼接而成的一条逻辑记录。留意同一名称上的两条 SPF 记录(这是无效的),以及你已不再使用的服务遗留的陈旧验证令牌(可以放心清理)。
SPF、DKIM 和 DMARC 都存放在 TXT 记录中,协同阻止冒用。SPF(v=spf1)声明哪些 IP 和主机可代表你的域名发件;接收方会拒收或标记其他一切。DKIM 发布一个公钥,让接收方能验证每封邮件上的加密签名。DMARC(v=DMARC1,位于 _dmarc)将两者绑定,并告诉接收方如何处理失败,以及把报告发往何处。一个域名应当只有一条 SPF 记录,但可以在其旁边持有许多其他 TXT 记录。
可以,一个域名能同时发布多条 TXT 记录,多数活跃域名都是如此。验证令牌、DMARC 策略和应用设置常共存于同一名称上。唯一重要的例外是 SPF:一个域名只能有一条 SPF(v=spf1)记录,因为多条 SPF 记录无效,会破坏认证。
SPF 记录是一条以 v=spf1 开头的 TXT 记录,列出被授权代表你的域名发送邮件的服务器。接收方服务器据此判断入站邮件是否确实来自你。它作为一条普通 TXT 记录存放在域名的根名称上,且一个域名必须恰好有一条。
许多服务要求你添加一条包含其提供的唯一令牌的 TXT 记录,然后检查 DNS 中是否存在它,以确认你掌控该域名。Google、Microsoft 和大多数 SaaS 平台都使用此方法。验证完成后,令牌通常可以保留或移除;清理无用令牌能让你的 DNS 保持整洁。
DNS 将单个 TXT 字符串限制为 255 个字符,因此较长的值会在一条记录内被拆成若干带引号的片段。解析器和 IPeek 会把这些片段重新拼接成一个逻辑值。对于较长的 DKIM 密钥或详细的 SPF 策略,这是正常且预期的;拆分对记录的读取方式没有任何影响。
三者都是以 TXT 记录发布的邮件认证机制。SPF 列出哪些服务器可代表你的域名发件,DKIM 添加一个接收方可用已发布密钥验证的加密签名,DMARC 则设定处理失败的策略并请求报告。三者结合使用,会让冒用你的域名变得困难得多。