Live Direct Marketing
首頁部落格郵件到達率

冷開發信送達的關鍵:搞懂 SPF、DKIM、DMARC 三道驗證關卡

2026年7月12日 · 9 分鐘閱讀 · 指南: 郵件到達率

很多團隊搜尋spf dkim dmarc是什麼,是因為冷開發信寄出去卻進了垃圾信匣,文案再用心也沒人看到。這篇文章從SPF、DKIM、DMARC的差異談起,說明三者各自負責什麼、該怎麼設定與檢測,幫助準備啟動targeted B2B冷開發信的團隊,在放量寄送前先把寄件基礎設施打穩。

重點整理
  • SPF決定誰有資格代表網域寄信,DKIM用簽章證明信件沒被竄改,DMARC把兩者結果變成處置政策與回報機制。
  • DMARC建議分階段從p=none觀察,逐步收緊到p=quarantine再到p=reject,避免誤擋自家合法信件。
  • 三項驗證同時到位,冷開發信進收件匣的比例會明顯高於只設定其中一項。
  • 上線寄送前務必用線上工具做一次spf dkim dmarc test,換寄信平台或設定完成後也要定期複查。
  • 在台灣執行B2B冷開發信,仍需符合個人資料保護法對蒐集、處理與利用個資的基本要求。

為什麼冷開發信這麼看重郵件驗證

當業務團隊決定啟動冷開發信計畫,鎖定特定產業、特定職稱的窗口逐一寄送客製化信件時,第一個容易被忽略的環節不是文案,而是寄件網域本身有沒有被Gmail、Outlook、Yahoo奇摩等收件伺服器信任。收件伺服器在判斷一封信要進收件匣還是垃圾信匣之前,會先檢查寄件人是否通過驗證,內容再好、開頭個人化做得再細,驗證沒過關同樣會被攔下。

很多剛開始規劃寄送基礎設施的團隊會搜尋spf dkim dmarc是什麼,想知道三者差在哪裡。簡單說,這三者不是三選一的競爭關係,而是一層一層疊加的信任機制:SPF決定「誰有資格代表這個網域寄信」,DKIM用簽章證明「信件內容在傳輸過程沒被竄改」,DMARC則把前兩者的檢查結果整合成一套政策,並回報給網域管理者。

SPF:誰有權從你的網域寄信

SPF(Sender Policy Framework)是一筆公開在網域DNS上的TXT紀錄,列出哪些IP位址或寄信服務有權代表這個網域寄出郵件。收件伺服器收到信件後,會去查詢寄件網域的SPF紀錄,比對實際寄信的IP是否在授權清單內,不在清單內的信件就可能被標記為偽造或直接拒收。

對冷開發信團隊來說,SPF最常出問題的地方是授權範圍沒盤點完整:公司同時用Google Workspace收發內部信、又用另一套平台批量寄冷開發信時,兩邊的寄信服務都要各自加進同一筆SPF紀錄,用include語法串接,而不是各自建一筆新紀錄互相覆蓋。SPF也有DNS查詢次數上限,include疊太多層會直接讓整筆紀錄失效,這是設定時最容易忽略的地雷。

範例

假設台灣智造股份有限公司同時用Google Workspace寄內部信、用LDM的寄送平台寄冷開發信,SPF紀錄會寫成類似v=spf1 include:_spf.google.com include:_spf.ldm-platform.com ~all的格式,把兩個來源都用include語法串進同一筆紀錄,而不是各自新建一筆。

DKIM:用簽章證明信件沒被竄改

DKIM(DomainKeys Identified Mail)用非對稱加密的方式,替每一封寄出的信加上一組數位簽章,簽章的私鑰放在寄信伺服器,公鑰則公布在網域DNS的TXT紀錄裡。收件伺服器收到信後用公鑰驗證簽章,只要信件內容或標頭在傳輸途中被竄改,驗證就會失敗,這也是DKIM比SPF更能防止內容被冒用的原因。

實務上,每個寄信服務會用不同的selector產生各自的金鑰組,所以公司如果同時用Google Workspace寄內部信、用另一套系統寄冷開發信,DNS上會出現多筆DKIM紀錄,例如google._domainkey與寄送平台指定的selector,彼此互不影響,只要每一組都正確發布公鑰即可。

DMARC:把SPF與DKIM的結果變成政策

DMARC不是取代SPF或DKIM,而是規定收件伺服器在SPF、DKIM驗證失敗時該怎麼處理,並且要求驗證通過的識別必須跟使用者看到的From網域對齊,這一點正是SPF、DKIM各自單獨檢查時做不到的。DMARC紀錄同樣發布在DNS的TXT紀錄,可以指定三種政策:p=none只觀察不攔截、p=quarantine把可疑信件丟進垃圾信匣、p=reject直接拒收。

對於準備啟動大量冷開發信的網域,建議分階段導入:先以none政策觀察一段時間的驗證報表,確認公司所有合法寄信來源都通過後,再逐步收緊到quarantine、最後到reject。貿然一開始就設reject,很容易誤傷還沒被盤點到的合法寄信服務。

SPF、DKIM、DMARC差異速查與對送達率的影響

把三者攤開來看,其實可以用「誰能寄」「有沒有被改」「沒通過怎麼辦」三句話,回答很多人在意的spf dkim dmarc difference與difference between spf dkim dmarc到底是什麼:SPF管的是寄信來源授權,DKIM管的是內容完整性,DMARC管的是失敗後的處置與回報。三者都設定齊全,收件伺服器才有足夠依據判斷這封信是網域擁有者本人授權寄出,而不是被冒用網域發送的垃圾郵件。

從實務觀察,只做SPF而沒有DKIM、DMARC的寄件網域,進主要收件匣的比例明顯偏低;三項都設定齊全、且DMARC對齊通過後,收件匣送達率會有清楚的提升,這也是LDM在替客戶建置冷開發信基礎設施時,一定會先確認這三層都到位才開始放量寄送的原因。

常見設定錯誤與spf dkim dmarc test檢測方法

最常見的錯誤有三種:第一是SPF紀錄疊太多include超過DNS查詢上限、整筆紀錄失效卻沒人發現;第二是新增冷開發信平台時只在該平台後台按下「已驗證」,卻忘記同時檢查DKIM selector有沒有真的發布到DNS;第三是急著把DMARC政策一次拉到reject,結果把公司自己內部系統寄出的信也一起擋掉。

設定完成後,建議用spf dkim dmarc check tool做一次完整檢測,市面上常見的線上工具都能同時檢查SPF、DKIM、DMARC三筆紀錄是否正確發布並互相對齊,也可以直接寄一封測試信到工具提供的信箱地址做spf dkim dmarc test,幾秒鐘就能看到三項驗證各自的通過與失敗結果。

LDM如何協助企業建置寄送基礎設施

LDM在替客戶建置targeted B2B冷開發信基礎設施時,會先確認寄件網域的SPF、DKIM、DMARC三層是否齊全對齊,再決定每日寄送量與暖機節奏,而不是先衝量再回頭補驗證,因為收件伺服器一旦把某個網域標記為低信譽,要重新建立信任往往比一開始就設定正確花更多時間。

另外,LDM會建議客戶為冷開發信使用獨立的寄件子網域,例如把主網域留給公司內部與客服信件,另外用一個子網域專門處理business development往來,這樣即使冷開發信的寄送節奏比較積極,也不會影響到主網域在客戶心中已經累積的信譽。

常見問題

SPF、DKIM、DMARC是什麼?三者一定要同時設定嗎?

SPF管誰有權寄信、DKIM用簽章證明內容沒被竄改、DMARC把兩者結果變成處置政策與回報。只設定其中一項只做了一半,收件伺服器沒有足夠依據判斷這封信是合法寄出,建議三者同時設定並互相對齊。

spf dkim dmarc test要怎麼做?

可以用線上檢測工具寄一封測試信,或直接查詢DNS的TXT紀錄,確認SPF、DKIM、DMARC三筆紀錄都正確發布。建議上線寄送前、以及每次更換或新增寄信平台後都做一次。

DMARC一定要設成p=reject嗎?

不一定,尤其是剛開始導入時。建議先用p=none觀察一段時間的驗證報表,確認所有合法來源都通過後再逐步收緊,貿然一開始就設reject容易誤擋自家還沒盤點到的寄信服務。

換了新的冷開發信平台,SPF和DKIM要重新設定嗎?

要。每個新的寄信服務都需要各自的SPF include與DKIM selector,忘記在DNS更新這些設定,是換平台後送達率下滑最常見的原因之一。

在台灣做B2B冷開發信,會不會違反個人資料保護法?

只要蒐集與使用聯絡資訊符合特定目的、以商務聯繫為必要範圍,並提供明確的退訂或拒絕聯繫方式,一般商務性質的冷開發信本身不等於違法,但仍建議建立合規的名單來源與退訂流程,降低爭議風險。

SPF、DKIM、DMARC分別用哪種DNS紀錄類型?

三者都是透過DNS的TXT紀錄發布,差別在主機名稱與內容格式:SPF放在網域本身,DKIM放在selector加上_domainkey的子網域,DMARC放在_dmarc子網域,三筆紀錄各自獨立,缺一都會讓驗證不完整。

重要:這不是大量群發,也不是垃圾郵件。 我們採取精準外聯:每封訊息都基於正當商業理由,寄給特定公司的特定負責人,每日寄送量少,並針對收件人進行個人化。每封郵件都標明寄件人並提供一鍵取消訂閱;取消訂閱與封鎖名單將無一例外地套用於所有後續活動。

想把這套方法用在你的客戶開發上嗎?

在開始之前,我們會說明這套做法如何套用到你的市場區隔與產品。

與我們聯繫