摘要：# 钓鱼邮件这玩意儿，真不是换个密码就能防住的 我得说句大实话：很多公司还在用“加强员工培训”来防钓鱼邮件，这招不能说没用，但就像给木门装了个指纹锁——贼真要从窗户进来，你锁再高级也白搭。 我前两天刚帮一个朋友看他们的邮件系统，好家伙，源站倒是藏得挺深…

钓鱼邮件这玩意儿，真不是换个密码就能防住的

我得说句大实话：很多公司还在用“加强员工培训”来防钓鱼邮件，这招不能说没用，但就像给木门装了个指纹锁——贼真要从窗户进来，你锁再高级也白搭。

我前两天刚帮一个朋友看他们的邮件系统，好家伙，源站倒是藏得挺深，可邮件服务器就这么敞着，发件人随便谁都能冒充。这种场景你应该不陌生吧？收件箱里突然冒出个“财务部紧急通知”，发件人看着挺像那么回事，点开链接就中招。

说白了，钓鱼邮件的核心就俩字：冒充。而SPF、DKIM、DMARC这三个技术，就是专门治“冒充”这个病的。

先别急着关页面——这仨玩意儿没你想的那么玄乎

我知道，一看到技术缩写很多人就头大。但咱们换个说法：

• SPF 就像你小区的门卫——他只认业主名单（你授权的邮件服务器），名单外的一律拦着
• DKIM 相当于给你的每封邮件盖个钢印——收件人一看钢印就知道是不是你本人发的
• DMARC 最狠，它是个总指挥，告诉收件方：“要是没钢印或者不是从我家门卫那儿来的邮件，直接扔垃圾桶，别犹豫”

（是不是突然觉得好懂多了？）

SPF配置：别光列名单，得管严实了

我见过太多SPF配置，问题就出在太“宽容”。比如这种：

v=spf1 include:_spf.google.com ~all

那个~all（软失败）就是坑。意思是“如果不是我名单里的服务器发来的，也尽量收着吧”——这不扯吗？贼都进你家门了，你还说“尽量别偷东西哈”？

正确的姿势应该是-all（硬失败）：

v=spf1 include:_spf.google.com -all

翻译成人话就是：“除了我指定的这几台服务器，其他任何自称是我发来的邮件，都是假的，直接拒收！”

有个真实案例：深圳一家电商公司，之前用软失败，每天能收到几十封冒充他们客服的钓鱼邮件。改成硬失败后，直接清零。他们的运维后来跟我说：“早知道这么简单，我早改了。”

DKIM签名：你的邮件“身份证”

DKIM这玩意儿，说白了就是给你的每封邮件加个数字签名。过程稍微复杂点：

1. 你在邮件服务器上生成一对密钥（一公一私）
2. 私钥用来给发出的每封邮件“签名”
3. 公钥放到DNS记录里，谁想验证你的邮件真伪，就去那儿查

配置起来其实也就几步（以常见的邮件服务为例）：

1. 在邮件服务器后台找到DKIM设置，生成密钥
2. 把那一长串公钥复制下来
3. 到你的域名DNS管理后台，添加一条TXT记录
   • 主机名填selector._domainkey（selector是你自己起的名，比如google）
   • 值就是刚才复制的那串公钥

关键是——签了名就得一直签。我见过有的团队测试时开了DKIM，上线后嫌麻烦又关了，结果收件方按DMARC策略直接把邮件全拒了，业务邮件发不出去，急得跳脚。

DMARC策略：告诉别人“怎么处理冒充我的邮件”

DMARC是最后一道，也是最智能的防线。它通过一份DNS记录告诉全世界：“这是我的SPF和DKIM要求，如果不符合，你看着办。”

记录长这样：

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@你的域名.com

那个p=参数是关键：

• p=none：只监控不处理（适合刚开始测试）
• p=quarantine：把可疑邮件扔进垃圾箱（推荐）
• p=reject：直接拒收（最严格）

我个人的建议是分三步走：

1. 先用p=none跑一两周，看看报告里有没有误伤正常邮件
2. 确认没问题后，升级到p=quarantine
3. 等完全放心了（通常一个月后），再用p=reject

对了，那个rua后面的邮箱一定要设！DMARC报告就像你的“安全摄像头录像”，谁在冒充你、冒充了多少次，一目了然。有家金融公司就是靠这些报告，发现了一个持续三个月的定向钓鱼攻击。

几个容易踩的坑（我亲眼见过的）

1. 第三方邮件服务没加进SPF
   你用SendGrid发营销邮件、用Zendesk发客服邮件，结果SPF记录里只写了自己的服务器？那这些第三方发的邮件全会被当成钓鱼邮件。把用到的所有邮件服务商都include进去。

2. DKIM密钥从不轮换
   “一次配置，终身使用”在安全领域是找死。私钥万一泄露了呢？每半年到一年轮换一次DKIM密钥，这是基本操作。

3. DMARC报告不看
   设置了就扔那儿不管，等于没设。那些报告里藏着攻击者的试探轨迹。每周花10分钟扫一眼报告，能提前发现很多问题。

4. 忘了子域名
   mail.你的域名.com和你的域名.com是两回事。攻击者特别喜欢用pay.你的域名.com这种子域名来钓鱼，因为很多人根本不给子域名配SPF/DKIM。

最后说点实在的

我知道，看到这儿你可能觉得：“这么麻烦，我找个安全厂商外包不行吗？”

行，当然行。但外包之前，你至少得知道他们在干什么、干得对不对。我见过太多所谓“专业防护”，其实就是给你套个模板配置，连DMARC报告都不帮你分析——这种防护，PPT上很猛，真出事的时候照样露馅。

其实吧，SPF、DKIM、DMARC这套组合拳，配置好了之后基本不用管，它就像给邮件系统上了个自动防御系统。投入一下午的时间，换来的可能是避免一次几十上百万的损失。

如果你的邮件系统现在还裸奔，你心里其实已经有答案了。

行了，不废话了，赶紧去查查你的SPF记录是不是还用的~all吧。