DMARC 记录和 DKIM 记录对企业邮箱反垃圾、反欺诈至关重要，是提升邮件合法投递率、防范域名被仿冒发送垃圾 / 钓鱼邮件的核心技术手段，二者配合 SPF 记录能从 “身份验证” 层面大幅降低邮件被标记为垃圾邮件的概率

一、DKIM 记录：给邮件做 “数字防伪认证”

DKIM 的核心是为邮件添加不可篡改的数字签名：

• 发送端：企业邮件服务器用专属私钥对邮件内容 / 头部信息加密生成签名；

• 接收端：邮箱服务商（如 Gmail、Outlook、网易企业邮箱）通过企业域名公开的 DKIM 公钥验证签名。

• 反垃圾价值：

1. 垃圾 / 钓鱼邮件多伪造发件人域名或篡改邮件内容，DKIM 验证失败会直接拉低邮件信誉分，触发垃圾邮件拦截；

2. 验证通过的邮件会被判定为 “合法来源”，投递成功率显著提升（尤其外贸企业发往海外的邮件，Gmail/Outlook 对 DKIM 验证要求极高）；

3. 即使邮件被转发，只要签名未被破坏，仍可通过验证，避免转发后被误判为垃圾邮件。

二、DMARC 记录：给身份验证定 “执行规则”

DMARC 不直接验证邮件，而是基于 SPF（发件人策略框架）和 DKIM 的验证结果，制定接收端的处理规则，核心价值是 “补漏洞、强管控、可追溯”：

• 补漏洞：解决 SPF/DKIM 验证通过但 “域名不对齐” 的问题（比如 SPF 授权域名和发件人显示域名不一致），拦截这类 “伪合法” 垃圾邮件；

• 强管控：企业可自定义策略（如 p=quarantine / 隔离、p=reject / 拒收），强制处理验证失败的邮件，从源头杜绝仿冒域名发垃圾邮件；

• 可追溯：生成 DMARC 报告，清晰展示哪些 IP / 域名在伪造企业域名发邮件，便于针对性封堵异常发送源。

三、实际应用中的关键要点

1. 效果边界：二者只解决 “邮件身份是否合法”，不解决 “内容是否合规”—— 若邮件含违规营销词、敏感信息，即使 DKIM/DMARC 验证通过，仍可能被标记为垃圾邮件；

2. 协同生效：单独配置 DKIM 或 DMARC 效果有限，必须与 SPF 配合，且确保发件人域名、SPF 授权域名、DKIM 签名域名 “对齐”，才能发挥最大作用；

3. 企业落地价值：合规配置后，企业邮件被主流邮箱平台判定为垃圾邮件的概率可降低 60% 以上，同时能有效防范黑客仿冒企业域名发送钓鱼邮件，保护企业和客户权益。