TXT 記錄
DNS TXT(文字)記錄允許網域名稱管理員在 DNS 中插入任意文字。TXT 記錄最初用於新增人類可讀的註釋,現在主要用於電子郵件身分驗證協定(SPF、DKIM、DMARC)、網域名稱所有權驗證以及各種其他機器可讀的組態。TXT 記錄可以包含任何文字資料,每個字串最多 255 個字元,並且允許使用多個字串。
How it works
TXT 記錄儲存與網域名稱關聯的純文字資料。雖然它們在技術上可以包含任何文字,但針對不同的用途會遵循特定的格式。電子郵件身分驗證協定使用 TXT 記錄來告訴郵件伺服器誰有權從網域名稱傳送郵件、如何驗證郵件以及身分驗證失敗時該怎麼做。服務提供商也使用 TXT 記錄來驗證網域名稱所有權。
TXT 記錄在現代 DNS 中具有多個關鍵功能:
**電子郵件身分驗證 - SPF(發件人策略框架):**
SPF 記錄列出了授權從您的網域名稱傳送電子郵件的 IP 位址和伺服器。當有人收到聲稱來自您網域名稱的電子郵件時,他們的郵件伺服器會檢查您的 SPF 記錄。如果發件人的 IP 與授權清單相符,則通過 SPF 身分驗證;否則,將被標記為可能是詐騙郵件。
SPF 記錄示例:
v=spf1 include:_spf.google.com ~all
**電子郵件身分驗證 - DKIM(網域名稱密鑰識別郵件):**
DKIM 使用加密簽署來驗證電子郵件的真實性。您的郵件伺服器使用私鑰對發出的電子郵件進行簽署,並在 TXT 記錄中發佈相應的公鑰。接收伺服器使用此公鑰驗證簽署,確保電子郵件未被篡改且來自授權來源。
DKIM 記錄示例(位於 selector._domainkey.example.com):v=DKIM1; k=rsa; p=MIGfMA0GC...
**電子郵件身分驗證 - DMARC(基於網域名稱的郵件身分驗證):**
DMARC 建立在 SPF 和 DKIM 的基礎上,告訴接收伺服器如何處理身分驗證失敗的電子郵件。您可以指定是隔離、拒絕還是傳遞可疑電子郵件,並請求身分驗證結果的報告。
DMARC 記錄示例(位於 _dmarc.example.com):v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com
**網域名稱驗證:**
Google、Microsoft 或 SSL 憑證頒發機構等服務通常要求您新增唯一的 TXT 記錄來證明網域名稱所有權。這種驗證可以防止未經授權的第三方在其平台上聲稱擁有您的網域名稱。Key Points
- TXT 記錄可以包含任何文字資料,但針對不同用途遵循特定格式
- 主要用於電子郵件身分驗證(SPF、DKIM、DMARC)以防止詐騙和釣魚
- 對於第三方服務的網域名稱所有權驗證至關重要
- TXT 記錄中的每個字串限制為 255 個字元,但可以連接多個字串
- 同一網域名稱可以存在多個 TXT 記錄,每個記錄用於不同的目的
Common Use Cases
- SPF 電子郵件身分驗證: 指定哪些郵件伺服器有權從您的網域名稱傳送電子郵件,防止垃圾郵件發送者在電子郵件標頭中偽造您的網域名稱
- DKIM 電子郵件簽署: 發佈用於驗證電子郵件加密簽署的公鑰,確保郵件的完整性和真實性
- DMARC 策略執行: 定義接收伺服器應如何處理未通過 SPF 或 DKIM 檢查的電子郵件,可選擇監控、隔離或拒絕
- 網域名稱所有權驗證: 通過新增 Google Workspace、Microsoft 365 或 SSL 憑證頒發機構提供的唯一驗證代碼來證明網域名稱所有權
- 網站驗證和組態: 組態各種服務,包括搜尋引擎的網站驗證、安全策略或與第三方平台的整合
code TXT 記錄組態示例
| Type | Host / Name | Value / Points to | TTL |
|---|---|---|---|
| TXT | @ | v=spf1 include:_spf.google.com ~all | 3600 |
| TXT | _dmarc | v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com | 3600 |
| TXT | selector._domainkey | v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBA... | 3600 |
| TXT | @ | google-site-verification=abc123xyz456 | 3600 |
* TXT 記錄針對不同用途使用特定格式。同一網域名稱可以共存多個 TXT 記錄。
Frequently Asked Questions
SPF、DKIM 和 DMARC 有什麼區別?expand_more
SPF 指定哪些 IP 位址/伺服器可以從您的網域名稱傳送電子郵件。DKIM 使用加密簽署來驗證電子郵件未被篡改且來自授權來源。DMARC 將 SPF 和 DKIM 結合在一起,告訴接收伺服器當電子郵件身分驗證失敗時應該怎麼做(拒絕、隔離或傳遞),並提供報告功能。這三者都使用 TXT 記錄實現,並協同工作以防止電子郵件詐騙和釣魚。
同一網域名稱可以有多個 TXT 記錄嗎?expand_more
可以,您可以為同一主機名設定多個 TXT 記錄,這種情況非常常見。例如,您可能有單獨的 TXT 記錄用於 SPF、網域名稱驗證和網站組態。DNS 解析器將返回與主機名關聯的所有 TXT 記錄。但是,每個主機名應該只有一個 SPF 記錄 - 如果您需要授權多個郵件伺服器,請將它們全部包含在一個 SPF 記錄中。
如果我不傳送電子郵件,還需要 TXT 記錄嗎?expand_more
即使您不傳送電子郵件,也建議新增一個限制性策略的 SPF 記錄,如
v=spf1 -all,以明確聲明沒有伺服器有權從您的網域名稱傳送電子郵件。這可以防止垃圾郵件發送者偽造您的網域名稱。您可能還需要 TXT 記錄來驗證 Google Search Console、SSL 憑證頒發機構或其他平台的網域名稱,即使您不使用電子郵件。如果我的 SPF/DKIM/DMARC 記錄組態錯誤會發生什麼?expand_more
組態錯誤的電子郵件身分驗證記錄可能導致合法電子郵件被拒絕或標記為垃圾郵件。常見問題包括:SPF 記錄沒有包含所有郵件伺服器、DKIM 密鑰過期或缺失,或者在測試之前就設定了過於嚴格的 DMARC 策略(p=reject)。建議從寬鬆的 DMARC 策略(p=none)開始監控結果,修復報告中發現的任何 SPF/DKIM 問題,然後逐步升級到 p=quarantine,最後在一切正常工作後再設定為 p=reject。
如何驗證我的 TXT 記錄設定是否正確?expand_more
您可以使用線上 DNS 查詢工具或命令列工具(如
dig TXT example.com 或 nslookup -type=TXT example.com)來檢查 TXT 記錄。對於電子郵件身分驗證,可以使用專用驗證工具,如 Google 的 Toolbox Messageheader 分析器、MXToolbox 或 dmarcian 的工具。這些工具不僅會顯示您的記錄,還會驗證其語法和組態,突出顯示潛在問題。