> ## Documentation Index
> Fetch the complete documentation index at: https://documentation.onesignal.com/llms.txt
> Use this file to discover all available pages before exploring further.

# 邮件域名配置最佳实践

> 配置您的发送域名和网络状态的最佳实践。

域名的配置方式直接影响您的邮件是否能送达收件箱。这些步骤是构建可信发件人身份的基础——邮件提供商信任、收件人识别，且不法分子无法仿冒。

正确做好这一点可以保护您的品牌、提高送达性，并向更广泛的邮件生态系统表明您是值得投递的合法发件人。

<Note>
  如果您的 OneSignal 邮件账户在验证过程中被拒绝，请参考下方的[自我检查](#self-check)。大多数被拒绝的情况都与这些方面有关。完成更改后，请等待 DNS 传播（最长 24–48 小时），然后返回 **Settings > Set up Email** 并点击 **Verify Account** 再次验证。首次被拒绝后，您可以在一周后再次尝试。
</Note>

***

## 自我检查

请逐项检查。点击任何链接以跳转到相应部分。

* [SPF、DKIM 和 DMARC](#email-authentication-spf-dkim-and-dmarc) 均已存在、有效，并与您的 `From:` 地址保持一致。
* [DNS 记录正常解析](#dns-configuration-and-health)，包括 A/AAAA 记录和响应式名称服务器。
* [您的域名和 IP 不在任何主要黑名单上](#check-your-blocklist-status)。这是客户最常忽略的拒绝原因。
* [SSL/TLS 证书](#ssltls-and-site-security)在您的域名上有效，没有浏览器警告。
* [您的域名拥有真实、可访问的网站](#domain-and-web-presence)，代表您的组织。
* [域名注册信息公开且一致](#building-a-stronger-trust-profile)，与您的业务信息保持一致。

如果上述检查全部通过，请在重试验证前查阅[常见问题](#faq)了解其他注意事项。

***

## 邮件身份验证（SPF、DKIM 和 DMARC）

身份验证记录对您域名的发送声誉至关重要。它们告诉接收邮件服务器，您的邮件确实来自您，并在邮件不是来自您时给出明确的处理指示。

三种记录（[SPF、DKIM 和 DMARC](./email-dns-configuration)）都需要存在并且相互一致。其中任何一项的缺失都会削弱您整体的身份验证状态，并降低收件箱提供商对您邮件的信任度。

<Card title="邮件 DNS 配置" icon="globe" href="./email-dns-configuration">
  为您的发送域名设置 SPF、DKIM 和 DMARC 记录。
</Card>

<Warning>
  没有报告地址的 `p=none` 策略只是一个起点，而不是完整的配置。要充分发挥 DMARC 的作用：

  * 将策略设置为 `quarantine` 或 `reject`，主动保护您的域名而不是仅仅观察它。
  * 包括有效的聚合报告地址（`rua` 标签），以便您可以监控身份验证结果并及早发现问题。

  包括 M3AAWG 在内的行业组织建议尽快从监控转向强制执行。请参阅 [M3AAWG 邮件身份验证推荐最佳实践](https://www.m3aawg.org/sites/default/files/doc_files/m3aawg-email-authentication-recommended-best-practices-09-2020.pdf)。
</Warning>

### 一致性很重要

您 `From:` 地址中的域名应与您的 DKIM 签名域名或 SPF 返回路径保持一致。不一致（两者不匹配）即使在三种记录都正确配置时也会导致身份验证失败，从而直接损害送达性。

例如，如果您的 `From:` 地址是 `team@onesignal.com`，但 DKIM 签名是为 `mail.example.com` 配置的，收件箱提供商会看到这种不匹配并将身份验证视为失败。即使两条记录本身都是有效的，域名也需要匹配才能通过身份验证。

***

## DNS 配置和健康状况

健康的 DNS 设置是您身份验证记录所依赖的基础架构。这里的问题可能会破坏其他所有工作。有关 DNS 记录的逐步设置，请参阅[邮件 DNS 配置](./email-dns-configuration)指南。

除了身份验证记录之外，还有一些值得检查的事项：

* **A 和 AAAA 记录**将您的域名与 Web 服务器关联。无法解析的域名没有网络状态，这会影响收件箱提供商和垃圾邮件过滤器对它们的评估。

* **名称服务器**需要处于活动状态并响应。如果对您域名的 DNS 查询失败，您的身份验证记录就无法被验证，而无法验证的身份验证等同于没有身份验证。

[MXToolbox](https://mxtoolbox.com) 和 [DNSChecker](https://dnschecker.org) 等免费工具可以让您快速检查所有 DNS 记录，并在配置缺陷影响您的发送之前发现它们。

***

## 检查您的黑名单状态

您的域名以及与之关联的任何 IP 地址，可能因与您无关的原因出现在一个或多个公共声誉黑名单上。常见原因包括域名的前任所有者、共享主机或 IP 历史，或过去的一次垃圾邮件投诉。收件箱提供商和验证系统会将列入黑名单的域名视为更高风险，这意味着即使您配置的其他所有方面都正确，黑名单条目也可能是被拒绝的决定性因素。

请对照主要的黑名单检查您的域名和 IP：

* [Spamhaus DBL](https://check.spamhaus.org/) — 域名黑名单
* [SURBL](https://www.surbl.org/surbl-analysis) — URI/域名黑名单
* [MXToolbox blacklist check](https://mxtoolbox.com/blacklists.aspx) — 一次检查 80 多个名单

如果被列入名单，每个黑名单都会发布自己的移除流程。移除是免费的，通常在几天内完成。重新检查名单后再重试验证。

***

## SSL/TLS 和站点安全

有效的 SSL/TLS 证书是收件箱提供商、垃圾邮件过滤器和收件人都会查看的基本合法性信号。在评估任何邮件之前，过期、缺失或配置错误的证书就会削弱对您域名的信任。

您的站点应该通过 HTTPS 加载，且没有浏览器安全警告。您的证书应该是最新的、正确配置的，并且为正确的域名颁发。来自 Let's Encrypt 等提供商的免费证书完全可以接受，只要它们有效并且正确部署。

<Note>
  使用 [SSL Labs](https://www.ssllabs.com/ssltest/) 审计您的 SSL 配置。
</Note>

***

## 域名和网络状态

您的技术配置告诉收件箱提供商您的域名是如何设置的。您的网络状态告诉他们以及您的收件人是谁在背后。

拥有真实、可访问网站、能清晰代表您组织的域名，比拥有占位符内容、默认托管页面或没有可访问站点的域名是更强的发件人。一致的网络状态也使不法分子更难仿冒您的品牌，因为存在已建立的参考点来表明合法的来自您的通信是什么样的。

最近注册或显示有过期并重新注册迹象的域名在收件箱提供商眼中信任度较低。如果您的域名是新的，请在扩大发送量之前留出时间建立信任。

<Card title="邮件预热" icon="sun" href="./email-warm-up">
  使用 OneSignal 的 Auto Warm Up 功能从新域名逐步增加发送量。
</Card>

***

## 建立更强的信任档案

除了基本要求之外，还有一些额外的步骤能显著加强您域名作为发件人的声誉。

### 公开您的域名注册信息

公开注册，包括与您的注册记录、网站和任何公开的业务资料一致的业务信息，能够表明组织的合法性。这些来源的一致性比任何单一来源更重要，并且使您的域名更难被令人信服地仿冒。

### 覆盖您的组织域名

如果您从子域名发送（例如 **mail.yourdomain.com**），请确保您的组织域名也配置了有效的 SPF、DKIM 和 DMARC 记录。一个由没有身份验证记录的裸父域名支持的发送子域名是不完整的设置，会使您的品牌暴露在风险中。

### 将 DMARC 从监控转向强制执行

如果您当前的 DMARC 策略是 `p=none`，您只是在收集数据但没有采取行动。将其转换为 `p=quarantine` 或 `p=reject` 并配置有效的报告地址，可以保护您的收件人免受仿冒邮件的影响、保护您的品牌声誉，并向收件箱提供商表明您认真对待您的域名。这被 M3AAWG 和主流收件箱提供商视为最佳实践。

***

## 持续维护

域名配置不是一次性任务。随着基础架构的变化，请进行维护：

* **定期轮换 DKIM 密钥**，以限制密钥泄露时的影响范围。
* **定期审查 DMARC 报告**，以及早发现对您域名的未经授权使用。
* **更新 DNS 记录**，每当您更换邮件提供商、托管服务或子域名时。
* **在过期前续订 SSL 证书**；尽可能配置自动续订。
* **在重大变更后重新验证**您的发送基础架构，以确认没有出现回退问题。

***

## 常见问题

### 为什么我的账户被拒绝？

OneSignal 使用第三方域名声誉提供商来保持验证的防篡改性和对所有客户的一致性。为了保护该信号的完整性，我们不分享底层评分或针对单个账户评估的具体因素。

我们可以告诉您的是：验证依赖于关于您域名的公开可观察信号——身份验证记录、DNS 健康状况、黑名单状态、SSL 配置、网络状态和注册历史。上面的[自我检查](#self-check)让您可以使用下游收件箱提供商使用的相同免费工具检查这些信号中的每一个。大多数被拒绝的情况都可以追溯到该清单中的一两项。

### 我完成了自我检查，但仍然被拒绝。该怎么办？

请联系 `support@onesignal.com` 并附上以下摘要：

* 您验证了自我检查中的哪些项目，以及使用了哪些工具（例如，"MXToolbox 显示所有 DNS 记录通过，Spamhaus 显示我的域名未被列入"）。
* 两次尝试之间您做了哪些更改。
* 您的发送域名。

支持团队可以根据常规验证类别审核您的账户，并指导您应该关注什么，即使我们无法分享底层的声誉数据。

### DNS 更改需要多长时间生效？

DNS 更改通常在几小时内传播，但可能需要长达 24–48 小时才能在全球范围内生效。在重试验证之前，请使用 [MXToolbox](https://mxtoolbox.com) 或 [DNSChecker](https://dnschecker.org) 确认您的记录可见。

### 何时可以重试验证？

首次被拒绝后，您可以在一周后请求重新验证。请先进行自我检查中确定的更改——没有做任何更改就重试通常会得到相同的结果。

### 我需要付费的 SSL 证书吗？

不需要。来自 [Let's Encrypt](https://letsencrypt.org) 等提供商的免费证书完全可以接受，只要它们有效、最新，并且为正确的域名颁发。

### 我可以使用全新的域名吗？

可以，但新注册的域名在收件箱提供商眼中的固有信任度较低。如果您的域名是新的，请完成本指南中的配置步骤，并考虑使用[邮件预热](./email-warm-up)在扩大发送量之前逐步建立发送声誉。

***

## 相关页面

<Columns cols={2}>
  <Card title="邮件 DNS 配置" icon="globe" href="./email-dns-configuration">
    为您的发送域名设置 SPF、DKIM 和 DMARC 记录。
  </Card>

  <Card title="邮件送达性" icon="inbox" href="./email-deliverability">
    了解声誉、退信、垃圾邮件陷阱和收件箱投递等关键概念。
  </Card>

  <Card title="邮件声誉最佳实践" icon="shield-check" href="./email-reputation-best-practices">
    建立和维护健康发送声誉的可操作步骤。
  </Card>

  <Card title="邮件预热" icon="sun" href="./email-warm-up">
    逐步增加发送量以建立与收件箱提供商的信任。
  </Card>
</Columns>
