邮件诊断工具¶
Mailexam 网站提供一组免费工具,用于检查 DNS 记录和域名信誉。无需注册:输入域名或 IP 即可获得结果、说明与建议。
工具可从首页的快速测试区块以及页脚进入。每个工具页面都链接到其他检查项。
适用场景
- 上线生产邮件前 — 确认 SPF、DKIM、DMARC 配置正确。
- 投递率下降时 — 检查 RBL 列表、PTR 与 MTA-STS 策略。
- 品牌展示 — 验证 BIMI 记录及徽标显示就绪情况。
可用检查¶
| 工具 | 检查内容 | 链接 |
|---|---|---|
| SPF | Sender Policy Framework TXT 记录:授权发信服务器、语法、-all 策略 |
检查 SPF |
| DKIM | 按选择器查询 DNS 公钥;缺失时可生成密钥对及可发布的 TXT | 检查 DKIM |
| DMARC | _dmarc 策略、p= 模式、报告地址 |
检查 DMARC |
| RBL | IP 或域名在 50–100 个主要垃圾邮件列表中的状态(Spamhaus、Barracuda、SURBL 等);结果实时流式返回 | 检查 RBL |
| 反向 DNS(PTR) | 发信 IP 的 PTR 记录及正向/反向 DNS 一致性 | 检查 PTR |
| MTA-STS 与 TLS-RPT | SMTP 强制加密策略及 TLS 报告记录 | 检查 MTA-STS |
| BIMI | Brand Indicators for Message Identification — BIMI 记录及品牌徽标显示就绪情况 | 检查 BIMI |
SPF、DKIM 与 DMARC¶
三项检查共用同一页面模板:输入域名;DKIM 还需选择器(默认 default)。检查后显示:
- 状态:正确、需注意或未找到;
- 查到的 DNS 记录及语法解析;
- 记录缺失或不安全时的分步配置建议。
DKIM 状态为「未找到」时,可生成密钥对(1024、2048 或 4096 位)及可直接写入 DNS 的 TXT 值。
工具与 sandbox
DNS 检查与 Mailexam 测试 SMTP 无关:使用 sandbox 时只需更换 SMTP 凭据,无需配置域名记录。这些工具主要用于向真实收件人发送生产邮件的阶段。
RBL(黑名单)¶
RBL(Realtime Blackhole List)与 DNSBL(DNS-based Blackhole List)是公开的 IP 地址与域名列表,收录已知发送垃圾邮件、钓鱼、恶意软件或其他可疑行为的地址。大型邮箱服务商与反垃圾过滤器会在评估 SPF、DKIM 和邮件内容之前先对照这些列表。
被列入名单对投递的影响¶
| 情况 | 常见后果 |
|---|---|
| IP 出现在一个「较软」的列表中 | 邮件更易进入垃圾箱或被降权 |
| IP 出现在多个权威列表(Spamhaus、Barracuda) | SMTP 阶段拒收(550)、大量退信 |
| 发信域名出现在 SURBL 等列表中 | 按链接与域名信誉过滤,即使 IP 本身「干净」 |
被列入名单并不总意味着您在发垃圾邮件:地址可能继承前任 VPS 租户的劣迹、因同 IP 上被入侵的论坛而入列,或因事务邮件缺少合规退订而引发大量投诉。
工具检查内容¶
输入 IP 地址(如 203.0.113.10)或域名(mail.example.com)。服务依次查询 50–100 个主要 DNSBL(Spamhaus、Barracuda、SURBL 等),并实时流式显示进度:
- 地址在哪些列表中存在或不存在;
- DNSBL 返回码及该列表说明的链接;
- 汇总:是否存在需立即处理的关键命中。
发现被列入后的处理步骤¶
- 确认检查的是正确 IP — 实际用于外发 SMTP 的地址(若非经独立中继发信,则不是内网 NAT 或网站服务器 IP)。
- 消除根本原因 — 关闭开放中继、更新 CMS、审计 SMTP 账号、配置限速与正确的退信处理。
- 按各列表流程申请除名(Spamhaus、Barracuda 等均有各自的表单与时效)。
- 24–72 小时后重新检查 — DNSBL 更新并非即时生效。
给管理者的提示
若「邮件到不了」且服务商要求「检查 IP 信誉」,先从 RBL 检查入手。这比盲目排查 SPF/DKIM 更快,能立刻看出是否有人在入口处拦截您的地址。
PTR(反向 DNS)¶
PTR(pointer)记录将 IP 地址映射到主机名。对邮件而言即反向 DNS:IP 203.0.113.10 应解析为有意义的名称如 mail.example.com,而非自动生成的 ip-10-0-0-1.provider.net。
收件方为何在意¶
大型邮箱服务商将 PTR 作为发件人可信度的信号之一:
| 检查项 | 含义 |
|---|---|
| 存在 PTR | 该 IP 有明确所有者及有意义的 DNS 名称 |
| PTR 指向发信域名 | SMTP 服务器与 From: 中的域名相关联 |
| FCrdNS(正向确认的反向 DNS) | PTR 主机名经正向查询(A/AAAA)后仍返回同一 IP |
FCrdNS 是关键:仅有「任意」PTR 不够。名称如 random123.hosting.com 虽存在,但若与邮件头中的域名不一致且正向 DNS 无法确认,过滤器可能降低信誉或拒绝连接。
常见问题¶
- 主机商通用 PTR —
vps12345.provider.com而非mail.yourcompany.com,廉价 VPS 与共享主机上很常见。 - HELO/EHLO 与 PTR 不一致 — SMTP 自报名称与 PTR 指向不同。
- 有 PTR 但无 A 记录 — 正向 DNS 无法确认反向,FCrdNS 不成立。
- 经第三方 ESP 发信 — 邮件服务商(SendGrid、Amazon SES 等)为其出站 IP 配置 PTR,而非您网站 DNS。此时应检查其发信 IP,而非网站 IP。
工具检查内容¶
输入发信服务器 IP。工具将:
- 查找 PTR 记录并显示关联主机名;
- 检查该名称的正向 DNS(A/AAAA);
- 评估 FCrdNS 一致性,并在不一致时给出建议。
PTR 由 IP 所有者(主机商、云厂商、运营商)配置 — 不在域名 DNS 面板中设置。若记录错误,请联系主机商将出站 IP 的 PTR 设为 mail.example.com。
MTA-STS 与 TLS-RPT¶
两个相关机制,用于加强邮件服务器之间的 SMTP 传输安全:前者强制加密,后者报告加密故障。
MTA-STS(Mail Transfer Agent Strict Transport Security)¶
MTA-STS 是域名策略,告知接收方:向本域名投递邮件时仅允许加密 TLS。无 MTA-STS 时,SMTP 传统上采用机会性 TLS — 服务器尝试加密,但证书错误或遭遇降级攻击时可能仍以明文继续。
策略发布在两处:
| 组件 | 位置 | 内容 |
|---|---|---|
_mta-sts DNS 记录 |
域名的 TXT | 版本、模式(none / testing / enforce)、HTTPS 策略文件地址 |
| 策略文件 | https://mta-sts.example.com/.well-known/mta-sts.txt |
MX 主机列表、有效期(max_age)、enforce 模式 |
enforce 模式最严格:若无法正确建立 TLS,邮件不得以明文投递。testing 仅监控不拦截;none 表示策略未启用。
TLS-RPT(TLS Reporting)¶
TLS-RPT 是位于 _smtp._tls 的 DNS TXT 记录,指向接收方发送聚合报告的地址(通常为 mailto:),内容涵盖向贵域投递时的 TLS 问题:证书无效、密码套件不兼容、在启用 MTA-STS 时仍尝试明文投递等。
报告有助于在用户投诉之前发现:MX 证书过期、加密降级尝试、迁移主机后 TLS 链断裂等问题。
为何需要配置¶
- 防止邮件在 MTA 间传输时被窃听。
- 满足企业对通信信道加密的合规要求。
- 在 MX 变更或证书更新后尽早发现配置错误。
MTA-STS 与 TLS-RPT不能替代 SPF、DKIM、DMARC — 它们解决的是传输安全,而非发件人真实性。
工具检查内容¶
对指定域名,工具将验证:
_mta-stsDNS TXT 记录是否存在且语法正确;- HTTPS 策略文件是否可访问、内容是否一致;
- 是否存在
_smtp._tls(TLS-RPT)记录及报告地址是否有效; - 常见错误:
max_age过期、策略中的 MX 与真实 MX 不符、HTTPS 不可达。
BIMI¶
BIMI(Brand Indicators for Message Identification)是在支持的邮件客户端(Yahoo、Apple Mail 等)中于邮件旁显示品牌徽标的标准。收件人看到熟悉图标而非通用字母头像,有助于提升识别度与信任感。
BIMI 的前置条件¶
BIMI 建立在已配置的域名身份验证之上。最低要求:
| 要求 | 作用 |
|---|---|
DMARC 策略为 p=quarantine 或 p=reject |
证明域名防伪造已到位 — 否则客户端不显示徽标 |
DNS 中的 BIMI TXT 记录(default._bimi) |
指向 SVG Tiny P/S 格式的徽标 URL |
| VMC(Verified Mark Certificate) | 部分客户端(含 Yahoo)强制要求;证明商标权 |
徽标须为 SVG Tiny P/S(严格受限的 SVG 配置),通常为正方形,透明或纯色背景。BIMI 不使用 PNG/JPEG 等位图。
BIMI 不能做什么¶
- 不能替代 DMARC — 反而依赖 DMARC。
- 不能保证进收件箱 — 主要影响展示,不直接改变垃圾邮件评分。
- 并非全客户端支持 — 不支持的客户端会忽略 BIMI。
工具检查内容¶
工具评估域名的 BIMI 就绪情况:
- BIMI TXT 记录(
default._bimi)是否存在且语法正确; - 指定 URL 的 SVG 徽标是否可访问;
- DMARC 状态(策略不低于
quarantine); - 目标客户端需要时是否包含 VMC;
- 常见错误:SVG 格式无效、HTTPS 不可达、DMARC 处于
p=none。
给管理者的提示
BIMI 是 SPF、DKIM、DMARC 配置完成后的「锦上添花」。若身份验证尚未就绪,请先从 SPF/DKIM/DMARC 工具入手;当事务邮件与营销邮件已稳定通过验证后,再考虑 BIMI。
工具与 Mailexam 的关系¶
| 任务 | 工具 | 核心产品 |
|---|---|---|
| 在开发中测试模板与发送逻辑 | — | Sandbox + 集成示例 |
| 检查 HTML/CSS 在各邮件客户端的兼容性 | — | 兼容性检查 |
| 生产邮件前配置 DNS | 工具(本页) | — |
| 在 CI/CD 中自动化邮件检查 | — | REST API · CLI |