Google Workspace 邮箱域名配置完整教程

本文档详细介绍如何为您的自有域名（如 XXXX.com）配置 Google Workspace 邮箱，包含 MX、SPF、DKIM、DMARC 及安全性设置，保障邮件投递安全与顺畅。

目录

• 1. 添加 Google Workspace MX 记录
• 2. 配置 SPF 记录
• 3. 配置并启用 DKIM 签名
• 4. 配置 DMARC 记录
• 5. 发送邮件验证与排查
• 6. 进阶建议

1. 添加 Google Workspace MX 记录

MX 记录告诉其他邮件服务器，您的域名邮件由 Google 邮件服务器接收。

登录您的域名管理后台（如 GoDaddy、阿里云等），在 DNS 管理页面添加以下 MX 记录：

注意：各条记录末尾需有英文句点 .，优先级数值数字越小优先级越高。

2. 配置 SPF 记录

SPF 记录授权 Google 服务器可以代表您的域发送邮件，防止冒用。

在您的域名 DNS 中添加一条 TXT 记录，内容如下：

v=spf1 include:_spf.google.com ~all

说明：

• v=spf1：SPF 协议版本
• include:_spf.google.com：包含 Google 授权的 IP 段
• ~all：软失败策略，非授权服务器邮件会被标记但不会拒收（可选用 -all 进行严格拒收）

3. 配置并启用 DKIM 签名

DKIM 用于对邮件内容做加密签名，保障邮件未被篡改，同时支持身份验证。

1. 1. 登录 Google 管理员后台。
   2. 进入 应用 > Google Workspace > Gmail > 认证 > DKIM 页面。
   3. 选择要启用的域名，点击“生成新的记录”，选择 2048 位密钥长度。
   4. Google 会生成一条 TXT 记录示例，如：

google._domainkey.XXXX.com
TXT
"k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A..."（此处为公钥）

1. 将该 TXT 记录添加到域名 DNS 管理后台。
2. 回到管理员后台，点击“开始认证”启用 DKIM。

注意：等待 DNS 生效（最多1小时）后，DKIM 即启用并生效。

4. 配置 DMARC 记录

DMARC 让你控制未通过 SPF 或 DKIM 邮件的处理方式，并能收到报告。

在 DNS 中添加 TXT 记录，主机名填写 _dmarc，值示例如：

v=DMARC1; p=none; rua=mailto:admin@XXXX.com; aspf=r; adkim=r;

• p=none：监控模式，建议初期使用，不拒收邮件。
• rua：接收聚合报告的邮箱，便于查看验证情况。
• aspf=r; adkim=r;：SPF 和 DKIM 对齐模式为宽松（relaxed）。

后续确认无误后可调整为更严格策略，如 p=quarantine 或 p=reject。

5. 发送邮件验证与排查

1. 从 Google Workspace 邮箱（如 admin@XXXX.com）登录网页版 Gmail。
2. 发送测试邮件到 Gmail 或其他邮箱。
3. 查看邮件原始内容，确认 Authentication-Results 包含 spf=pass、dkim=pass、dmarc=pass。
4. 如果出现 DMARC Fail，检查 DKIM 是否启用且正确、SPF 记录是否匹配、DNS 是否生效。

小提示：避免在 Gmail 中使用“发送邮件为其他地址”且通过 Gmail SMTP 发送，这会导致 DMARC 失败。

6. 进阶建议

• 逐步升级 DMARC 策略：从 p=none 监控，逐步切换至 quarantine、reject，增强域名防伪能力。
• 开启 DMARC 报告收集：通过 rua 和 ruf 收集验证报告，使用工具分析异常。
• 定期更换 DKIM 密钥：建议每年更换一次，保证密钥安全。
• 设置 BIMI 记录：启用品牌标识显示（需严格 DMARC 策略支持）。
• 开启 Google Workspace 两步验证：提升账户安全，防止被盗用。
• 监控邮件发送行为：及时发现异常大规模邮件发送，防止账号被滥用。
• 维护 DNS 记录清洁：删除无用或重复的 TXT/MX 记录，确保 DNS 查询效率和准确性。