Synology MailPlus DNS记录配置完整指南 | A/MX/SPF/DKIM/DMARC设置步骤
在使用Synology MailPlus(含MailPlus Server)搭建专属邮件系统时,很多用户会陷入“服务器已安装,却收不到一封邮件”的困境——核心原因往往是DNS记录未正确配置。DNS(域名系统)作为“域名与IP的翻译官”,其记录直接决定外部邮件服务器能否找到你的MailPlus Server、是否信任你的邮件来源。本文基于Synology官方技术文档,从“DNS与MailPlus的配合逻辑”出发,手把手教你完成A、MX、SPF、DKIM、DMARC、TLSA 6类核心DNS记录的配置,每个步骤都附示例与注意事项,即使是新手也能精准落地,确保MailPlus邮件系统顺畅收发、远离垃圾邮件标记。
一、先理解:DNS记录对Synology MailPlus的核心作用
在动手配置前,需先明确DNS记录为何是MailPlus的“生命线”——它不是可选配置,而是邮件系统能正常工作的基础:
- 通信基础:A记录将邮件服务器域名(如`mail.example.com`)映射到NAS公网IP,MX记录指定“接收邮件的服务器”,两者配合让外部邮件(如Gmail)能找到你的MailPlus Server;
- 信任凭证:SPF、DKIM、DMARC记录相当于邮件的“身份证”,证明邮件来自合法来源且未被篡改,避免被接收方服务器判定为垃圾邮件;
- 安全补充:TLSA记录关联TLS证书,确保邮件传输过程中加密通道的安全性,部分严格的邮件服务器(如企业邮)会要求验证TLSA记录才接收邮件。
简言之,没有正确的DNS记录,MailPlus Server就像“没有门牌号的房子”——外部邮件找不到入口,发出的邮件也会因“身份不明”被拒收。
二、Synology MailPlus 6类核心DNS记录配置全流程
以下按“基础通信记录(A/MX)→信任验证记录(SPF/DKIM/DMARC)→安全补充记录(TLSA)”的顺序,详细讲解每类记录的配置步骤,所有示例均以“域名为`example.com`、NAS公网IP为`93.184.216.34`”为例,方便对照操作。
1. 基础通信记录:A记录(域名→IP映射)
A记录是最基础的DNS记录,负责将“邮件服务器子域名”(如`mail.example.com`)解析到NAS的公网IP,是MX记录生效的前提。
配置前提
- 已注册域名(如从阿里云、腾讯云购买的`example.com`);
- 已获取NAS的公网静态IP(动态IP需搭配DDNS,但不推荐用于邮件系统);
- 已登录域名提供商的DNS解析后台(如阿里云“域名解析控制台”、腾讯云“DNS解析DNSPod”)。
详细配置步骤
1. 进入DNS解析后台
以阿里云为例:登录阿里云控制台,在“域名与网站”中找到“域名解析”,选择需配置的域名(`example.com`),进入“解析设置”页面。
2. 添加A记录
点击“添加记录”,按以下参数填写(不同提供商界面略有差异,但核心字段一致):
| 字段名称 | 填写内容 | 说明 |
|----------------|--------------------------------------------------------------------------|----------------------------------------------------------------------|
| 记录类型 | 选择“A” | 表示地址记录,用于域名到IP的映射 |
| 主机记录 | 输入“mail” | 生成的子域名为`mail.example.com`,用于标识邮件服务器,方便记忆 |
| 解析线路 | 选择“默认”或“全网默认” | 确保所有网络环境下都能解析到正确IP |
| TTL | 填写“86400”(单位:秒) | TTL即“缓存时间”,86400秒=24小时,建议新手使用默认值,避免频繁修改导致解析混乱 |
| 记录值 | 输入NAS的公网静态IP(如`93.184.216.34`) | 必须是公网IP,不能填局域网IP(如192.168.1.100),否则外部无法访问 |
3. 保存并生效
点击“确认”或“保存”,A记录添加完成。由于TTL缓存,记录通常需要1-24小时生效,着急测试可等待1小时后用`ping mail.example.com`命令检查(能ping通到指定IP即生效)。
注意事项
- 若需配置多个邮件服务器(如主备服务器),可添加多个A记录(如`mail2.example.com`指向备用NAS IP);
- 主机记录不要填“@”(根域名),建议用“mail”“smtp”等明确标识邮件服务的前缀,避免与网站域名(如`www.example.com`)混淆。
2. 基础通信记录:MX记录(指定邮件接收服务器)
MX记录(邮件交换器记录)告诉外部邮件服务器:“发送到`@example.com`的邮件,应该交给哪台服务器处理”,需配合A记录使用(MX记录的主机名需通过A记录解析到IP)。
配置前提
- 已完成A记录配置(如`mail.example.com`已映射到`93.184.216.34`);
- 明确邮件服务器的优先级(主服务器优先级高于备用服务器)。
详细配置步骤
1. 进入DNS解析后台
同A记录配置,在域名(`example.com`)的“解析设置”页面,点击“添加记录”。
2. 添加MX记录
选择“记录类型”为“MX”,按以下参数填写:
| 字段名称 | 填写内容 | 说明 |
|----------------|--------------------------------------------------------------------------|----------------------------------------------------------------------|
| 主机记录 | 留空或填写“@” | 表示对根域名`example.com`生效,即所有`@example.com`的邮件都按此规则路由 |
| 解析线路 | 选择“默认” | 确保全网生效 |
| TTL | 填写“86400” | 与A记录TTL保持一致,避免解析不同步 |
| 优先级 | 填写“10”(数字越小优先级越高) | 若有备用服务器,可添加第二条MX记录,优先级填“20”(主服务器故障时自动切换) |
| 记录值 | 输入A记录配置的子域名(`mail.example.com.`,注意末尾需加英文句号“.”) | 必须是已配置A记录的子域名,末尾的句号确保解析到完整域名,部分提供商可自动添加 |
3. 保存并生效
点击“保存”,MX记录添加完成。生效时间同样受TTL影响,可在1-24小时后用`nslookup -q=MX example.com`命令检查(能看到`mail.example.com.`及优先级即生效)。
注意事项
- 一个域名可添加多条MX记录,但优先级需不同,建议至少配置1条主记录+1条备用记录,提升邮件接收的稳定性;
- 记录值不能直接填IP(如`93.184.216.34`),必须填已配置A记录的域名,否则外部服务器无法验证服务器合法性。
3. 信任验证记录:SPF记录(防止邮件欺骗)
SPF记录(发件人策略框架记录)是一条TXT类型记录,列出“有权代表域名发送邮件的IP/服务器”,相当于给邮件加“白名单”,防止他人冒用你的域名(如`example.com`)发送垃圾邮件。
配置前提
- 明确MailPlus Server的公网IP(即A记录映射的IP,如`93.184.216.34`);
- 了解SPF记录的基本语法(核心标签:`v`、`ip4`、`all`)。
SPF记录核心语法解析
SPF记录的内容是包含特定标签的字符串,各标签含义如下:
| 标签 | 含义 | 示例 |
|--------|----------------------------------------------------------------------|-----------------------|
| `v` | SPF版本,当前仅支持“spf1” | `v=spf1` |
| `ip4` | 授权发送邮件的IPv4地址,可填单个IP或IP段 | `ip4:93.184.216.34` |
| `all` | 未在白名单内的IP发送邮件时的处理规则:
- `-all`:拒绝并丢弃(推荐)
- `~all`:允许但标记为可疑 | `-all` |
详细配置步骤
1. 进入DNS解析后台
在`example.com`的“解析设置”页面,点击“添加记录”,选择“记录类型”为“TXT”。
2. 添加SPF记录
按以下参数填写:
| 字段名称 | 填写内容 | 说明 |
|----------------|--------------------------------------------------------------------------|----------------------------------------------------------------------|
| 主机记录 | 留空或填写“@” | 对根域名`example.com`生效,所有以`@example.com`为发件人的邮件都受此规则约束 |
| 解析线路 | 选择“默认” | 全网生效 |
| TTL | 填写“86400” | 与其他记录保持一致 |
| 记录值 | 输入`"v=spf1 ip4:93.184.216.34 -all"`(需包含英文双引号,无空格) | 仅允许`93.184.216.34`(你的MailPlus Server)发送`example.com`的邮件,其他IP发送的邮件直接拒绝 |
3. 保存并生效
点击“保存”,SPF记录添加完成。生效后,可通过`nslookup -q=TXT example.com`命令检查,能看到以“`v=spf1`”开头的记录即配置正确。
注意事项
- 记录值必须包含英文双引号,否则部分DNS服务器无法识别;
- 若有多个授权IP(如备用MailPlus Server),可在`ip4`后追加,如`"v=spf1 ip4:93.184.216.34 ip4:93.184.216.35 -all"`;
- 推荐使用`-all`(严格拒绝)而非`~all`(标记可疑),能更有效防止域名被冒用,但需确保所有授权IP都已包含,避免正常邮件被误判。
4. 信任验证记录:DKIM记录(验证邮件完整性)
DKIM记录(域名密钥识别邮件)通过“公钥-私钥”机制验证邮件——MailPlus Server发送邮件时用私钥签名,接收方服务器用DNS中的DKIM公钥验证签名,确保邮件未被篡改且来源合法。
配置前提
- 已在Synology MailPlus Server中生成DKIM公钥(关键步骤,需先完成);
- 明确DKIM选择器(生成公钥时会指定,如`abc`)。
步骤1:在MailPlus Server中生成DKIM公钥
1. 登录DSM并打开MailPlus Server
输入NAS局域网IP,登录DSM管理界面,点击“MailPlus Server”套件图标(确保已安装并启动)。
2. 生成DKIM公钥
- 在左侧菜单栏点击“域”,找到需配置的域名(`example.com`),点击“编辑”;
- 切换到“常规”选项卡,点击“高级”按钮;
- 在“DKIM签名”区域,点击“生成”(若已生成,直接点击“查看”);
- 记录“选择器”(如`abc`)和“公钥”(长字符串,如`MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC...`),公钥需完整复制,不要遗漏或添加空格。
步骤2:在DNS中添加DKIM记录
1. 进入DNS解析后台
选择`example.com`的“解析设置”,点击“添加记录”,选择“记录类型”为“TXT”。
2. 填写DKIM记录参数
| 字段名称 | 填写内容 | 说明 |
|----------------|--------------------------------------------------------------------------|----------------------------------------------------------------------|
| 主机记录 | 输入“`abc._domainkey`”(`abc`为步骤1记录的DKIM选择器) | 生成的DKIM记录域名为`abc._domainkey.example.com`,是接收方服务器查找公钥的地址 |
| 解析线路 | 选择“默认” | 全网生效 |
| TTL | 填写“86400” | 与其他记录保持一致 |
| 记录值 | 输入`"v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC..."`(含双引号,`p=`后为完整公钥) | 格式固定:`v=DKIM1`(版本)、`k=rsa`(加密算法)、`p=公钥`(验证用公钥) |
3. 保存并生效
点击“保存”,DKIM记录添加完成。生效后,可通过`nslookup -q=TXT abc._domainkey.example.com`命令检查,能看到包含“`k=rsa; p=`”的记录即正确。
注意事项
- 公钥字符串较长,复制时需确保“完整且无空格”,若公钥中间有换行,需删除换行符后再粘贴;
- 若需重新生成DKIM密钥(如私钥泄露),需先在MailPlus Server中删除旧密钥并生成新密钥,再更新DNS中的DKIM记录公钥。
5. 信任验证记录:DMARC记录(处理未验证邮件)
DMARC记录(基于域的邮件验证、报告和一致性)是SPF和DKIM的“补充规则”,定义“未通过SPF/DKIM检查的邮件该如何处理”(拒收/隔离/放行),同时提供报告功能,让你了解邮件验证情况。
配置前提
- 已完成SPF和DKIM记录配置(DMARC需基于两者生效);
- 确定对未验证邮件的处理策略(新手推荐从“监控”开始)。
DMARC记录核心语法解析
DMARC记录同样是TXT类型,核心标签如下:
| 标签 | 含义 | 示例 |
|--------------|----------------------------------------------------------------------|-------------------------------|
| `v` | DMARC版本,当前仅支持“DMARC1” | `v=DMARC1` |
| `p` | 处理策略:
- `p=none`:仅监控,不拦截(新手入门)
- `p=quarantine`:放入隔离箱(推荐)
- `p=reject`:直接拒绝(严格模式) | `p=none` |
| `pct` | 策略覆盖的邮件百分比(100=全部) | `pct=100` |
| `rua=mailto` | 接收DMARC报告的邮箱(用于查看验证情况) | `rua=mailto:postmaster@example.com` |
详细配置步骤
1. 进入DNS解析后台
在`example.com`的“解析设置”页面,点击“添加记录”,选择“记录类型”为“TXT”。
2. 添加DMARC记录
按以下参数填写:
| 字段名称 | 填写内容 | 说明 |
|----------------|--------------------------------------------------------------------------|----------------------------------------------------------------------|
| 主机记录 | 输入“`_dmarc`” | 生成的DMARC记录域名为`_dmarc.example.com`,是接收方服务器查找规则的固定地址 |
| 解析线路 | 选择“默认” | 全网生效 |
| TTL | 填写“86400” | 与其他记录保持一致 |
| 记录值 | 输入`"v=DMARC1; p=none; pct=100; rua=mailto:postmaster@example.com"`(含双引号) | 初始策略:监控所有邮件,未通过验证的邮件正常放行,验证报告发送到`postmaster@example.com` |
3. 保存并生效
点击“保存”,DMARC记录添加完成。生效后,可通过`nslookup -q=TXT _dmarc.example.com`命令检查,能看到以“`v=DMARC1`”开头的记录即正确。
注意事项
- 策略建议分阶段过渡:先使用`p=none`监控1-2周,通过DMARC报告确认无正常邮件被误判后,再改为`p=quarantine`(放入垃圾箱),最后可根据需求改为`p=reject`(严格拒绝);
- `rua`邮箱建议使用本域名邮箱(如`postmaster@example.com`),避免使用公共邮箱(如Gmail)导致报告丢失。
6. 安全补充记录:TLSA记录(TLS证书验证)
TLSA记录(传输层安全验证记录)将MailPlus Server的TLS证书与域名关联,确保外部邮件服务器与你的MailPlus Server建立加密连接时,使用的是合法证书,部分企业级邮件服务器会要求验证TLSA记录才接收邮件。
配置前提
- 已为MailPlus Server配置TLS证书(如Let's Encrypt免费证书,可在DSM“控制面板-安全-证书”中申请);
- 域名的DNS支持DNSSEC(TLSA记录需依赖DNSSEC确保自身不被篡改,可联系域名提供商确认)。
详细配置步骤
1. 生成TLSA记录信息
有两种生成方式,新手推荐使用MailPlus Server内置生成器:
- 登录DSM,打开MailPlus Server,点击左侧“安全性”→“验证”;
- 在“DANE”区域,点击“生成TLSA记录”,选择“使用当前服务器证书”,系统会自动生成TLSA记录的核心信息:
- 名称:`_25._tcp.mail.example.com`(`25`是SMTP默认端口,`mail.example.com`是邮件服务器域名);
- Usage:`3`(表示“域颁发证书”);
- Selector:`1`(表示“使用主题公钥”);
- Matching type:`1`(表示“SHA-256哈希”);
- 证书关联数据:一串十六进制字符串(如`9e76908d0386...`)。
2. 在DNS中添加TLSA记录
进入域名解析后台,点击“添加记录”,选择“记录类型”为“TLSA”(部分提供商需在“高级记录”中找到),按以下参数填写:
| 字段名称 | 填写内容 | 说明 |
|--------------------|--------------------------------------------------------------------------|----------------------------------------------------------------------|
| 主机记录 | 输入“`_25._tcp.mail`”(完整域名为`_25._tcp.mail.example.com`) | 固定格式:`_端口._协议.子域名`,SMTP默认端口为25,协议为tcp |
| 解析线路 | 选择“默认” | 全网生效 |
| TTL | 填写“86400” | 与其他记录保持一致 |
| Usage | 输入“3” | 按生成的信息填写,不可修改 |
| Selector | 输入“1” | 按生成的信息填写,不可修改 |
| Matching type | 输入“1” | 按生成的信息填写,不可修改 |
| 证书关联数据(Hex)| 输入生成的十六进制字符串(如`9e76908d0386...`) | 完整复制,不要遗漏字符 |
3. 保存并生效
点击“保存”,TLSA记录添加完成。由于需DNSSEC生效,建议联系域名提供商协助启用DNSSEC,否则TLSA记录可能无法被外部服务器识别。
三、DNS记录配置后的验证方法
配置完成后,需验证记录是否生效,避免因配置错误导致邮件问题。推荐两种简单验证方法:
1. 命令行验证(专业用户)
使用系统自带的`nslookup`工具(Windows“命令提示符”、macOS“终端”):
- 验证A记录:输入`nslookup mail.example.com`,查看返回的IP是否为`93.184.216.34`;
- 验证MX记录:输入`nslookup -q=MX example.com`,查看返回的服务器是否为`mail.example.com.`;
- 验证SPF/DKIM/DMARC:输入`nslookup -q=TXT 记录域名`(如`nslookup -q=TXT example.com`验证SPF),查看记录内容是否与配置一致。
2. 在线工具验证(新手推荐)
使用Synology官方推荐的“Google Admin Toolbox Dig”(无需安装,浏览器访问):
1. 打开网址:https://toolbox.googleapps.com/apps/dig/;
2. 在“Name”中输入需验证的域名(如`mail.example.com`);
3. 在“Type”中选择记录类型(如A、MX、TXT);
4. 点击“Dig”,查看结果是否与配置一致(如A记录返回正确IP、TXT记录返回正确的SPF/DKIM内容)。
四、常见问题解答(解决配置中的高频痛点)
Q1:DNS记录配置后,邮件仍收不到/发不出怎么办?
A1:优先排查两点:
1. 等待TTL生效:记录配置后需1-24小时生效,若刚配置完,可等待24小时后再测试;
2. 检查记录格式:确认MX记录值末尾加了英文句号、SPF/DKIM/DMARC记录包含英文双引号、公钥无空格,这些细节错误会导致记录无效。
Q2:DKIM记录公钥不匹配,接收方提示“DKIM验证失败”怎么办?
A2:按以下步骤修复:
1. 在MailPlus Server“域-编辑-高级”中,重新查看DKIM公钥,确保完整复制(包括开头的`MIGf`和结尾的`IDAQAB`);
2. 登录DNS后台,删除旧的DKIM记录,重新添加,确保记录值中的公钥与MailPlus Server中的完全一致(无多余空格或换行);
3. 等待TTL生效后,用`nslookup`验证DKIM记录,确认公钥正确。
Q3:DMARC报告收不到怎么办?
A3:排查两个原因:
1. 邮箱地址错误:确认`rua=mailto:`后的邮箱(如`postmaster@example.com`)已正确配置,且能正常接收邮件;
2. 报告延迟:DMARC报告通常每天发送一次,需等待1-2天才能收到,耐心等待即可。
总结
为Synology MailPlus配置DNS记录,核心是“先搭基础通信(A/MX),再建信任验证(SPF/DKIM/DMARC),最后补安全补充(TLSA)”。每类记录都有明确的作用和固定的配置格式,只要严格按照本文步骤,对照示例填写参数,即使是新手也能完成配置。配置后务必通过命令行或在线工具验证,确保记录生效;后续可定期查看DMARC报告,优化邮件系统的信任度,让MailPlus Server既能顺畅收发邮件,又能远离垃圾邮件标记,成为稳定可靠的专属邮件系统。
Copyright © 2011-2020 北京群晖时代科技有限公司 版权所有 京ICP备2020037175号-2