为了保护你的域名和在线身份不被试图冒充你的骗子利用，你需要为你的电子邮件域名设置DMARC。DMARC通过SPF和DKIM协议的累积性电子邮件认证工作发挥作用。因此，DMARC用户也受益于接收关于他们的电子邮件的交付问题、认证和对齐失败的报告。在这里了解更多关于什么是DMARC的信息。

如果你的DMARC汇总报告说 "SPF对齐失败"，让我们讨论一下你的SPF对齐意味着什么，以及你如何解决这个问题。

什么是SPF排列？

一封电子邮件是由几个不同的标头组成的。每个标头都包含关于电子邮件的某些属性的信息，包括发送日期、发送地点和发送对象。SPF处理两种类型的邮件头。

• The <From:> header
• 返回路径标头

当From: 头中的域名和return-path头中的域名在一封邮件中是匹配的，SPF对齐就通过了这封邮件。然而，当这两者不匹配时，它就会失败。SPF对齐是一个重要的标准，它决定了一封邮件是合法的还是虚假的。

上图是一个例子，From: 头与Return-path头(Mail From)是一致的(完全匹配)，因此对这封邮件来说，SPF对齐会通过。

为什么SPF对齐失败？

案例1:你的SPF对齐模式被设置为 严格

虽然默认的 SPF 对齐模式是宽松的，但是如果返回路径域恰好是根组织域的一个子域，而 From: 头部包含了组织域，那么设置严格的 SPF 对齐模式会导致对齐失败。这是因为要使 SPF 在严格模式下对齐，两个头中的域必须是完全匹配的。然而，对于宽松的对齐方式，如果这两个域共享相同的顶级域，SPF对齐将通过。

上面显示的是一个共享同一顶级域名的邮件的例子，但是域名并不是完全匹配的（Mail From域名是组织域名company.com的一个子域）。在这种情况下，如果你的SPF对齐模式设置为 "宽松"，你的邮件就会通过SPF对齐，然而对于严格模式，它同样会失败。 

案例2:你的域名已被 欺骗了

SPF对齐失败的一个非常常见的原因是域名欺骗。这是一种现象，即网络犯罪分子通过伪造你的域名或地址来取代你的身份，向你的收件人发送电子邮件。虽然From: 域名仍然带有你的身份，但Return-path头显示的是欺骗者的原始身份。如果你对你的伪造域名进行了SPF认证，那么电子邮件在接收者那边就不可避免地无法对齐。

修复 "SPF对齐失败"

要修复SPF对齐失败，你可以。 

• 将你的对齐模式设置为 "放松 "而不是 "严格"。 
• 为你的域名配置DMARC，在SPF和DKIM之上，这样，即使你的邮件没有通过SPF头的调整，但通过了DKIM的调整，它也能通过DMARC并被传递给收件人。

我们的 DMARC报告分析器可以帮助你的外发邮件获得100%的DMARC合规性，并防止由于协议配置错误而导致的欺骗企图或对接失败。今天就进行免费的DMARC试用，享受更安全、更可靠的认证体验吧!