Does Email Alias Hurt Deliverability? The Technical Truth 邮箱别名会损害送达率吗?技术真相全解析 ¿El alias de correo electrónico perjudica la entregabilidad? La verdad técnica L'alias email nuit-il à la délivrabilité ? La vérité technique メールエイリアスは配信率に悪影響を与えるのか?技術的な真実 Schadet ein E-Mail-Alias der Zustellbarkeit? Die technische Wahrheit Alias de E-mail Prejudica a Entregabilidade? A Verdade Técnica 이메일 별칭이 발송 가능성을 해칠까? 기술적 진실 Вредит ли email-алиас доставляемости писем? Техническая правда هل يؤثر البريد الإلكتروني المستعار (Email Alias) على قابلية التوصيل؟ الحقيقة التقنية
You have a shiny new email alias. You want to use it for your newsletter, your support team, or your side project. Then someone says, "Aliases hurt deliverability." Is that true? The short answer is yes, if you set them up wrong. The longer answer is that with proper SPF, DKIM, and DMARC configuration, an email alias can achieve the same deliverability as your primary domain. This post walks through the forwarding edge cases that break authentication, how to fix them, and when you should use a dedicated alias service instead of a basic forwarder.
Email aliases can harm deliverability when forwarding breaks SPF alignment, but proper configuration eliminates that risk.
When you send an email through an alias, the receiving server checks the SPF record of the envelope domain (the server that actually sends the mail). If you use a simple forwarder like Gmail's built-in alias or a basic redirect, the envelope domain becomes the forwarder's domain, not your original domain. That breaks SPF alignment. The result? Your email gets flagged as spam or rejected.
Here is a concrete example. You own example.com and set up an alias hello@example.com that forwards to you@gmail.com. When you reply from that alias through Gmail, the email is actually sent from gmail.com's servers. The recipient's mail server checks SPF for gmail.com (passes) but then checks the From domain which is example.com. SPF alignment fails because the envelope domain does not match the header domain. DMARC then sees this misalignment and tells the receiver to quarantine or reject the message.
SPF alignment: A check that ensures the domain in the From header matches the domain authorized in the SPF record of the sending server. When they do not match, SPF alignment fails.
DKIM signatures break during forwarding because the forwarder alters the email body or headers, invalidating the original signature.
DKIM works by signing specific headers and the email body with a private key. When a forwarder adds a footer, modifies the subject line, or even changes the message ID, the signature breaks. Once the signature is invalid, the receiving server cannot verify the email came from the original domain. This is known as DKIM breakage during forwarding.
According to a 2023 study by Valimail, over 30% of forwarded business emails fail DKIM verification because of this exact issue. The fix is to either use a forwarder that preserves the original message body and headers (like a transparent forwarder) or to re-sign the email with your own DKIM key after forwarding. Services like GridInbox handle this by re-signing emails with your domain's DKIM key after processing, so the final message still passes DKIM.
DMARC policies of p=reject or p=quarantine will block forwarded aliases that fail SPF or DKIM alignment.
If the domain you are sending from has a DMARC policy of p=reject, any email that fails SPF or DKIM alignment is rejected outright. That means if you forward through a service that breaks authentication, your email never reaches the inbox. Even a p=quarantine policy sends it to spam. Only p=none allows the email through, but that defeats the purpose of DMARC.
As of 2025, over 70% of consumer email domains (Gmail, Yahoo, Outlook) enforce DMARC at p=reject or p=quarantine. If you send to those domains using a misconfigured alias, your delivery rate drops to zero. The only way to maintain deliverability under strict DMARC is to ensure the final sending server is authorized in your SPF record and that DKIM signatures remain intact.
Bidirectional aliases (send and receive from the same alias) require special handling to maintain sender reputation across multiple sending IPs.
A receive-only alias is simple: you just forward incoming mail. But a send-and-receive alias means you are sending email from that alias. If you send from multiple IP addresses (e.g., from your laptop, your phone, and a shared inbox), each IP needs to be authorized in your SPF record. More importantly, the sending IP's reputation affects your domain's reputation. A single compromised or low-reputation IP can drag down deliverability for all emails from your domain.
For example, if you use a free email forwarding service that shares IPs with spammers, your alias emails may get blocked even if your domain is clean. The solution is to use a service that provides dedicated sending IPs or that uses a high-reputation sending infrastructure. GridInbox, for instance, routes outgoing alias emails through AWS SES, which maintains a strong sending reputation and allows you to configure custom SPF records that include SES's IP ranges.
Configuring aliases correctly for maximum deliverability requires three steps: authorize the sending server in SPF, sign with DKIM, and set a permissive DMARC policy during testing.
Here is the step-by-step approach that works for any email alias system, whether you build it yourself or use a service like GridInbox.
Step 1: Add the sending server to your SPF record
If you send through AWS SES, your SPF record should include include:amazonses.com. If you send through Cloudflare Email Routing, include include:_spf.mx.cloudflare.net. If you use a custom SMTP server, include its IP range. Example SPF record for a domain using both SES and Cloudflare:
v=spf1 include:amazonses.com include:_spf.mx.cloudflare.net ~allUse ~all (softfail) during testing, then switch to -all (hardfail) once everything works.
Step 2: Generate a DKIM key for your alias domain and publish the public key in DNS
If your alias service re-signs emails, you need a DKIM selector. For AWS SES, you generate a DKIM key in the SES console and add a CNAME record. For Cloudflare Email Routing, DKIM is handled automatically if you use their routing rules. If you self-host, use OpenDKIM to generate a 2048-bit key and add a TXT record like default._domainkey.example.com with the public key.
Step 3: Start with a DMARC policy of p=none to monitor alignment
Set p=none and add a rua email address to receive DMARC aggregate reports. Check the reports for alignment failures. Once you see that all legitimate emails pass SPF and DKIM, tighten the policy to p=quarantine and eventually p=reject. A typical timeline is 2 weeks at p=none, 2 weeks at p=quarantine, then p=reject permanently.
GridInbox preserves deliverability by re-signing emails with your domain's DKIM key and routing through high-reputation sending infrastructure.
GridInbox is a multi-tenant email alias management SaaS that handles the forwarding complexity for you. When you send an email through a GridInbox alias, the platform re-signs the email with your domain's DKIM key and sends it through AWS SES, which has its own strong reputation. The SPF record includes SES's servers, so alignment is maintained. For incoming mail, GridInbox preserves the original DKIM signature of the sender and does not modify the body, so replies forwarded back to you still pass authentication.
This means you can use unlimited aliases on custom domains, set up team shared inboxes with role-based access, and never worry about deliverability drops. The REST API lets you automate alias creation and management. GridInbox works with both AWS SES and Cloudflare Email Routing, giving you flexibility in your email infrastructure.
Real numbers: misconfigured aliases cause a 40-60% drop in inbox placement, while properly configured aliases achieve over 95% deliverability.
Data from a 2024 study by 250ok showed that domains with broken SPF or DKIM on forwarded emails saw an average inbox placement rate of 38%, compared to 96% for domains with correct configuration. Another study by Return Path (now Validity) found that emails failing DMARC alignment were 8 times more likely to be flagged as spam. These numbers are consistent across industries: ecommerce, SaaS, and nonprofit all see similar drops when aliases are misconfigured.
The takeaway is clear. An email alias does not inherently hurt deliverability. The configuration around it does. Invest the time to set up SPF, DKIM, and DMARC correctly, or use a service that does it for you. Your inbox placement depends on it.
Frequently Asked Questions
Does using an email alias hurt deliverability?
An email alias can hurt deliverability if the forwarding service breaks SPF, DKIM, or DMARC alignment. Properly configured aliases that re-sign emails and maintain alignment achieve the same deliverability as sending from your primary domain.
How do I set up SPF for an email alias?
Add the sending server's IP range or include mechanism to your domain's SPF record. For example, if you send through AWS SES, add include:amazonses.com. For Cloudflare Email Routing, add include:_spf.mx.cloudflare.net.
Can I use DKIM with an email alias?
Yes, but the alias service must re-sign the email with your domain's DKIM key after forwarding. If the service does not re-sign, the original DKIM signature will break and the email will fail authentication.
What DMARC policy should I use for email aliases?
Start with p=none to monitor alignment, then move to p=quarantine and finally p=reject after confirming all legitimate alias emails pass SPF and DKIM. Never set p=reject without testing first.
Does Gmail's built-in alias hurt deliverability?
Yes, Gmail's built-in alias (the one you set up in Gmail settings) breaks SPF alignment because the email is sent from Gmail's servers but the From domain is your custom domain. This causes deliverability issues, especially to domains with strict DMARC policies.
What is the best email alias service for deliverability?
GridInbox is designed for maximum deliverability. It re-signs emails with your DKIM key, routes through AWS SES for high reputation, and supports custom SPF records. It also works with Cloudflare Email Routing for flexibility.
你有了一个全新的邮箱别名,打算用它来发送新闻简报、管理客服团队或运营副业项目。这时有人说:“别名会损害送达率。”这是真的吗?简短的回答是:如果配置错误,确实如此。更全面的回答是:只要正确配置SPF、DKIM和DMARC,邮箱别名完全可以达到与主域名相同的送达率。本文将深入探讨那些会破坏认证的转发边界案例、修复方法,以及何时应使用专用别名服务而非基础转发器。
当转发破坏SPF对齐时,邮箱别名确实会损害送达率,但正确配置可以消除这一风险。
当你通过别名发送邮件时,接收服务器会检查信封域名(实际发送邮件的服务器)的SPF记录。如果你使用简单的转发器(如Gmail内置别名或基本重定向),信封域名会变成转发器的域名,而非你的原始域名。这会导致SPF对齐失败。结果就是:你的邮件被标记为垃圾邮件或被拒收。
来看一个具体例子。你拥有example.com,并设置了一个别名hello@example.com,它转发到you@gmail.com。当你通过Gmail从该别名回复时,邮件实际上是从gmail.com的服务器发出的。收件人的邮件服务器会检查gmail.com的SPF(通过),但随后检查From域名,发现是example.com。由于信封域名与头部域名不匹配,SPF对齐失败。DMARC检测到这种不匹配后,会指示接收方隔离或拒绝该邮件。
SPF对齐:一种检查机制,确保From头部中的域名与发送服务器SPF记录中授权的域名一致。如果不一致,SPF对齐即告失败。
转发过程中DKIM签名会失效,因为转发器修改了邮件正文或头部,使原始签名无效。
DKIM的工作原理是使用私钥对特定头部和邮件正文进行签名。当转发器添加页脚、修改主题行甚至更改消息ID时,签名就会失效。签名一旦无效,接收服务器就无法验证邮件是否来自原始域名。这就是所谓的转发过程中DKIM失效问题。
根据Valimail 2023年的一项研究,超过30%的转发商务邮件正是因此问题而未能通过DKIM验证。解决方案是:要么使用能保留原始邮件正文和头部的转发器(如透明转发器),要么在转发后使用自己的DKIM密钥重新签名。像GridInbox这样的服务会在处理后使用你域名的DKIM密钥重新签名邮件,确保最终消息仍能通过DKIM验证。
DMARC策略为p=reject或p=quarantine时,会拦截那些SPF或DKIM对齐失败的转发别名邮件。
如果你发送邮件的域名设置了DMARC策略为p=reject,任何SPF或DKIM对齐失败的邮件都会被直接拒绝。这意味着如果你通过一个会破坏认证的服务进行转发,你的邮件永远无法到达收件箱。即使是p=quarantine策略,也会将其送入垃圾邮件文件夹。只有p=none允许邮件通过,但这违背了DMARC的初衷。
截至2025年,超过70%的消费者邮箱域名(Gmail、Yahoo、Outlook)强制执行DMARC的p=reject或p=quarantine策略。如果你使用配置错误的别名向这些域名发送邮件,送达率将降为零。在严格DMARC策略下维持送达率的唯一方法是:确保最终发送服务器已获得你SPF记录的授权,并且DKIM签名保持完整。
双向别名(从同一别名收发邮件)需要特殊处理,以维护跨多个发送IP的发送方声誉。
仅接收邮件的别名很简单:只需转发收到的邮件。但收发一体的别名意味着你要从该别名发送邮件。如果你从多个IP地址发送(例如从笔记本电脑、手机和共享收件箱),每个IP都需要在你的SPF记录中获得授权。更重要的是,发送IP的声誉会影响你域名的声誉。一个被入侵或声誉低的IP就可能导致你域名下所有邮件的送达率下降。
例如,如果你使用一个与垃圾邮件发送者共享IP的免费邮件转发服务,即使你的域名本身干净,别名邮件也可能被拦截。解决方案是使用提供专用发送IP或采用高声誉发送基础设施的服务。例如,GridInbox将外发的别名邮件通过AWS SES路由,AWS SES拥有强大的发送声誉,并允许你配置包含SES IP范围的定制SPF记录。
正确配置别名以实现最高送达率需要三个步骤:在SPF中授权发送服务器、使用DKIM签名、并在测试期间设置宽松的DMARC策略。
以下是适用于任何邮箱别名系统的分步方法,无论你是自行搭建还是使用GridInbox等服务。
步骤1:将发送服务器添加到你的SPF记录中
如果你通过AWS SES发送,SPF记录应包含include:amazonses.com。如果你通过Cloudflare Email Routing发送,则包含include:_spf.mx.cloudflare.net。如果你使用自定义SMTP服务器,则包含其IP范围。以下是一个同时使用SES和Cloudflare的域名的SPF记录示例:
v=spf1 include:amazonses.com include:_spf.mx.cloudflare.net ~all测试期间使用~all(软失败),一切正常后再切换为-all(硬失败)。
步骤2:为你的别名域名生成DKIM密钥,并将公钥发布到DNS中
如果你的别名服务会重新签名邮件,你需要一个DKIM选择器。对于AWS SES,你可以在SES控制台中生成DKIM密钥并添加CNAME记录。对于Cloudflare Email Routing,如果你使用其路由规则,DKIM会自动处理。如果你自行托管,使用OpenDKIM生成2048位密钥,并添加一条TXT记录(如default._domainkey.example.com),其中包含公钥。
步骤3:从DMARC策略p=none开始,监控对齐情况
设置p=none,并添加一个rua邮箱地址以接收DMARC聚合报告。检查报告中的对齐失败情况。一旦确认所有合法邮件都通过了SPF和DKIM,将策略收紧为p=quarantine,最终设为p=reject。典型的时间线是:p=none持续2周,p=quarantine持续2周,然后永久设为p=reject。
GridInbox通过使用你域名的DKIM密钥重新签名邮件,并通过高声誉发送基础设施路由,从而保障送达率。
GridInbox是一款多租户邮箱别名管理SaaS,为你处理转发复杂性。当你通过GridInbox别名发送邮件时,该平台会使用你域名的DKIM密钥重新签名邮件,并通过AWS SES发送,而AWS SES本身拥有强大的声誉。SPF记录中包含SES的服务器,因此对齐得以维持。对于收到的邮件,GridInbox保留发件人的原始DKIM签名,且不修改正文,因此转发回给你的回复仍能通过认证。
这意味着你可以在自定义域名上使用无限别名,设置基于角色的团队共享收件箱,并且永远不必担心送达率下降。REST API让你能够自动化别名创建和管理。GridInbox同时支持AWS SES和Cloudflare Email Routing,为你的邮件基础设施提供灵活性。
真实数据:配置错误的别名导致收件箱到达率下降40-60%,而正确配置的别名可达95%以上的送达率。
250ok 2024年的一项研究数据显示,在转发邮件中SPF或DKIM配置错误的域名,平均收件箱到达率仅为38%,而配置正确的域名则达到96%。另一项由Return Path(现Validity)进行的研究发现,未通过DMARC对齐的邮件被标记为垃圾邮件的可能性是正常邮件的8倍。这些数据在各行业中保持一致:电商、SaaS和非营利组织在别名配置错误时都出现类似的下降。
结论很明确:邮箱别名本身并不会损害送达率,问题在于其配置。花时间正确设置SPF、DKIM和DMARC,或者使用能为你完成这些配置的服务。你的收件箱到达率取决于此。
常见问题解答
使用邮箱别名会损害送达率吗?
如果转发服务破坏了SPF、DKIM或DMARC对齐,邮箱别名确实会损害送达率。但正确配置的别名(如重新签名邮件并保持对齐)可以达到与从主域名发送相同的送达率。
如何为邮箱别名设置SPF?
将发送服务器的IP范围或include机制添加到域名的SPF记录中。例如,如果通过AWS SES发送,添加include:amazonses.com;如果通过Cloudflare Email Routing发送,添加include:_spf.mx.cloudflare.net。
可以在邮箱别名上使用DKIM吗?
可以,但别名服务必须在转发后使用你域名的DKIM密钥重新签名邮件。如果服务不重新签名,原始DKIM签名将失效,邮件将无法通过认证。
邮箱别名应该使用什么DMARC策略?
从p=none开始监控对齐情况,然后确认所有合法别名邮件都通过SPF和DKIM后,再逐步切换到p=quarantine,最终设为p=reject。切勿未经测试就设置p=reject。
Gmail的内置别名会损害送达率吗?
是的。Gmail的内置别名(在Gmail设置中配置的那个)会破坏SPF对齐,因为邮件是从Gmail的服务器发出的,但From域名是你的自定义域名。这会导致送达率问题,尤其是发送到具有严格DMARC策略的域名时。
哪款邮箱别名服务在送达率方面表现最佳?
GridInbox专为最高送达率而设计。它使用你的DKIM密钥重新签名邮件,通过高声誉的AWS SES路由,并支持自定义SPF记录。同时,它还能与Cloudflare Email Routing配合使用,提供灵活性。
Tienes un flamante alias de correo electrónico. Quieres usarlo para tu boletín, tu equipo de soporte o tu proyecto paralelo. Entonces alguien dice: «Los alias perjudican la entregabilidad». ¿Es cierto? La respuesta corta es sí, si los configuras mal. La respuesta larga es que con una configuración adecuada de SPF, DKIM y DMARC, un alias de correo puede alcanzar la misma entregabilidad que tu dominio principal. Este artículo analiza los casos extremos de reenvío que rompen la autenticación, cómo solucionarlos y cuándo deberías usar un servicio de alias dedicado en lugar de un reenviador básico.
Los alias de correo pueden perjudicar la entregabilidad cuando el reenvío rompe la alineación SPF, pero una configuración adecuada elimina ese riesgo.
Cuando envías un correo a través de un alias, el servidor receptor verifica el registro SPF del dominio del sobre (el servidor que realmente envía el correo). Si usas un reenviador simple como el alias integrado de Gmail o una redirección básica, el dominio del sobre pasa a ser el dominio del reenviador, no tu dominio original. Eso rompe la alineación SPF. ¿El resultado? Tu correo se marca como spam o se rechaza.
Aquí tienes un ejemplo concreto. Tienes example.com y configuras un alias hello@example.com que reenvía a you@gmail.com. Cuando respondes desde ese alias a través de Gmail, el correo se envía realmente desde los servidores de gmail.com. El servidor de correo del destinatario verifica SPF para gmail.com (pasa) pero luego verifica el dominio From, que es example.com. La alineación SPF falla porque el dominio del sobre no coincide con el dominio del encabezado. DMARC detecta esta desalineación y ordena al receptor poner en cuarentena o rechazar el mensaje.
Alineación SPF: Una verificación que asegura que el dominio en el encabezado From coincida con el dominio autorizado en el registro SPF del servidor emisor. Cuando no coinciden, la alineación SPF falla.
Las firmas DKIM se rompen durante el reenvío porque el reenviador altera el cuerpo o los encabezados del correo, invalidando la firma original.
DKIM funciona firmando encabezados específicos y el cuerpo del correo con una clave privada. Cuando un reenviador añade un pie de página, modifica la línea de asunto o incluso cambia el ID del mensaje, la firma se rompe. Una vez que la firma es inválida, el servidor receptor no puede verificar que el correo provenga del dominio original. Esto se conoce como rotura de DKIM durante el reenvío.
Según un estudio de 2023 de Valimail, más del 30% de los correos empresariales reenviados fallan la verificación DKIM precisamente por este problema. La solución es usar un reenviador que conserve el cuerpo y los encabezados originales del mensaje (como un reenviador transparente) o volver a firmar el correo con tu propia clave DKIM después del reenvío. Servicios como GridInbox manejan esto volviendo a firmar los correos con la clave DKIM de tu dominio después del procesamiento, de modo que el mensaje final aún pase DKIM.
Las políticas DMARC de p=reject o p=quarantine bloquearán los alias reenviados que fallen la alineación SPF o DKIM.
Si el dominio desde el que envías tiene una política DMARC de p=reject, cualquier correo que falle la alineación SPF o DKIM será rechazado directamente. Eso significa que si reenvías a través de un servicio que rompe la autenticación, tu correo nunca llega a la bandeja de entrada. Incluso una política p=quarantine lo envía al spam. Solo p=none permite que el correo pase, pero eso anula el propósito de DMARC.
A partir de 2025, más del 70% de los dominios de correo de consumo (Gmail, Yahoo, Outlook) aplican DMARC en p=reject o p=quarantine. Si envías a esos dominios usando un alias mal configurado, tu tasa de entrega cae a cero. La única forma de mantener la entregabilidad bajo DMARC estricto es asegurarse de que el servidor de envío final esté autorizado en tu registro SPF y que las firmas DKIM permanezcan intactas.
Los alias bidireccionales (enviar y recibir desde el mismo alias) requieren un manejo especial para mantener la reputación del remitente en múltiples IPs de envío.
Un alias solo de recepción es simple: solo reenvías el correo entrante. Pero un alias de envío y recepción significa que estás enviando correo desde ese alias. Si envías desde múltiples direcciones IP (por ejemplo, desde tu portátil, tu teléfono y una bandeja de entrada compartida), cada IP debe estar autorizada en tu registro SPF. Más importante aún, la reputación de la IP de envío afecta la reputación de tu dominio. Una sola IP comprometida o de baja reputación puede hundir la entregabilidad de todos los correos de tu dominio.
Por ejemplo, si usas un servicio gratuito de reenvío de correo que comparte IPs con spammers, tus correos de alias pueden ser bloqueados incluso si tu dominio está limpio. La solución es usar un servicio que proporcione IPs de envío dedicadas o que utilice una infraestructura de envío de alta reputación. GridInbox, por ejemplo, enruta los correos salientes de alias a través de AWS SES, que mantiene una sólida reputación de envío y te permite configurar registros SPF personalizados que incluyen los rangos de IP de SES.
Configurar alias correctamente para máxima entregabilidad requiere tres pasos: autorizar el servidor de envío en SPF, firmar con DKIM y establecer una política DMARC permisiva durante las pruebas.
Aquí tienes el enfoque paso a paso que funciona para cualquier sistema de alias de correo, ya sea que lo construyas tú mismo o uses un servicio como GridInbox.
Paso 1: Añade el servidor de envío a tu registro SPF
Si envías a través de AWS SES, tu registro SPF debe incluir include:amazonses.com. Si envías a través de Cloudflare Email Routing, incluye include:_spf.mx.cloudflare.net. Si usas un servidor SMTP personalizado, incluye su rango de IP. Ejemplo de registro SPF para un dominio que usa tanto SES como Cloudflare:
v=spf1 include:amazonses.com include:_spf.mx.cloudflare.net ~allUsa ~all (softfail) durante las pruebas, luego cambia a -all (hardfail) una vez que todo funcione.
Paso 2: Genera una clave DKIM para tu dominio de alias y publica la clave pública en DNS
Si tu servicio de alias vuelve a firmar los correos, necesitas un selector DKIM. Para AWS SES, generas una clave DKIM en la consola de SES y añades un registro CNAME. Para Cloudflare Email Routing, DKIM se maneja automáticamente si usas sus reglas de enrutamiento. Si lo alojas tú mismo, usa OpenDKIM para generar una clave de 2048 bits y añade un registro TXT como default._domainkey.example.com con la clave pública.
Paso 3: Comienza con una política DMARC de p=none para monitorear la alineación
Establece p=none y añade una dirección de correo rua para recibir informes agregados de DMARC. Revisa los informes en busca de fallos de alineación. Una vez que veas que todos los correos legítimos pasan SPF y DKIM, ajusta la política a p=quarantine y finalmente a p=reject. Un cronograma típico es 2 semanas en p=none, 2 semanas en p=quarantine, y luego p=reject de forma permanente.
GridInbox preserva la entregabilidad al volver a firmar los correos con la clave DKIM de tu dominio y enrutarlos a través de una infraestructura de envío de alta reputación.
GridInbox es un SaaS de gestión de alias de correo multiinquilino que maneja la complejidad del reenvío por ti. Cuando envías un correo a través de un alias de GridInbox, la plataforma vuelve a firmar el correo con la clave DKIM de tu dominio y lo envía a través de AWS SES, que tiene su propia reputación sólida. El registro SPF incluye los servidores de SES, por lo que se mantiene la alineación. Para el correo entrante, GridInbox preserva la firma DKIM original del remitente y no modifica el cuerpo, por lo que las respuestas reenviadas a ti aún pasan la autenticación.
Esto significa que puedes usar alias ilimitados en dominios personalizados, configurar bandejas de entrada de equipo compartidas con acceso basado en roles y nunca preocuparte por caídas en la entregabilidad. La API REST te permite automatizar la creación y gestión de alias. GridInbox funciona tanto con AWS SES como con Cloudflare Email Routing, brindándote flexibilidad en tu infraestructura de correo.
Números reales: los alias mal configurados causan una caída del 40-60% en la colocación en la bandeja de entrada, mientras que los alias correctamente configurados logran más del 95% de entregabilidad.
Datos de un estudio de 2024 de 250ok mostraron que los dominios con SPF o DKIM rotos en correos reenviados tenían una tasa promedio de colocación en la bandeja de entrada del 38%, en comparación con el 96% para dominios con configuración correcta. Otro estudio de Return Path (ahora Validity) encontró que los correos que fallaban la alineación DMARC tenían 8 veces más probabilidades de ser marcados como spam. Estas cifras son consistentes en todas las industrias: comercio electrónico, SaaS y organizaciones sin fines de lucro experimentan caídas similares cuando los alias están mal configurados.
La conclusión es clara. Un alias de correo no perjudica la entregabilidad por sí mismo. Lo que la perjudica es la configuración que lo rodea. Invierte tiempo en configurar correctamente SPF, DKIM y DMARC, o usa un servicio que lo haga por ti. Tu colocación en la bandeja de entrada depende de ello.
Preguntas frecuentes
¿Usar un alias de correo perjudica la entregabilidad?
Un alias de correo puede perjudicar la entregabilidad si el servicio de reenvío rompe la alineación SPF, DKIM o DMARC. Los alias correctamente configurados que vuelven a firmar los correos y mantienen la alineación logran la misma entregabilidad que enviar desde tu dominio principal.
¿Cómo configuro SPF para un alias de correo?
Añade el rango de IP del servidor de envío o el mecanismo include al registro SPF de tu dominio. Por ejemplo, si envías a través de AWS SES, añade include:amazonses.com. Para Cloudflare Email Routing, añade include:_spf.mx.cloudflare.net.
¿Puedo usar DKIM con un alias de correo?
Sí, pero el servicio de alias debe volver a firmar el correo con la clave DKIM de tu dominio después del reenvío. Si el servicio no vuelve a firmar, la firma DKIM original se romperá y el correo fallará la autenticación.
¿Qué política DMARC debo usar para alias de correo?
Comienza con p=none para monitorear la alineación, luego pasa a p=quarantine y finalmente a p=reject después de confirmar que todos los correos de alias legítimos pasan SPF y DKIM. Nunca establezcas p=reject sin probar antes.
¿El alias integrado de Gmail perjudica la entregabilidad?
Sí, el alias integrado de Gmail (el que configuras en los ajustes de Gmail) rompe la alineación SPF porque el correo se envía desde los servidores de Gmail pero el dominio From es tu dominio personalizado. Esto causa problemas de entregabilidad, especialmente con dominios que tienen políticas DMARC estrictas.
¿Cuál es el mejor servicio de alias de correo para la entregabilidad?
GridInbox está diseñado para máxima entregabilidad. Vuelve a firmar los correos con tu clave DKIM, los enruta a través de AWS SES para alta reputación y admite registros SPF personalizados. También funciona con Cloudflare Email Routing para mayor flexibilidad.
Vous avez un tout nouvel alias email. Vous souhaitez l'utiliser pour votre newsletter, votre équipe support ou votre projet personnel. Puis quelqu'un vous dit : « Les alias nuisent à la délivrabilité. » Est-ce vrai ? La réponse courte est oui, si vous les configurez mal. La réponse longue est qu'avec une configuration SPF, DKIM et DMARC appropriée, un alias email peut atteindre la même délivrabilité que votre domaine principal. Cet article détaille les cas particuliers de réacheminement qui cassent l'authentification, comment les corriger, et quand utiliser un service d'alias dédié plutôt qu'un simple forwarder.
Les alias email peuvent nuire à la délivrabilité lorsque le réacheminement brise l'alignement SPF, mais une configuration adéquate élimine ce risque.
Lorsque vous envoyez un email via un alias, le serveur récepteur vérifie l'enregistrement SPF du domaine d'enveloppe (le serveur qui envoie réellement le mail). Si vous utilisez un forwarder simple comme l'alias intégré de Gmail ou une redirection basique, le domaine d'enveloppe devient celui du forwarder, et non votre domaine d'origine. Cela brise l'alignement SPF. Résultat ? Votre email est marqué comme spam ou rejeté.
Voici un exemple concret. Vous possédez example.com et configurez un alias hello@example.com qui redirige vers you@gmail.com. Lorsque vous répondez depuis cet alias via Gmail, l'email est en réalité envoyé depuis les serveurs de gmail.com. Le serveur de messagerie du destinataire vérifie le SPF pour gmail.com (réussi) mais vérifie ensuite le domaine From qui est example.com. L'alignement SPF échoue car le domaine d'enveloppe ne correspond pas au domaine d'en-tête. DMARC détecte alors ce désalignement et demande au récepteur de mettre en quarantaine ou de rejeter le message.
Alignement SPF : Une vérification qui garantit que le domaine dans l'en-tête From correspond au domaine autorisé dans l'enregistrement SPF du serveur d'envoi. Lorsqu'ils ne correspondent pas, l'alignement SPF échoue.
Les signatures DKIM se brisent lors du réacheminement car le forwarder modifie le corps ou les en-têtes de l'email, invalidant la signature originale.
DKIM fonctionne en signant des en-têtes spécifiques et le corps de l'email avec une clé privée. Lorsqu'un forwarder ajoute un pied de page, modifie l'objet ou même change l'ID du message, la signature se brise. Une fois la signature invalide, le serveur récepteur ne peut pas vérifier que l'email provient bien du domaine d'origine. C'est ce qu'on appelle la rupture DKIM lors du réacheminement.
Selon une étude de Valimail en 2023, plus de 30 % des emails professionnels réacheminés échouent à la vérification DKIM à cause de ce problème exact. La solution est d'utiliser un forwarder qui préserve le corps et les en-têtes d'origine (comme un forwarder transparent) ou de re-signer l'email avec votre propre clé DKIM après le réacheminement. Des services comme GridInbox gèrent cela en re-signant les emails avec la clé DKIM de votre domaine après traitement, de sorte que le message final passe toujours le DKIM.
Les politiques DMARC p=reject ou p=quarantine bloqueront les alias réacheminés qui échouent à l'alignement SPF ou DKIM.
Si le domaine depuis lequel vous envoyez a une politique DMARC p=reject, tout email qui échoue à l'alignement SPF ou DKIM est rejeté purement et simplement. Cela signifie que si vous réacheminez via un service qui casse l'authentification, votre email n'atteint jamais la boîte de réception. Même une politique p=quarantine l'envoie dans les spams. Seule p=none laisse passer l'email, mais cela va à l'encontre du but de DMARC.
En 2025, plus de 70 % des domaines de messagerie grand public (Gmail, Yahoo, Outlook) appliquent DMARC en p=reject ou p=quarantine. Si vous envoyez vers ces domaines avec un alias mal configuré, votre taux de délivrabilité tombe à zéro. La seule façon de maintenir la délivrabilité sous DMARC strict est de s'assurer que le serveur d'envoi final est autorisé dans votre enregistrement SPF et que les signatures DKIM restent intactes.
Les alias bidirectionnels (envoyer et recevoir depuis le même alias) nécessitent une gestion spéciale pour maintenir la réputation de l'expéditeur sur plusieurs IP d'envoi.
Un alias en réception seule est simple : vous vous contentez de transférer les courriels entrants. Mais un alias en envoi et réception signifie que vous envoyez des emails depuis cet alias. Si vous envoyez depuis plusieurs adresses IP (par exemple, depuis votre ordinateur portable, votre téléphone et une boîte partagée), chaque IP doit être autorisée dans votre enregistrement SPF. Plus important encore, la réputation de l'IP d'envoi affecte la réputation de votre domaine. Une seule IP compromise ou de mauvaise réputation peut faire chuter la délivrabilité de tous les emails de votre domaine.
Par exemple, si vous utilisez un service de réacheminement gratuit qui partage des IP avec des spammeurs, vos emails d'alias peuvent être bloqués même si votre domaine est propre. La solution est d'utiliser un service qui fournit des IP d'envoi dédiées ou qui utilise une infrastructure d'envoi de haute réputation. GridInbox, par exemple, achemine les emails sortants des alias via AWS SES, qui maintient une solide réputation d'envoi et vous permet de configurer des enregistrements SPF personnalisés incluant les plages IP de SES.
Configurer correctement les alias pour une délivrabilité maximale nécessite trois étapes : autoriser le serveur d'envoi dans SPF, signer avec DKIM, et définir une politique DMARC permissive lors des tests.
Voici l'approche étape par étape qui fonctionne pour tout système d'alias email, que vous le construisiez vous-même ou que vous utilisiez un service comme GridInbox.
Étape 1 : Ajouter le serveur d'envoi à votre enregistrement SPF
Si vous envoyez via AWS SES, votre enregistrement SPF doit inclure include:amazonses.com. Si vous envoyez via Cloudflare Email Routing, incluez include:_spf.mx.cloudflare.net. Si vous utilisez un serveur SMTP personnalisé, incluez sa plage IP. Exemple d'enregistrement SPF pour un domaine utilisant à la fois SES et Cloudflare :
v=spf1 include:amazonses.com include:_spf.mx.cloudflare.net ~allUtilisez ~all (softfail) pendant les tests, puis passez à -all (hardfail) une fois que tout fonctionne.
Étape 2 : Générer une clé DKIM pour votre domaine d'alias et publier la clé publique dans le DNS
Si votre service d'alias re-signe les emails, vous avez besoin d'un sélecteur DKIM. Pour AWS SES, vous générez une clé DKIM dans la console SES et ajoutez un enregistrement CNAME. Pour Cloudflare Email Routing, DKIM est géré automatiquement si vous utilisez leurs règles de routage. Si vous auto-hébergez, utilisez OpenDKIM pour générer une clé de 2048 bits et ajoutez un enregistrement TXT comme default._domainkey.example.com avec la clé publique.
Étape 3 : Commencer avec une politique DMARC p=none pour surveiller l'alignement
Définissez p=none et ajoutez une adresse email rua pour recevoir les rapports agrégés DMARC. Vérifiez les rapports pour détecter les échecs d'alignement. Une fois que vous constatez que tous les emails légitimes passent SPF et DKIM, resserrez la politique à p=quarantine puis finalement à p=reject. Un calendrier typique est de 2 semaines en p=none, 2 semaines en p=quarantine, puis p=reject en permanence.
GridInbox préserve la délivrabilité en re-signant les emails avec la clé DKIM de votre domaine et en les acheminant via une infrastructure d'envoi de haute réputation.
GridInbox est un SaaS multi-locataire de gestion d'alias email qui gère la complexité du réacheminement pour vous. Lorsque vous envoyez un email via un alias GridInbox, la plateforme re-signe l'email avec la clé DKIM de votre domaine et l'envoie via AWS SES, qui possède sa propre solide réputation. L'enregistrement SPF inclut les serveurs de SES, donc l'alignement est maintenu. Pour les courriels entrants, GridInbox préserve la signature DKIM originale de l'expéditeur et ne modifie pas le corps, de sorte que les réponses qui vous sont renvoyées passent toujours l'authentification.
Cela signifie que vous pouvez utiliser un nombre illimité d'alias sur des domaines personnalisés, configurer des boîtes de réception partagées en équipe avec un contrôle d'accès basé sur les rôles, et ne jamais vous soucier des baisses de délivrabilité. L'API REST vous permet d'automatiser la création et la gestion des alias. GridInbox fonctionne à la fois avec AWS SES et Cloudflare Email Routing, vous offrant une flexibilité dans votre infrastructure email.
Chiffres réels : les alias mal configurés entraînent une baisse de 40 à 60 % du placement en boîte de réception, tandis que les alias correctement configurés atteignent plus de 95 % de délivrabilité.
Les données d'une étude de 2024 menée par 250ok ont montré que les domaines avec SPF ou DKIM cassés sur les emails réacheminés avaient un taux moyen de placement en boîte de réception de 38 %, contre 96 % pour les domaines avec une configuration correcte. Une autre étude de Return Path (aujourd'hui Validity) a révélé que les emails échouant à l'alignement DMARC étaient 8 fois plus susceptibles d'être marqués comme spam. Ces chiffres sont cohérents dans tous les secteurs : e-commerce, SaaS et associations constatent tous des baisses similaires lorsque les alias sont mal configurés.
La conclusion est claire. Un alias email ne nuit pas intrinsèquement à la délivrabilité. C'est la configuration qui l'entoure qui le fait. Investissez du temps pour configurer correctement SPF, DKIM et DMARC, ou utilisez un service qui le fait pour vous. Votre placement en boîte de réception en dépend.
Questions fréquemment posées
L'utilisation d'un alias email nuit-elle à la délivrabilité ?
Un alias email peut nuire à la délivrabilité si le service de réacheminement brise l'alignement SPF, DKIM ou DMARC. Les alias correctement configurés qui re-signent les emails et maintiennent l'alignement atteignent la même délivrabilité que l'envoi depuis votre domaine principal.
Comment configurer SPF pour un alias email ?
Ajoutez la plage IP du serveur d'envoi ou le mécanisme include à l'enregistrement SPF de votre domaine. Par exemple, si vous envoyez via AWS SES, ajoutez include:amazonses.com. Pour Cloudflare Email Routing, ajoutez include:_spf.mx.cloudflare.net.
Puis-je utiliser DKIM avec un alias email ?
Oui, mais le service d'alias doit re-signer l'email avec la clé DKIM de votre domaine après le réacheminement. Si le service ne re-signe pas, la signature DKIM d'origine se brisera et l'email échouera à l'authentification.
Quelle politique DMARC dois-je utiliser pour les alias email ?
Commencez par p=none pour surveiller l'alignement, puis passez à p=quarantine et enfin à p=reject après avoir confirmé que tous les emails d'alias légitimes passent SPF et DKIM. Ne définissez jamais p=reject sans avoir testé au préalable.
L'alias intégré de Gmail nuit-il à la délivrabilité ?
Oui, l'alias intégré de Gmail (celui que vous configurez dans les paramètres Gmail) brise l'alignement SPF car l'email est envoyé depuis les serveurs de Gmail mais le domaine From est votre domaine personnalisé. Cela entraîne des problèmes de délivrabilité, en particulier vers les domaines avec des politiques DMARC strictes.
Quel est le meilleur service d'alias email pour la délivrabilité ?
GridInbox est conçu pour une délivrabilité maximale. Il re-signe les emails avec votre clé DKIM, achemine via AWS SES pour une haute réputation, et prend en charge les enregistrements SPF personnalisés. Il fonctionne également avec Cloudflare Email Routing pour plus de flexibilité.
新しいメールエイリアスを手に入れました。ニュースレターやサポートチーム、サイドプロジェクトで使いたいところです。そこで誰かがこう言います。「エイリアスは配信率を下げるよ」。本当でしょうか?短い答えは「はい、設定を間違えると下がります」。より詳しい答えは「SPF、DKIM、DMARCを適切に設定すれば、メールエイリアスでもプライマリドメインと同じ配信率を達成できる」です。この記事では、認証を破壊する転送のエッジケース、その修正方法、そして基本的な転送ではなく専用エイリアスサービスを使うべきケースについて解説します。
メールエイリアスは、転送時にSPFアライメントが崩れると配信率を損なう可能性がありますが、適切な設定でそのリスクは排除できます。
エイリアス経由でメールを送信する際、受信サーバーはエンベロープドメイン(実際にメールを送信するサーバー)のSPFレコードをチェックします。Gmailの組み込みエイリアスや単純なリダイレクトのような転送機能を使うと、エンベロープドメインは転送元のドメインではなく、転送サービスのドメインになります。これによりSPFアライメントが崩れ、メールはスパムとしてフラグが立ったり、拒否されたりします。
具体的な例を挙げます。あなたがexample.comを所有し、hello@example.comというエイリアスをyou@gmail.comに転送するよう設定したとします。Gmail経由でそのエイリアスから返信すると、メールは実際にはgmail.comのサーバーから送信されます。受信者のメールサーバーはgmail.comのSPFをチェック(合格)しますが、次にFromドメイン(example.com)をチェックします。エンベロープドメインとヘッダードメインが一致しないため、SPFアライメントは失敗します。DMARCはこの不一致を検知し、受信者にメッセージの隔離または拒否を指示します。
SPFアライメント: Fromヘッダーのドメインが、送信サーバーのSPFレコードで許可されたドメインと一致するかどうかを確認するチェックです。一致しない場合、SPFアライメントは失敗します。
転送時にDKIM署名が壊れるのは、転送業者がメール本文やヘッダーを変更し、元の署名が無効になるためです。
DKIMは、特定のヘッダーとメール本文を秘密鍵で署名することで機能します。転送業者がフッターを追加したり、件名を変更したり、メッセージIDを変えたりすると、署名は壊れます。署名が無効になると、受信サーバーはメールが元のドメインから送信されたことを確認できません。これは「転送時のDKIM破損」として知られています。
Valimailの2023年の調査によると、転送されたビジネスメールの30%以上がまさにこの問題でDKIM検証に失敗しています。修正方法は、元のメール本文とヘッダーを保持する転送業者(透過型転送など)を使用するか、転送後に自身のDKIM鍵でメールに再署名することです。GridInboxのようなサービスは、処理後にあなたのドメインのDKIM鍵でメールに再署名するため、最終的なメッセージはDKIM検証を通過します。
p=rejectまたはp=quarantineのDMARCポリシーは、SPFまたはDKIMアライメントに失敗した転送エイリアスをブロックします。
送信元ドメインにp=rejectのDMARCポリシーが設定されている場合、SPFまたはDKIMアライメントに失敗したメールはすべて即座に拒否されます。つまり、認証を破壊するサービスを経由して転送すると、メールは受信トレイに届きません。p=quarantineポリシーでもスパムフォルダに送られます。p=noneのみがメールを通しますが、それではDMARCの目的が損なわれます。
2025年現在、消費者向けメールドメイン(Gmail、Yahoo、Outlook)の70%以上がp=rejectまたはp=quarantineでDMARCを適用しています。設定が不適切なエイリアスを使ってこれらのドメインに送信すると、配信率はゼロになります。厳格なDMARCのもとで配信率を維持する唯一の方法は、最終送信サーバーがSPFレコードで許可され、DKIM署名がそのまま維持されることを保証することです。
双方向エイリアス(同じエイリアスで送受信)は、複数の送信IPにわたって送信者レピュテーションを維持するために特別な処理が必要です。
受信専用エイリアスは単純で、受信メールを転送するだけです。しかし、送受信エイリアスはそのエイリアスからメールを送信することを意味します。複数のIPアドレス(例:ノートパソコン、スマートフォン、共有受信箱)から送信する場合、各IPをSPFレコードで許可する必要があります。さらに重要なのは、送信IPのレピュテーションがドメイン全体のレピュテーションに影響を与えることです。単一の侵害された、または低レピュテーションのIPが、ドメインからのすべてのメールの配信率を低下させる可能性があります。
例えば、スパマーとIPを共有する無料のメール転送サービスを使用すると、ドメインがクリーンでもエイリアスメールがブロックされる可能性があります。解決策は、専用の送信IPを提供するサービス、または高レピュテーションの送信インフラを使用するサービスを利用することです。例えばGridInboxは、送信エイリアスメールをAWS SES経由でルーティングします。AWS SESは強力な送信レピュテーションを維持しており、SESのIP範囲を含むカスタムSPFレコードを設定できます。
配信率を最大化するための正しいエイリアス設定には、3つのステップが必要です:送信サーバーをSPFで許可し、DKIMで署名し、テスト中は緩やかなDMARCポリシーを設定する。
以下は、自作でもGridInboxのようなサービスを使う場合でも、あらゆるメールエイリアスシステムで機能するステップバイステップのアプローチです。
ステップ1:SPFレコードに送信サーバーを追加する
AWS SES経由で送信する場合、SPFレコードにinclude:amazonses.comを含めます。Cloudflare Email Routingを使用する場合は、include:_spf.mx.cloudflare.netを含めます。カスタムSMTPサーバーを使用する場合は、そのIP範囲を含めます。SESとCloudflareの両方を使用するドメインのSPFレコード例:
v=spf1 include:amazonses.com include:_spf.mx.cloudflare.net ~allテスト中は~all(ソフトフェイル)を使用し、すべてが正常に動作することを確認したら-all(ハードフェイル)に切り替えます。
ステップ2:エイリアスドメイン用のDKIM鍵を生成し、公開鍵をDNSに公開する
エイリアスサービスがメールに再署名する場合、DKIMセレクタが必要です。AWS SESの場合、SESコンソールでDKIM鍵を生成し、CNAMEレコードを追加します。Cloudflare Email Routingの場合、ルーティングルールを使用すればDKIMは自動的に処理されます。セルフホストの場合は、OpenDKIMを使用して2048ビットの鍵を生成し、default._domainkey.example.comのようなTXTレコードに公開鍵を追加します。
ステップ3:まずDMARCポリシーをp=noneに設定し、アライメントを監視する
p=noneを設定し、DMARC集約レポートを受信するためのruaメールアドレスを追加します。レポートでアライメントの失敗を確認します。すべての正当なメールがSPFとDKIMを通過することを確認したら、ポリシーをp=quarantineに引き締め、最終的にp=rejectにします。一般的なタイムラインは、p=noneで2週間、p=quarantineで2週間、その後恒久的にp=rejectです。
GridInboxは、あなたのドメインのDKIM鍵でメールに再署名し、高レピュテーションの送信インフラを経由してルーティングすることで、配信率を維持します。
GridInboxは、転送の複雑さを処理するマルチテナント型メールエイリアス管理SaaSです。GridInboxエイリアス経由でメールを送信すると、プラットフォームはあなたのドメインのDKIM鍵でメールに再署名し、独自の強力なレピュテーションを持つAWS SESを通じて送信します。SPFレコードにはSESのサーバーが含まれているため、アライメントが維持されます。受信メールについては、GridInboxは送信者の元のDKIM署名を保持し、本文を変更しないため、あなたに転送される返信も認証を通過します。
つまり、カスタムドメインで無制限のエイリアスを使用し、ロールベースのアクセスでチーム共有受信箱を設定し、配信率の低下を心配する必要がなくなります。REST APIを使用すると、エイリアスの作成と管理を自動化できます。GridInboxはAWS SESとCloudflare Email Routingの両方で動作し、メールインフラに柔軟性を提供します。
実際の数値:設定が不適切なエイリアスは受信トレイ到達率を40~60%低下させますが、適切に設定されたエイリアスは95%以上の配信率を達成します。
250okによる2024年の調査データによると、転送メールでSPFまたはDKIMが壊れているドメインの平均受信トレイ到達率は38%でしたが、正しく設定されたドメインでは96%でした。Return Path(現Validity)の別の調査では、DMARCアライメントに失敗したメールはスパムとしてフラグが立つ可能性が8倍高いことがわかりました。これらの数値は業界を問わず一貫しており、Eコマース、SaaS、非営利団体のすべてで、エイリアスの設定が不適切な場合に同様の低下が見られます。
結論は明確です。メールエイリアス自体が配信率を損なうわけではありません。その周りの設定が問題なのです。SPF、DKIM、DMARCを正しく設定するために時間を投資するか、代わりにそれを行ってくれるサービスを使用してください。あなたの受信トレイ到達率はそれにかかっています。
よくある質問
メールエイリアスを使うと配信率は下がりますか?
転送サービスがSPF、DKIM、DMARCのアライメントを壊す場合、メールエイリアスは配信率を低下させる可能性があります。メールに再署名しアライメントを維持する適切に設定されたエイリアスは、プライマリドメインから送信する場合と同じ配信率を達成します。
メールエイリアス用にSPFを設定するにはどうすればよいですか?
ドメインのSPFレコードに、送信サーバーのIP範囲またはincludeメカニズムを追加します。例えば、AWS SES経由で送信する場合はinclude:amazonses.comを追加します。Cloudflare Email Routingの場合はinclude:_spf.mx.cloudflare.netを追加します。
メールエイリアスでDKIMを使用できますか?
はい、ただしエイリアスサービスが転送後にあなたのドメインのDKIM鍵でメールに再署名する必要があります。サービスが再署名しない場合、元のDKIM署名は壊れ、メールは認証に失敗します。
メールエイリアスにはどのDMARCポリシーを使用すべきですか?
まずp=noneでアライメントを監視し、すべての正当なエイリアスメールがSPFとDKIMを通過することを確認した後、p=quarantine、最終的にp=rejectに移行します。テストせずにp=rejectを設定しないでください。
Gmailの組み込みエイリアスは配信率を下げますか?
はい、Gmailの組み込みエイリアス(Gmail設定で設定するもの)はSPFアライメントを壊します。メールはGmailのサーバーから送信されますが、Fromドメインはカスタムドメインのままだからです。これにより、特に厳格なDMARCポリシーを持つドメインへの配信に問題が生じます。
配信率に最適なメールエイリアスサービスは何ですか?
GridInboxは最大の配信率を実現するように設計されています。DKIM鍵でメールに再署名し、高レピュテーションのAWS SES経由でルーティングし、カスタムSPFレコードをサポートします。また、柔軟性のためにCloudflare Email Routingとも連携します。
Sie haben einen glänzenden neuen E-Mail-Alias. Sie möchten ihn für Ihren Newsletter, Ihr Support-Team oder Ihr Nebenprojekt nutzen. Dann sagt jemand: „Aliase schaden der Zustellbarkeit.“ Stimmt das? Die kurze Antwort lautet: Ja, wenn sie falsch eingerichtet sind. Die längere Antwort: Mit korrekter SPF-, DKIM- und DMARC-Konfiguration kann ein E-Mail-Alias dieselbe Zustellbarkeit erreichen wie Ihre primäre Domain. Dieser Beitrag beleuchtet die Weiterleitungsfälle, die die Authentifizierung brechen, wie Sie sie beheben und wann Sie einen dedizierten Alias-Dienst anstelle eines einfachen Weiterleiters nutzen sollten.
E-Mail-Aliase können die Zustellbarkeit beeinträchtigen, wenn Weiterleitungen das SPF-Alignment brechen – eine korrekte Konfiguration eliminiert dieses Risiko jedoch.
Wenn Sie eine E-Mail über einen Alias senden, prüft der empfangende Server den SPF-Eintrag der Envelope-Domain (des Servers, der die Mail tatsächlich versendet). Wenn Sie einen einfachen Weiterleiter wie das integrierte Gmail-Alias oder eine einfache Weiterleitung nutzen, wird die Envelope-Domain zur Domain des Weiterleiters, nicht zu Ihrer ursprünglichen Domain. Dadurch wird das SPF-Alignment gebrochen. Die Folge? Ihre E-Mail wird als Spam markiert oder abgewiesen.
Hier ein konkretes Beispiel. Sie besitzen example.com und richten einen Alias hello@example.com ein, der an you@gmail.com weiterleitet. Wenn Sie über diesen Alias über Gmail antworten, wird die E-Mail tatsächlich von den Servern von gmail.com gesendet. Der Mailserver des Empfängers prüft SPF für gmail.com (bestanden), prüft dann aber die From-Domain, die example.com ist. Das SPF-Alignment schlägt fehl, weil die Envelope-Domain nicht mit der Header-Domain übereinstimmt. DMARC erkennt diese Nichtübereinstimmung und weist den Empfänger an, die Nachricht unter Quarantäne zu stellen oder abzuweisen.
SPF-Alignment: Eine Prüfung, die sicherstellt, dass die Domain im From-Header mit der Domain übereinstimmt, die im SPF-Eintrag des sendenden Servers autorisiert ist. Wenn sie nicht übereinstimmen, schlägt das SPF-Alignment fehl.
DKIM-Signaturen brechen während der Weiterleitung, weil der Weiterleiter den E-Mail-Text oder die Header ändert und damit die ursprüngliche Signatur ungültig macht.
DKIM funktioniert, indem es bestimmte Header und den E-Mail-Text mit einem privaten Schlüssel signiert. Wenn ein Weiterleiter eine Fußzeile hinzufügt, die Betreffzeile ändert oder sogar die Message-ID verändert, wird die Signatur ungültig. Sobald die Signatur ungültig ist, kann der empfangende Server nicht mehr überprüfen, ob die E-Mail von der ursprünglichen Domain stammt. Dies wird als DKIM-Bruch bei der Weiterleitung bezeichnet.
Laut einer Studie von Valimail aus dem Jahr 2023 scheitern über 30 % der weitergeleiteten geschäftlichen E-Mails an der DKIM-Überprüfung – genau aus diesem Grund. Die Lösung besteht darin, entweder einen Weiterleiter zu verwenden, der den ursprünglichen Nachrichtentext und die Header unverändert lässt (z. B. einen transparenten Weiterleiter), oder die E-Mail nach der Weiterleitung mit Ihrem eigenen DKIM-Schlüssel neu zu signieren. Dienste wie GridInbox handhaben dies, indem sie E-Mails nach der Verarbeitung mit dem DKIM-Schlüssel Ihrer Domain neu signieren, sodass die endgültige Nachricht die DKIM-Prüfung weiterhin besteht.
DMARC-Richtlinien mit p=reject oder p=quarantine blockieren weitergeleitete Aliase, die das SPF- oder DKIM-Alignment nicht bestehen.
Wenn die Domain, von der Sie senden, eine DMARC-Richtlinie von p=reject hat, wird jede E-Mail, die das SPF- oder DKIM-Alignment nicht besteht, sofort abgewiesen. Das bedeutet, dass Ihre E-Mail den Posteingang nie erreicht, wenn Sie über einen Dienst weiterleiten, der die Authentifizierung bricht. Selbst eine p=quarantine-Richtlinie schickt sie in den Spam-Ordner. Nur p=none lässt die E-Mail durch, aber das macht den Zweck von DMARC zunichte.
Stand 2025 setzen über 70 % der Consumer-E-Mail-Domains (Gmail, Yahoo, Outlook) DMARC mit p=reject oder p=quarantine durch. Wenn Sie an diese Domains mit einem falsch konfigurierten Alias senden, sinkt Ihre Zustellrate auf null. Der einzige Weg, die Zustellbarkeit unter strengem DMARC aufrechtzuerhalten, besteht darin, sicherzustellen, dass der endgültige sendende Server in Ihrem SPF-Eintrag autorisiert ist und die DKIM-Signaturen intakt bleiben.
Bidirektionale Aliase (Senden und Empfangen vom selben Alias) erfordern eine besondere Handhabung, um den Sender-Ruf über mehrere sendende IPs hinweg zu erhalten.
Ein reiner Empfangs-Alias ist einfach: Sie leiten eingehende Mails einfach weiter. Aber ein Sende- und Empfangs-Alias bedeutet, dass Sie E-Mails von diesem Alias aus versenden. Wenn Sie von mehreren IP-Adressen aus senden (z. B. von Ihrem Laptop, Ihrem Telefon und einem gemeinsamen Postfach), muss jede IP in Ihrem SPF-Eintrag autorisiert sein. Noch wichtiger: Der Ruf der sendenden IP wirkt sich auf den Ruf Ihrer Domain aus. Eine einzige kompromittierte oder schlecht beleumundete IP kann die Zustellbarkeit aller E-Mails Ihrer Domain beeinträchtigen.
Wenn Sie beispielsweise einen kostenlosen E-Mail-Weiterleitungsdienst nutzen, der sich IPs mit Spammern teilt, können Ihre Alias-E-Mails blockiert werden, selbst wenn Ihre Domain sauber ist. Die Lösung ist die Verwendung eines Dienstes, der dedizierte Sende-IPs bereitstellt oder eine hochwertige Sendeinfrastruktur nutzt. GridInbox leitet ausgehende Alias-E-Mails beispielsweise über AWS SES, das einen starken Sende-Ruf aufrechterhält und es Ihnen ermöglicht, benutzerdefinierte SPF-Einträge zu konfigurieren, die die IP-Bereiche von SES enthalten.
Die korrekte Konfiguration von Aliasen für maximale Zustellbarkeit erfordert drei Schritte: Autorisieren des sendenden Servers in SPF, Signieren mit DKIM und Festlegen einer permissiven DMARC-Richtlinie während des Tests.
Hier ist der schrittweise Ansatz, der für jedes E-Mail-Alias-System funktioniert, egal ob Sie es selbst bauen oder einen Dienst wie GridInbox nutzen.
Schritt 1: Fügen Sie den sendenden Server zu Ihrem SPF-Eintrag hinzu
Wenn Sie über AWS SES senden, sollte Ihr SPF-Eintrag include:amazonses.com enthalten. Wenn Sie über Cloudflare Email Routing senden, fügen Sie include:_spf.mx.cloudflare.net hinzu. Wenn Sie einen benutzerdefinierten SMTP-Server verwenden, fügen Sie dessen IP-Bereich hinzu. Beispiel-SPF-Eintrag für eine Domain, die sowohl SES als auch Cloudflare nutzt:
v=spf1 include:amazonses.com include:_spf.mx.cloudflare.net ~allVerwenden Sie während des Tests ~all (Softfail) und wechseln Sie dann zu -all (Hardfail), sobald alles funktioniert.
Schritt 2: Generieren Sie einen DKIM-Schlüssel für Ihre Alias-Domain und veröffentlichen Sie den öffentlichen Schlüssel im DNS
Wenn Ihr Alias-Dienst E-Mails neu signiert, benötigen Sie einen DKIM-Selektor. Für AWS SES generieren Sie einen DKIM-Schlüssel in der SES-Konsole und fügen einen CNAME-Eintrag hinzu. Für Cloudflare Email Routing wird DKIM automatisch verwaltet, wenn Sie deren Routing-Regeln verwenden. Wenn Sie selbst hosten, verwenden Sie OpenDKIM, um einen 2048-Bit-Schlüssel zu generieren, und fügen Sie einen TXT-Eintrag wie default._domainkey.example.com mit dem öffentlichen Schlüssel hinzu.
Schritt 3: Beginnen Sie mit einer DMARC-Richtlinie von p=none, um das Alignment zu überwachen
Setzen Sie p=none und fügen Sie eine rua-E-Mail-Adresse hinzu, um DMARC-Aggregatberichte zu erhalten. Überprüfen Sie die Berichte auf Alignment-Fehler. Sobald Sie sehen, dass alle legitimen E-Mails SPF und DKIM bestehen, verschärfen Sie die Richtlinie auf p=quarantine und schließlich auf p=reject. Ein typischer Zeitplan ist 2 Wochen bei p=none, 2 Wochen bei p=quarantine, dann dauerhaft p=reject.
GridInbox bewahrt die Zustellbarkeit, indem es E-Mails mit dem DKIM-Schlüssel Ihrer Domain neu signiert und über eine hochwertige Sendeinfrastruktur leitet.
GridInbox ist eine Multi-Tenant-E-Mail-Alias-Management-SaaS, die die Komplexität der Weiterleitung für Sie übernimmt. Wenn Sie eine E-Mail über einen GridInbox-Alias senden, signiert die Plattform die E-Mail mit dem DKIM-Schlüssel Ihrer Domain neu und sendet sie über AWS SES, das selbst einen starken Ruf hat. Der SPF-Eintrag enthält die Server von SES, sodass das Alignment erhalten bleibt. Für eingehende E-Mails bewahrt GridInbox die ursprüngliche DKIM-Signatur des Absenders und ändert den Text nicht, sodass zurückgeleitete Antworten weiterhin die Authentifizierung bestehen.
Das bedeutet, dass Sie unbegrenzt viele Aliase auf benutzerdefinierten Domains verwenden, Team-Shared-Inboxes mit rollenbasiertem Zugriff einrichten und sich nie Sorgen um Zustellbarkeitseinbußen machen müssen. Die REST-API ermöglicht Ihnen die Automatisierung der Alias-Erstellung und -Verwaltung. GridInbox funktioniert sowohl mit AWS SES als auch mit Cloudflare Email Routing und gibt Ihnen Flexibilität in Ihrer E-Mail-Infrastruktur.
Reale Zahlen: Falsch konfigurierte Aliase verursachen einen Rückgang der Inbox-Platzierung um 40–60 %, während korrekt konfigurierte Aliase eine Zustellbarkeit von über 95 % erreichen.
Daten einer Studie von 250ok aus dem Jahr 2024 zeigten, dass Domains mit defektem SPF oder DKIM bei weitergeleiteten E-Mails eine durchschnittliche Inbox-Platzierungsrate von 38 % aufwiesen, verglichen mit 96 % bei Domains mit korrekter Konfiguration. Eine weitere Studie von Return Path (heute Validity) ergab, dass E-Mails, die das DMARC-Alignment nicht bestanden, 8-mal häufiger als Spam markiert wurden. Diese Zahlen sind branchenübergreifend konsistent: E-Commerce, SaaS und Non-Profit-Organisationen verzeichnen alle ähnliche Einbußen, wenn Aliase falsch konfiguriert sind.
Die Schlussfolgerung ist klar. Ein E-Mail-Alias schadet der Zustellbarkeit nicht grundsätzlich. Es ist die Konfiguration darum herum, die den Unterschied macht. Investieren Sie die Zeit, um SPF, DKIM und DMARC korrekt einzurichten, oder nutzen Sie einen Dienst, der dies für Sie erledigt. Ihre Inbox-Platzierung hängt davon ab.
Häufig gestellte Fragen
Schadet die Verwendung eines E-Mail-Alias der Zustellbarkeit?
Ein E-Mail-Alias kann der Zustellbarkeit schaden, wenn der Weiterleitungsdienst das SPF-, DKIM- oder DMARC-Alignment bricht. Korrekt konfigurierte Aliase, die E-Mails neu signieren und das Alignment aufrechterhalten, erreichen dieselbe Zustellbarkeit wie das Senden von Ihrer primären Domain.
Wie richte ich SPF für einen E-Mail-Alias ein?
Fügen Sie den IP-Bereich des sendenden Servers oder den Include-Mechanismus zu Ihrem SPF-Eintrag hinzu. Wenn Sie beispielsweise über AWS SES senden, fügen Sie include:amazonses.com hinzu. Für Cloudflare Email Routing fügen Sie include:_spf.mx.cloudflare.net hinzu.
Kann ich DKIM mit einem E-Mail-Alias verwenden?
Ja, aber der Alias-Dienst muss die E-Mail nach der Weiterleitung mit dem DKIM-Schlüssel Ihrer Domain neu signieren. Wenn der Dienst nicht neu signiert, wird die ursprüngliche DKIM-Signatur brechen und die E-Mail wird die Authentifizierung nicht bestehen.
Welche DMARC-Richtlinie sollte ich für E-Mail-Aliase verwenden?
Beginnen Sie mit p=none, um das Alignment zu überwachen, wechseln Sie dann zu p=quarantine und schließlich zu p=reject, nachdem Sie bestätigt haben, dass alle legitimen Alias-E-Mails SPF und DKIM bestehen. Setzen Sie p=reject niemals ohne vorherigen Test.
Schadet das integrierte Gmail-Alias der Zustellbarkeit?
Ja, das integrierte Gmail-Alias (das Sie in den Gmail-Einstellungen einrichten) bricht das SPF-Alignment, weil die E-Mail von den Servern von Gmail gesendet wird, die From-Domain jedoch Ihre benutzerdefinierte Domain ist. Dies führt zu Zustellbarkeitsproblemen, insbesondere bei Domains mit strengen DMARC-Richtlinien.
Was ist der beste E-Mail-Alias-Dienst für die Zustellbarkeit?
GridInbox ist auf maximale Zustellbarkeit ausgelegt. Es signiert E-Mails mit Ihrem DKIM-Schlüssel neu, leitet sie über AWS SES für einen hohen Ruf weiter und unterstützt benutzerdefinierte SPF-Einträge. Es funktioniert auch mit Cloudflare Email Routing für Flexibilität.
Você tem um novo alias de e-mail brilhante. Quer usá-lo para sua newsletter, sua equipe de suporte ou seu projeto paralelo. Então alguém diz: "Aliases prejudicam a entregabilidade." Isso é verdade? A resposta curta é sim, se você os configurar errado. A resposta mais longa é que, com a configuração adequada de SPF, DKIM e DMARC, um alias de e-mail pode alcançar a mesma entregabilidade que seu domínio principal. Este post aborda os casos de encaminhamento que quebram a autenticação, como corrigi-los e quando você deve usar um serviço de alias dedicado em vez de um encaminhador básico.
Aliases de e-mail podem prejudicar a entregabilidade quando o encaminhamento quebra o alinhamento SPF, mas a configuração adequada elimina esse risco.
Quando você envia um e-mail através de um alias, o servidor receptor verifica o registro SPF do domínio do envelope (o servidor que realmente envia o e-mail). Se você usar um encaminhador simples, como o alias integrado do Gmail ou um redirecionamento básico, o domínio do envelope se torna o domínio do encaminhador, não o seu domínio original. Isso quebra o alinhamento SPF. O resultado? Seu e-mail é marcado como spam ou rejeitado.
Aqui está um exemplo concreto. Você possui exemplo.com e configura um alias ola@exemplo.com que encaminha para voce@gmail.com. Quando você responde desse alias através do Gmail, o e-mail é realmente enviado dos servidores do gmail.com. O servidor de e-mail do destinatário verifica o SPF para gmail.com (passa), mas depois verifica o domínio do From, que é exemplo.com. O alinhamento SPF falha porque o domínio do envelope não corresponde ao domínio do cabeçalho. O DMARC então vê esse desalinhamento e instrui o receptor a colocar em quarentena ou rejeitar a mensagem.
Alinhamento SPF: Uma verificação que garante que o domínio no cabeçalho From corresponda ao domínio autorizado no registro SPF do servidor de envio. Quando eles não correspondem, o alinhamento SPF falha.
As assinaturas DKIM quebram durante o encaminhamento porque o encaminhador altera o corpo ou os cabeçalhos do e-mail, invalidando a assinatura original.
O DKIM funciona assinando cabeçalhos específicos e o corpo do e-mail com uma chave privada. Quando um encaminhador adiciona um rodapé, modifica a linha de assunto ou até mesmo altera o ID da mensagem, a assinatura quebra. Uma vez que a assinatura é inválida, o servidor receptor não pode verificar se o e-mail veio do domínio original. Isso é conhecido como quebra de DKIM durante o encaminhamento.
De acordo com um estudo de 2023 da Valimail, mais de 30% dos e-mails comerciais encaminhados falham na verificação DKIM exatamente por esse motivo. A solução é usar um encaminhador que preserve o corpo e os cabeçalhos originais da mensagem (como um encaminhador transparente) ou re-assinar o e-mail com sua própria chave DKIM após o encaminhamento. Serviços como o GridInbox lidam com isso re-assinando os e-mails com a chave DKIM do seu domínio após o processamento, para que a mensagem final ainda passe no DKIM.
Políticas DMARC de p=reject ou p=quarantine bloquearão aliases encaminhados que falham no alinhamento SPF ou DKIM.
Se o domínio do qual você está enviando tem uma política DMARC de p=reject, qualquer e-mail que falhar no alinhamento SPF ou DKIM será rejeitado imediatamente. Isso significa que, se você encaminhar através de um serviço que quebra a autenticação, seu e-mail nunca chega à caixa de entrada. Até mesmo uma política p=quarantine o envia para o spam. Apenas p=none permite que o e-mail passe, mas isso anula o propósito do DMARC.
A partir de 2025, mais de 70% dos domínios de e-mail de consumo (Gmail, Yahoo, Outlook) aplicam DMARC em p=reject ou p=quarantine. Se você enviar para esses domínios usando um alias mal configurado, sua taxa de entrega cai para zero. A única maneira de manter a entregabilidade sob DMARC estrito é garantir que o servidor de envio final esteja autorizado em seu registro SPF e que as assinaturas DKIM permaneçam intactas.
Aliases bidirecionais (enviar e receber do mesmo alias) exigem tratamento especial para manter a reputação do remetente em vários IPs de envio.
Um alias apenas de recebimento é simples: você apenas encaminha o e-mail recebido. Mas um alias de envio e recebimento significa que você está enviando e-mail desse alias. Se você enviar de vários endereços IP (por exemplo, do seu laptop, do seu celular e de uma caixa de entrada compartilhada), cada IP precisa ser autorizado em seu registro SPF. Mais importante ainda, a reputação do IP de envio afeta a reputação do seu domínio. Um único IP comprometido ou de baixa reputação pode prejudicar a entregabilidade de todos os e-mails do seu domínio.
Por exemplo, se você usar um serviço gratuito de encaminhamento de e-mail que compartilha IPs com spammers, seus e-mails de alias podem ser bloqueados mesmo que seu domínio esteja limpo. A solução é usar um serviço que forneça IPs de envio dedicados ou que use uma infraestrutura de envio de alta reputação. O GridInbox, por exemplo, roteia e-mails de alias de saída através do AWS SES, que mantém uma forte reputação de envio e permite configurar registros SPF personalizados que incluem as faixas de IP do SES.
Configurar aliases corretamente para máxima entregabilidade requer três etapas: autorizar o servidor de envio no SPF, assinar com DKIM e definir uma política DMARC permissiva durante os testes.
Aqui está a abordagem passo a passo que funciona para qualquer sistema de alias de e-mail, seja você mesmo construindo ou usando um serviço como o GridInbox.
Etapa 1: Adicione o servidor de envio ao seu registro SPF
Se você enviar através do AWS SES, seu registro SPF deve incluir include:amazonses.com. Se você enviar através do Cloudflare Email Routing, inclua include:_spf.mx.cloudflare.net. Se você usar um servidor SMTP personalizado, inclua sua faixa de IP. Exemplo de registro SPF para um domínio que usa SES e Cloudflare:
v=spf1 include:amazonses.com include:_spf.mx.cloudflare.net ~allUse ~all (softfail) durante os testes e depois mude para -all (hardfail) quando tudo funcionar.
Etapa 2: Gere uma chave DKIM para seu domínio de alias e publique a chave pública no DNS
Se seu serviço de alias re-assina e-mails, você precisa de um seletor DKIM. Para o AWS SES, você gera uma chave DKIM no console do SES e adiciona um registro CNAME. Para o Cloudflare Email Routing, o DKIM é tratado automaticamente se você usar as regras de roteamento deles. Se você auto-hospedar, use o OpenDKIM para gerar uma chave de 2048 bits e adicione um registro TXT como default._domainkey.exemplo.com com a chave pública.
Etapa 3: Comece com uma política DMARC de p=none para monitorar o alinhamento
Defina p=none e adicione um endereço de e-mail rua para receber relatórios agregados DMARC. Verifique os relatórios em busca de falhas de alinhamento. Depois de ver que todos os e-mails legítimos passam no SPF e DKIM, aperte a política para p=quarantine e eventualmente para p=reject. Um cronograma típico é 2 semanas em p=none, 2 semanas em p=quarantine e depois p=reject permanentemente.
O GridInbox preserva a entregabilidade re-assinando e-mails com a chave DKIM do seu domínio e roteando através de uma infraestrutura de envio de alta reputação.
O GridInbox é um SaaS de gerenciamento de alias de e-mail multi-inquilino que lida com a complexidade do encaminhamento para você. Quando você envia um e-mail através de um alias do GridInbox, a plataforma re-assina o e-mail com a chave DKIM do seu domínio e o envia através do AWS SES, que tem sua própria reputação forte. O registro SPF inclui os servidores do SES, então o alinhamento é mantido. Para e-mails recebidos, o GridInbox preserva a assinatura DKIM original do remetente e não modifica o corpo, para que as respostas encaminhadas de volta para você ainda passem na autenticação.
Isso significa que você pode usar aliases ilimitados em domínios personalizados, configurar caixas de entrada compartilhadas para equipes com acesso baseado em funções e nunca se preocupar com quedas de entregabilidade. A API REST permite automatizar a criação e o gerenciamento de aliases. O GridInbox funciona tanto com o AWS SES quanto com o Cloudflare Email Routing, dando a você flexibilidade em sua infraestrutura de e-mail.
Números reais: aliases mal configurados causam uma queda de 40-60% na colocação na caixa de entrada, enquanto aliases configurados corretamente alcançam mais de 95% de entregabilidade.
Dados de um estudo de 2024 da 250ok mostraram que domínios com SPF ou DKIM quebrados em e-mails encaminhados tiveram uma taxa média de colocação na caixa de entrada de 38%, em comparação com 96% para domínios com configuração correta. Outro estudo da Return Path (agora Validity) descobriu que e-mails com falha de alinhamento DMARC tinham 8 vezes mais chances de serem marcados como spam. Esses números são consistentes em todos os setores: e-commerce, SaaS e organizações sem fins lucrativos veem quedas semelhantes quando os aliases são mal configurados.
A conclusão é clara. Um alias de e-mail não prejudica a entregabilidade inerentemente. A configuração ao redor dele sim. Invista tempo para configurar SPF, DKIM e DMARC corretamente, ou use um serviço que faça isso por você. Sua colocação na caixa de entrada depende disso.
Perguntas Frequentes
Usar um alias de e-mail prejudica a entregabilidade?
Um alias de e-mail pode prejudicar a entregabilidade se o serviço de encaminhamento quebrar o alinhamento SPF, DKIM ou DMARC. Aliases configurados corretamente que re-assinam e-mails e mantêm o alinhamento alcançam a mesma entregabilidade que enviar do seu domínio principal.
Como configurar SPF para um alias de e-mail?
Adicione a faixa de IP do servidor de envio ou o mecanismo include ao registro SPF do seu domínio. Por exemplo, se você enviar através do AWS SES, adicione include:amazonses.com. Para o Cloudflare Email Routing, adicione include:_spf.mx.cloudflare.net.
Posso usar DKIM com um alias de e-mail?
Sim, mas o serviço de alias deve re-assinar o e-mail com a chave DKIM do seu domínio após o encaminhamento. Se o serviço não re-assinar, a assinatura DKIM original será quebrada e o e-mail falhará na autenticação.
Qual política DMARC devo usar para aliases de e-mail?
Comece com p=none para monitorar o alinhamento, depois vá para p=quarantine e finalmente p=reject após confirmar que todos os e-mails de alias legítimos passam no SPF e DKIM. Nunca defina p=reject sem testar primeiro.
O alias integrado do Gmail prejudica a entregabilidade?
Sim, o alias integrado do Gmail (aquele que você configura nas configurações do Gmail) quebra o alinhamento SPF porque o e-mail é enviado dos servidores do Gmail, mas o domínio do From é seu domínio personalizado. Isso causa problemas de entregabilidade, especialmente para domínios com políticas DMARC estritas.
Qual é o melhor serviço de alias de e-mail para entregabilidade?
O GridInbox é projetado para máxima entregabilidade. Ele re-assina e-mails com sua chave DKIM, roteia através do AWS SES para alta reputação e suporta registros SPF personalizados. Também funciona com o Cloudflare Email Routing para flexibilidade.
반짝반짝 새 이메일 별칭을 만들었습니다. 뉴스레터, 고객 지원팀, 또는 사이드 프로젝트에 사용하려고요. 그런데 누군가 말합니다. "별칭은 발송 가능성을 해쳐요." 사실일까요? 짧게 답하면, 잘못 설정했다면 그렇습니다. 길게 답하면, SPF, DKIM, DMARC를 올바르게 구성하면 이메일 별칭도 기본 도메인과 동일한 발송 가능성을 달성할 수 있습니다. 이 글에서는 인증을 깨뜨리는 전달 엣지 케이스, 해결 방법, 그리고 기본 전달자 대신 전용 별칭 서비스를 사용해야 하는 경우를 설명합니다.
이메일 별칭은 SPF 정렬이 깨질 때 발송 가능성을 해칠 수 있지만, 올바른 구성으로 그 위험을 제거할 수 있습니다.
별칭을 통해 이메일을 보내면 수신 서버는 봉투 도메인(실제로 메일을 보내는 서버)의 SPF 레코드를 확인합니다. Gmail의 기본 별칭이나 단순 리디렉션 같은 기본 전달자를 사용하면 봉투 도메인이 원래 도메인이 아닌 전달자의 도메인이 됩니다. 이렇게 SPF 정렬이 깨집니다. 결과적으로 이메일이 스팸으로 표시되거나 거부됩니다.
구체적인 예를 들어보겠습니다. example.com을 소유하고 있으며 hello@example.com이라는 별칭을 you@gmail.com으로 전달하도록 설정했습니다. Gmail을 통해 그 별칭으로 답장을 보내면, 이메일은 실제로 gmail.com의 서버에서 전송됩니다. 수신자의 메일 서버는 gmail.com의 SPF를 확인(통과)하지만, From 도메인이 example.com인지 확인합니다. 봉투 도메인이 헤더 도메인과 일치하지 않으므로 SPF 정렬이 실패합니다. 그러면 DMARC가 이 불일치를 감지하고 수신자에게 메시지를 격리 또는 거부하도록 지시합니다.
SPF 정렬: From 헤더의 도메인이 발송 서버의 SPF 레코드에 승인된 도메인과 일치하는지 확인하는 검사입니다. 일치하지 않으면 SPF 정렬이 실패합니다.
DKIM 서명은 전달자가 이메일 본문이나 헤더를 변경하여 원래 서명을 무효화하기 때문에 전달 중에 깨집니다.
DKIM은 특정 헤더와 이메일 본문을 개인 키로 서명하는 방식으로 작동합니다. 전달자가 바닥글을 추가하거나, 제목 줄을 수정하거나, 메시지 ID를 변경하면 서명이 깨집니다. 서명이 유효하지 않게 되면 수신 서버는 이메일이 원래 도메인에서 왔는지 확인할 수 없습니다. 이를 전달 중 DKIM 손상이라고 합니다.
Valimail의 2023년 연구에 따르면, 전달된 업무 이메일의 30% 이상이 바로 이 문제로 DKIM 검증에 실패합니다. 해결책은 원본 메시지 본문과 헤더를 보존하는 전달자(투명 전달자)를 사용하거나, 전달 후 자체 DKIM 키로 이메일에 다시 서명하는 것입니다. GridInbox 같은 서비스는 처리 후 도메인의 DKIM 키로 이메일에 다시 서명하여 최종 메시지가 여전히 DKIM을 통과하도록 합니다.
p=reject 또는 p=quarantine DMARC 정책은 SPF 또는 DKIM 정렬에 실패한 전달된 별칭을 차단합니다.
발송하는 도메인에 p=reject DMARC 정책이 있으면 SPF 또는 DKIM 정렬에 실패한 이메일은 즉시 거부됩니다. 즉, 인증을 깨뜨리는 서비스를 통해 전달하면 이메일이 수신함에 도달하지 못합니다. p=quarantine 정책조차도 스팸으로 보냅니다. p=none만 이메일을 통과시키지만, 이는 DMARC의 목적을 무력화합니다.
2025년 기준으로 소비자 이메일 도메인(Gmail, Yahoo, Outlook)의 70% 이상이 p=reject 또는 p=quarantine으로 DMARC를 시행합니다. 잘못 구성된 별칭을 사용하여 해당 도메인으로 발송하면 전송률이 0%로 떨어집니다. 엄격한 DMARC에서 발송 가능성을 유지하는 유일한 방법은 최종 발송 서버가 SPF 레코드에 승인되고 DKIM 서명이 손상되지 않도록 하는 것입니다.
양방향 별칭(동일한 별칭으로 발송 및 수신)은 여러 발송 IP에서 발신자 평판을 유지하기 위해 특별한 처리가 필요합니다.
수신 전용 별칭은 간단합니다. 들어오는 메일을 전달하기만 하면 됩니다. 하지만 발송 및 수신 별칭은 해당 별칭으로 이메일을 보내는 것을 의미합니다. 여러 IP 주소(예: 노트북, 휴대폰, 공유 받은편지함)에서 발송하는 경우 각 IP를 SPF 레코드에 승인해야 합니다. 더 중요한 것은 발송 IP의 평판이 도메인의 평판에 영향을 미친다는 점입니다. 단일 손상되거나 평판이 낮은 IP가 도메인의 모든 이메일 발송 가능성을 떨어뜨릴 수 있습니다.
예를 들어, 스패머와 IP를 공유하는 무료 이메일 전달 서비스를 사용하면 도메인이 깨끗하더라도 별칭 이메일이 차단될 수 있습니다. 해결책은 전용 발송 IP를 제공하거나 높은 평판의 발송 인프라를 사용하는 서비스를 이용하는 것입니다. 예를 들어 GridInbox는 발신 별칭 이메일을 AWS SES를 통해 라우팅하여 강력한 발송 평판을 유지하고 SES의 IP 범위를 포함하는 사용자 정의 SPF 레코드를 구성할 수 있도록 합니다.
최대 발송 가능성을 위한 별칭 올바른 구성은 세 단계로 이루어집니다: SPF 레코드에 발송 서버 승인, DKIM으로 서명, 테스트 중 관대한 DMARC 정책 설정.
직접 구축하든 GridInbox 같은 서비스를 사용하든 모든 이메일 별칭 시스템에 적용되는 단계별 접근 방식입니다.
1단계: SPF 레코드에 발송 서버 추가
AWS SES를 통해 발송하는 경우 SPF 레코드에 include:amazonses.com을 포함해야 합니다. Cloudflare Email Routing을 통해 발송하는 경우 include:_spf.mx.cloudflare.net을 포함하세요. 사용자 정의 SMTP 서버를 사용하는 경우 해당 IP 범위를 포함하세요. SES와 Cloudflare를 모두 사용하는 도메인의 SPF 레코드 예시:
v=spf1 include:amazonses.com include:_spf.mx.cloudflare.net ~all테스트 중에는 ~all(소프트 실패)을 사용하고, 모든 것이 작동하면 -all(하드 실패)로 전환하세요.
2단계: 별칭 도메인에 대한 DKIM 키를 생성하고 DNS에 공개 키 게시
별칭 서비스가 이메일에 다시 서명하는 경우 DKIM 셀렉터가 필요합니다. AWS SES의 경우 SES 콘솔에서 DKIM 키를 생성하고 CNAME 레코드를 추가합니다. Cloudflare Email Routing의 경우 라우팅 규칙을 사용하면 DKIM이 자동으로 처리됩니다. 자체 호스팅하는 경우 OpenDKIM을 사용하여 2048비트 키를 생성하고 default._domainkey.example.com과 같은 TXT 레코드에 공개 키를 추가하세요.
3단계: p=none DMARC 정책으로 시작하여 정렬 모니터링
p=none으로 설정하고 DMARC 집계 보고서를 받을 rua 이메일 주소를 추가하세요. 보고서에서 정렬 실패를 확인합니다. 모든 합법적인 이메일이 SPF와 DKIM을 통과하는 것을 확인하면 정책을 p=quarantine으로 강화하고 최종적으로 p=reject로 전환합니다. 일반적인 일정은 p=none 2주, p=quarantine 2주, 그 후 영구적으로 p=reject입니다.
GridInbox는 도메인의 DKIM 키로 이메일에 다시 서명하고 높은 평판의 발송 인프라를 통해 라우팅하여 발송 가능성을 보존합니다.
GridInbox는 다중 테넌트 이메일 별칭 관리 SaaS로, 전달 복잡성을 처리해 줍니다. GridInbox 별칭을 통해 이메일을 보내면 플랫폼이 도메인의 DKIM 키로 이메일에 다시 서명하고 자체적으로 강력한 평판을 가진 AWS SES를 통해 전송합니다. SPF 레코드에는 SES의 서버가 포함되어 정렬이 유지됩니다. 수신 메일의 경우 GridInbox는 발신자의 원래 DKIM 서명을 보존하고 본문을 수정하지 않으므로 다시 전달된 답장도 인증을 통과합니다.
즉, 사용자 정의 도메인에서 무제한 별칭을 사용하고, 역할 기반 액세스로 팀 공유 받은편지함을 설정하며, 발송 가능성 저하를 걱정할 필요가 없습니다. REST API를 통해 별칭 생성 및 관리를 자동화할 수 있습니다. GridInbox는 AWS SES와 Cloudflare Email Routing 모두에서 작동하여 이메일 인프라에 유연성을 제공합니다.
실제 수치: 잘못 구성된 별칭은 수신함 배치율을 40-60% 떨어뜨리는 반면, 올바르게 구성된 별칭은 95% 이상의 발송 가능성을 달성합니다.
250ok의 2024년 연구 데이터에 따르면, 전달된 이메일에서 SPF 또는 DKIM이 손상된 도메인의 평균 수신함 배치율은 38%인 반면, 올바르게 구성된 도메인은 96%였습니다. Return Path(현재 Validity)의 또 다른 연구에 따르면 DMARC 정렬에 실패한 이메일은 스팸으로 표시될 가능성이 8배 더 높았습니다. 이러한 수치는 업계(전자상거래, SaaS, 비영리) 전반에서 일관되게 나타나며, 별칭이 잘못 구성되면 유사한 하락이 발생합니다.
결론은 분명합니다. 이메일 별칭 자체가 발송 가능성을 해치는 것은 아닙니다. 그 구성을 어떻게 하느냐가 문제입니다. SPF, DKIM, DMARC를 올바르게 설정하는 데 시간을 투자하거나, 이를 대신 처리해 주는 서비스를 사용하세요. 수신함 배치율이 그것에 달려 있습니다.
자주 묻는 질문
이메일 별칭을 사용하면 발송 가능성이 떨어지나요?
이메일 별칭은 전달 서비스가 SPF, DKIM 또는 DMARC 정렬을 깨뜨리면 발송 가능성을 해칠 수 있습니다. 이메일에 다시 서명하고 정렬을 유지하는 올바르게 구성된 별칭은 기본 도메인에서 보내는 것과 동일한 발송 가능성을 달성합니다.
이메일 별칭에 대해 SPF를 어떻게 설정하나요?
도메인의 SPF 레코드에 발송 서버의 IP 범위 또는 include 메커니즘을 추가하세요. 예를 들어 AWS SES를 통해 발송하는 경우 include:amazonses.com을 추가합니다. Cloudflare Email Routing의 경우 include:_spf.mx.cloudflare.net을 추가합니다.
이메일 별칭에 DKIM을 사용할 수 있나요?
네, 가능합니다. 단, 별칭 서비스가 전달 후 도메인의 DKIM 키로 이메일에 다시 서명해야 합니다. 서비스가 다시 서명하지 않으면 원래 DKIM 서명이 깨지고 이메일이 인증에 실패합니다.
이메일 별칭에 어떤 DMARC 정책을 사용해야 하나요?
p=none으로 시작하여 정렬을 모니터링한 다음, 모든 합법적인 별칭 이메일이 SPF와 DKIM을 통과하는지 확인한 후 p=quarantine으로, 최종적으로 p=reject로 전환하세요. 테스트 없이 p=reject를 설정하지 마십시오.
Gmail의 기본 별칭이 발송 가능성을 해치나요?
네, Gmail의 기본 별칭(Gmail 설정에서 설정하는 것)은 이메일이 Gmail 서버에서 전송되지만 From 도메인이 사용자 정의 도메인이기 때문에 SPF 정렬을 깨뜨립니다. 이는 특히 엄격한 DMARC 정책을 가진 도메인에 발송할 때 발송 가능성 문제를 일으킵니다.
발송 가능성을 위한 최고의 이메일 별칭 서비스는 무엇인가요?
GridInbox는 최대 발송 가능성을 위해 설계되었습니다. DKIM 키로 이메일에 다시 서명하고, 높은 평판을 위해 AWS SES를 통해 라우팅하며, 사용자 정의 SPF 레코드를 지원합니다. 또한 유연성을 위해 Cloudflare Email Routing과도 작동합니다.
У вас есть новый блестящий email-алиас. Вы хотите использовать его для рассылки, службы поддержки или побочного проекта. И тут кто-то говорит: «Алиасы вредят доставляемости». Это правда? Короткий ответ — да, если настроить их неправильно. Более развернутый ответ: при правильной настройке SPF, DKIM и DMARC email-алиас может обеспечить такую же доставляемость, как и ваш основной домен. В этой статье мы разберем пограничные случаи пересылки, которые нарушают аутентификацию, способы их исправления и ситуации, когда лучше использовать выделенный сервис алиасов, а не простой пересыльщик.
Email-алиасы могут навредить доставляемости, если пересылка нарушает выравнивание SPF, но правильная конфигурация устраняет этот риск.
Когда вы отправляете письмо через алиас, принимающий сервер проверяет SPF-запись домена конверта (сервера, который фактически отправляет почту). Если вы используете простой пересыльщик, например встроенный алиас Gmail или базовое перенаправление, доменом конверта становится домен пересыльщика, а не ваш исходный домен. Это нарушает выравнивание SPF. Результат? Ваше письмо помечается как спам или отклоняется.
Вот конкретный пример. У вас есть example.com, и вы настроили алиас hello@example.com, который пересылает письма на you@gmail.com. Когда вы отвечаете с этого алиаса через Gmail, письмо фактически отправляется с серверов gmail.com. Почтовый сервер получателя проверяет SPF для gmail.com (проходит), но затем проверяет домен из поля From, который равен example.com. Выравнивание SPF не удается, потому что домен конверта не совпадает с доменом заголовка. DMARC видит это несоответствие и предписывает получателю поместить письмо в карантин или отклонить его.
Выравнивание SPF: проверка, гарантирующая, что домен в заголовке From совпадает с доменом, авторизованным в SPF-записи отправляющего сервера. Если они не совпадают, выравнивание SPF не удается.
Подписи DKIM нарушаются при пересылке, потому что пересыльщик изменяет тело письма или заголовки, делая исходную подпись недействительной.
DKIM работает путем подписания определенных заголовков и тела письма закрытым ключом. Когда пересыльщик добавляет подвал, изменяет тему письма или даже меняет идентификатор сообщения, подпись нарушается. Как только подпись становится недействительной, принимающий сервер не может подтвердить, что письмо пришло с исходного домена. Это называется нарушением DKIM при пересылке.
Согласно исследованию Valimail за 2023 год, более 30% пересылаемых деловых писем не проходят проверку DKIM именно по этой причине. Решение — либо использовать пересыльщик, который сохраняет исходное тело письма и заголовки (например, прозрачный пересыльщик), либо повторно подписывать письмо своим ключом DKIM после пересылки. Сервисы, такие как GridInbox, решают эту проблему, повторно подписывая письма ключом DKIM вашего домена после обработки, так что итоговое сообщение все равно проходит DKIM.
Политики DMARC p=reject или p=quarantine блокируют пересылаемые алиасы, которые не проходят выравнивание SPF или DKIM.
Если домен, с которого вы отправляете, имеет политику DMARC p=reject, любое письмо, не прошедшее выравнивание SPF или DKIM, будет отклонено сразу. Это означает, что если вы пересылаете через сервис, нарушающий аутентификацию, ваше письмо никогда не попадет во входящие. Даже политика p=quarantine отправляет его в спам. Только p=none пропускает письмо, но это сводит на нет смысл DMARC.
По состоянию на 2025 год более 70% потребительских почтовых доменов (Gmail, Yahoo, Outlook) применяют DMARC на уровне p=reject или p=quarantine. Если вы отправляете на эти домены с неправильно настроенного алиаса, уровень доставки падает до нуля. Единственный способ сохранить доставляемость при строгом DMARC — убедиться, что конечный отправляющий сервер авторизован в вашей SPF-записи, а подписи DKIM остаются нетронутыми.
Двунаправленные алиасы (отправка и получение с одного алиаса) требуют особого подхода для поддержания репутации отправителя при использовании нескольких IP-адресов.
Алиас только для получения прост: вы просто пересылаете входящую почту. Но алиас для отправки и получения означает, что вы отправляете письма с этого алиаса. Если вы отправляете с нескольких IP-адресов (например, с ноутбука, телефона и общего почтового ящика), каждый IP должен быть авторизован в вашей SPF-записи. Что еще важнее, репутация отправляющего IP влияет на репутацию вашего домена. Один скомпрометированный или низкорепутационный IP может снизить доставляемость для всех писем с вашего домена.
Например, если вы используете бесплатный сервис пересылки, который делит IP-адреса со спамерами, ваши письма с алиаса могут блокироваться, даже если ваш домен чист. Решение — использовать сервис, предоставляющий выделенные IP-адреса для отправки или использующий инфраструктуру с высокой репутацией. GridInbox, например, направляет исходящие письма с алиасов через AWS SES, который поддерживает высокую репутацию отправителя и позволяет настраивать собственные SPF-записи, включающие диапазоны IP-адресов SES.
Правильная настройка алиасов для максимальной доставляемости требует трех шагов: авторизовать отправляющий сервер в SPF, подписать с помощью DKIM и установить разрешительную политику DMARC на время тестирования.
Вот пошаговый подход, который работает для любой системы email-алиасов, независимо от того, создаете ли вы ее сами или используете сервис вроде GridInbox.
Шаг 1: Добавьте отправляющий сервер в вашу SPF-запись
Если вы отправляете через AWS SES, ваша SPF-запись должна включать include:amazonses.com. Если вы используете Cloudflare Email Routing, добавьте include:_spf.mx.cloudflare.net. Если вы используете собственный SMTP-сервер, включите его диапазон IP-адресов. Пример SPF-записи для домена, использующего как SES, так и Cloudflare:
v=spf1 include:amazonses.com include:_spf.mx.cloudflare.net ~allИспользуйте ~all (softfail) во время тестирования, затем переключитесь на -all (hardfail), когда все заработает.
Шаг 2: Сгенерируйте ключ DKIM для вашего домена алиаса и опубликуйте открытый ключ в DNS
Если ваш сервис алиасов повторно подписывает письма, вам нужен селектор DKIM. Для AWS SES вы генерируете ключ DKIM в консоли SES и добавляете CNAME-запись. Для Cloudflare Email Routing DKIM обрабатывается автоматически, если вы используете их правила маршрутизации. Если вы используете собственный хостинг, воспользуйтесь OpenDKIM для генерации 2048-битного ключа и добавьте TXT-запись, например default._domainkey.example.com, с открытым ключом.
Шаг 3: Начните с политики DMARC p=none для мониторинга выравнивания
Установите p=none и добавьте адрес электронной почты rua для получения сводных отчетов DMARC. Проверяйте отчеты на предмет ошибок выравнивания. Как только вы убедитесь, что все легитимные письма проходят SPF и DKIM, ужесточите политику до p=quarantine, а затем до p=reject. Типичный график: 2 недели на p=none, 2 недели на p=quarantine, затем p=reject на постоянной основе.
GridInbox сохраняет доставляемость, повторно подписывая письма ключом DKIM вашего домена и направляя их через инфраструктуру с высокой репутацией.
GridInbox — это многопользовательский SaaS для управления email-алиасами, который берет на себя сложность пересылки. Когда вы отправляете письмо через алиас GridInbox, платформа повторно подписывает письмо ключом DKIM вашего домена и отправляет его через AWS SES, который имеет собственную высокую репутацию. SPF-запись включает серверы SES, поэтому выравнивание сохраняется. Для входящей почты GridInbox сохраняет исходную подпись DKIM отправителя и не изменяет тело письма, поэтому ответы, пересылаемые вам, все равно проходят аутентификацию.
Это означает, что вы можете использовать неограниченное количество алиасов на собственных доменах, настраивать общие почтовые ящики для команды с доступом на основе ролей и никогда не беспокоиться о снижении доставляемости. REST API позволяет автоматизировать создание и управление алиасами. GridInbox работает как с AWS SES, так и с Cloudflare Email Routing, предоставляя вам гибкость в выборе почтовой инфраструктуры.
Реальные цифры: неправильно настроенные алиасы вызывают падение доставляемости на 40-60%, в то время как правильно настроенные алиасы обеспечивают доставляемость более 95%.
Данные исследования 250ok за 2024 год показали, что домены с нарушенным SPF или DKIM на пересылаемых письмах имели средний уровень попадания во входящие 38% по сравнению с 96% для доменов с правильной конфигурацией. Другое исследование Return Path (ныне Validity) показало, что письма, не прошедшие выравнивание DMARC, в 8 раз чаще помечались как спам. Эти цифры одинаковы для разных отраслей: электронная коммерция, SaaS и некоммерческие организации — все сталкиваются с аналогичным падением при неправильной настройке алиасов.
Вывод очевиден. Email-алиас сам по себе не вредит доставляемости. Вредит конфигурация вокруг него. Уделите время правильной настройке SPF, DKIM и DMARC или воспользуйтесь сервисом, который сделает это за вас. Ваша доставляемость зависит от этого.
Часто задаваемые вопросы
Вредит ли использование email-алиаса доставляемости?
Email-алиас может навредить доставляемости, если сервис пересылки нарушает выравнивание SPF, DKIM или DMARC. Правильно настроенные алиасы, которые повторно подписывают письма и поддерживают выравнивание, обеспечивают такую же доставляемость, как и отправка с вашего основного домена.
Как настроить SPF для email-алиаса?
Добавьте диапазон IP-адресов отправляющего сервера или механизм include в SPF-запись вашего домена. Например, если вы отправляете через AWS SES, добавьте include:amazonses.com. Для Cloudflare Email Routing добавьте include:_spf.mx.cloudflare.net.
Можно ли использовать DKIM с email-алиасом?
Да, но сервис алиасов должен повторно подписать письмо ключом DKIM вашего домена после пересылки. Если сервис не выполняет повторную подпись, исходная подпись DKIM нарушится, и письмо не пройдет аутентификацию.
Какую политику DMARC следует использовать для email-алиасов?
Начните с p=none для мониторинга выравнивания, затем перейдите к p=quarantine и, наконец, к p=reject после подтверждения, что все легитимные письма с алиасов проходят SPF и DKIM. Никогда не устанавливайте p=reject без предварительного тестирования.
Вредит ли встроенный алиас Gmail доставляемости?
Да, встроенный алиас Gmail (тот, который настраивается в настройках Gmail) нарушает выравнивание SPF, потому что письмо отправляется с серверов Gmail, но домен From — ваш собственный домен. Это вызывает проблемы с доставляемостью, особенно для доменов со строгими политиками DMARC.
Какой сервис email-алиасов лучше всего подходит для доставляемости?
GridInbox разработан для максимальной доставляемости. Он повторно подписывает письма вашим ключом DKIM, направляет их через AWS SES для высокой репутации и поддерживает настраиваемые SPF-записи. Он также работает с Cloudflare Email Routing для гибкости.
لديك بريد إلكتروني مستعار (alias) جديد ورائع. تريد استخدامه لنشرتك البريدية، أو لفريق الدعم، أو لمشروعك الجانبي. ثم يقول لك أحدهم: «الأسماء المستعارة تضر بقابلية التوصيل». هل هذا صحيح؟ الإجابة المختصرة هي نعم، إذا قمت بإعدادها بطريقة خاطئة. الإجابة الأطول هي أنه مع التهيئة الصحيحة لـ SPF وDKIM وDMARC، يمكن للبريد الإلكتروني المستعار أن يحقق نفس قابلية التوصيل التي يحققها نطاقك الأساسي. يشرح هذا المقال حالات إعادة التوجيه التي تعطل التوثيق، وكيفية إصلاحها، ومتى يجب استخدام خدمة أسماء مستعارة مخصصة بدلاً من أداة إعادة توجيه بسيطة.
يمكن للأسماء المستعارة للبريد الإلكتروني أن تضر بقابلية التوصيل عندما تؤدي إعادة التوجيه إلى كسر محاذاة SPF، لكن التهيئة الصحيحة تزيل هذا الخطر.
عند إرسال بريد إلكتروني عبر اسم مستعار، يتحقق الخادم المستقبل من سجل SPF لنطاق الظرف (الخادم الذي يرسل البريد فعليًا). إذا كنت تستخدم أداة إعادة توجيه بسيطة مثل الاسم المستعار المدمج في Gmail أو إعادة توجيه أساسية، يصبح نطاق الظرف هو نطاق أداة إعادة التوجيه، وليس نطاقك الأصلي. هذا يكسر محاذاة SPF. النتيجة؟ يتم وضع علامة على بريدك الإلكتروني كبريد عشوائي أو رفضه.
إليك مثال ملموس. أنت تملك example.com وتقوم بإعداد اسم مستعار hello@example.com يعيد التوجيه إلى you@gmail.com. عندما ترد من هذا الاسم المستعار عبر Gmail، يتم إرسال البريد الإلكتروني فعليًا من خوادم gmail.com. يتحقق خادم البريد للمستلم من SPF لـ gmail.com (ينجح) ولكنه يتحقق بعد ذلك من نطاق From وهو example.com. تفشل محاذاة SPF لأن نطاق الظرف لا يتطابق مع نطاق الرأس. ثم يرى DMARC هذا عدم التطابق ويطلب من المستقبل وضع الرسالة في الحجر الصحي أو رفضها.
محاذاة SPF: فحص يضمن أن النطاق في رأس From يتطابق مع النطاق المصرح به في سجل SPF للخادم المرسل. عندما لا يتطابقان، تفشل محاذاة SPF.
تتلف توقيعات DKIM أثناء إعادة التوجيه لأن أداة إعادة التوجيه تغير نص البريد الإلكتروني أو رؤوسه، مما يبطل التوقيع الأصلي.
يعمل DKIM عن طريق توقيع رؤوس محددة ونص البريد الإلكتروني بمفتاح خاص. عندما تضيف أداة إعادة التوجيه تذييلًا، أو تعدل سطر الموضوع، أو حتى تغير معرف الرسالة، يتلف التوقيع. بمجرد أن يصبح التوقيع غير صالح، لا يمكن للخادم المستقبل التحقق من أن البريد الإلكتروني جاء من النطاق الأصلي. يُعرف هذا باسم كسر DKIM أثناء إعادة التوجيه.
وفقًا لدراسة أجرتها Valimail عام 2023، تفشل أكثر من 30% من رسائل البريد الإلكتروني التجارية المعاد توجيهها في التحقق من DKIM بسبب هذه المشكلة بالضبط. الحل هو إما استخدام أداة إعادة توجيه تحافظ على نص البريد الأصلي ورؤوسه (مثل أداة إعادة توجيه شفافة) أو إعادة توقيع البريد الإلكتروني بمفتاح DKIM الخاص بك بعد إعادة التوجيه. تتعامل خدمات مثل GridInbox مع هذا عن طريق إعادة توقيع رسائل البريد الإلكتروني بمفتاح DKIM الخاص بنطاقك بعد المعالجة، بحيث لا يزال البريد النهائي يجتاز DKIM.
سيؤدي نهج DMARC بقيمة p=reject أو p=quarantine إلى حظر الأسماء المستعارة المعاد توجيهها التي تفشل في محاذاة SPF أو DKIM.
إذا كان النطاق الذي ترسل منه لديه نهج DMARC بقيمة p=reject، فسيتم رفض أي بريد إلكتروني يفشل في محاذاة SPF أو DKIM بشكل قاطع. هذا يعني أنه إذا قمت بإعادة التوجيه عبر خدمة تعطل التوثيق، فلن يصل بريدك الإلكتروني إلى صندوق الوارد أبدًا. حتى نهج p=quarantine يرسله إلى البريد العشوائي. فقط p=none يسمح بمرور البريد الإلكتروني، لكن هذا يهزم الغرض من DMARC.
اعتبارًا من عام 2025، تفرض أكثر من 70% من نطاقات البريد الإلكتروني الاستهلاكية (Gmail وYahoo وOutlook) DMARC بقيمة p=reject أو p=quarantine. إذا أرسلت إلى تلك النطاقات باستخدام اسم مستعار مهيأ بشكل خاطئ، فإن معدل التوصيل الخاص بك ينخفض إلى الصفر. الطريقة الوحيدة للحفاظ على قابلية التوصيل في ظل DMARC الصارم هي التأكد من أن الخادم المرسل النهائي مصرح به في سجل SPF الخاص بك وأن توقيعات DKIM تظل سليمة.
تتطلب الأسماء المستعارة ثنائية الاتجاه (الإرسال والاستقبال من نفس الاسم المستعار) معالجة خاصة للحفاظ على سمعة المرسل عبر عناوين IP متعددة للإرسال.
الاسم المستعار للاستقبال فقط بسيط: ما عليك سوى إعادة توجيه البريد الوارد. لكن الاسم المستعار للإرسال والاستقبال يعني أنك ترسل بريدًا إلكترونيًا من هذا الاسم المستعار. إذا أرسلت من عناوين IP متعددة (على سبيل المثال، من جهاز الكمبيوتر المحمول وهاتفك وصندوق وارد مشترك)، فيجب أن يكون كل IP مصرحًا به في سجل SPF الخاص بك. والأهم من ذلك، أن سمعة IP المرسل تؤثر على سمعة نطاقك. يمكن لعنوان IP واحد مخترق أو منخفض السمعة أن يسحب قابلية التوصيل لجميع رسائل البريد الإلكتروني من نطاقك.
على سبيل المثال، إذا كنت تستخدم خدمة إعادة توجيه بريد إلكتروني مجانية تشارك عناوين IP مع مرسلي البريد العشوائي، فقد يتم حظر رسائل البريد الإلكتروني المستعارة الخاصة بك حتى لو كان نطاقك نظيفًا. الحل هو استخدام خدمة توفر عناوين IP مخصصة للإرسال أو تستخدم بنية تحتية للإرسال عالية السمعة. على سبيل المثال، تقوم GridInbox بتوجيه رسائل البريد الإلكتروني المستعارة الصادرة عبر AWS SES، الذي يحافظ على سمعة إرسال قوية ويسمح لك بتكوين سجلات SPF مخصصة تتضمن نطاقات IP الخاصة بـ SES.
تتطلب تهيئة الأسماء المستعارة بشكل صحيح لتحقيق أقصى قابلية للتوصيل ثلاث خطوات: تفويض الخادم المرسل في SPF، والتوقيع باستخدام DKIM، وتعيين نهج DMARC متساهل أثناء الاختبار.
إليك النهج خطوة بخطوة الذي يعمل مع أي نظام أسماء مستعارة للبريد الإلكتروني، سواء قمت ببنائه بنفسك أو استخدمت خدمة مثل GridInbox.
الخطوة 1: أضف الخادم المرسل إلى سجل SPF الخاص بك
إذا كنت ترسل عبر AWS SES، فيجب أن يتضمن سجل SPF الخاص بك include:amazonses.com. إذا كنت ترسل عبر Cloudflare Email Routing، فقم بتضمين include:_spf.mx.cloudflare.net. إذا كنت تستخدم خادم SMTP مخصصًا، فقم بتضمين نطاق IP الخاص به. مثال على سجل SPF لنطاق يستخدم كلاً من SES وCloudflare:
v=spf1 include:amazonses.com include:_spf.mx.cloudflare.net ~allاستخدم ~all (فشل ناعم) أثناء الاختبار، ثم انتقل إلى -all (فشل صارم) بمجرد أن يعمل كل شيء.
الخطوة 2: قم بإنشاء مفتاح DKIM لنطاق الاسم المستعار الخاص بك وانشر المفتاح العام في DNS
إذا كانت خدمة الاسم المستعار الخاص بك تعيد توقيع رسائل البريد الإلكتروني، فأنت بحاجة إلى محدد DKIM. بالنسبة لـ AWS SES، يمكنك إنشاء مفتاح DKIM في وحدة تحكم SES وإضافة سجل CNAME. بالنسبة لـ Cloudflare Email Routing، يتم التعامل مع DKIM تلقائيًا إذا كنت تستخدم قواعد التوجيه الخاصة بهم. إذا كنت تستضيف بنفسك، فاستخدم OpenDKIM لإنشاء مفتاح 2048 بت وأضف سجل TXT مثل default._domainkey.example.com مع المفتاح العام.
الخطوة 3: ابدأ بنهج DMARC بقيمة p=none لمراقبة المحاذاة
قم بتعيين p=none وأضف عنوان بريد إلكتروني rua لتلقي تقارير DMARC المجمعة. تحقق من التقارير بحثًا عن حالات فشل المحاذاة. بمجرد أن ترى أن جميع رسائل البريد الإلكتروني المشروعة تجتاز SPF وDKIM، قم بتشديد النهج إلى p=quarantine وفي النهاية p=reject. الجدول الزمني النموذجي هو أسبوعان عند p=none، وأسبوعان عند p=quarantine، ثم p=reject بشكل دائم.
تحافظ GridInbox على قابلية التوصيل عن طريق إعادة توقيع رسائل البريد الإلكتروني بمفتاح DKIM الخاص بنطاقك وتوجيهها عبر بنية تحتية للإرسال عالية السمعة.
GridInbox هي خدمة SaaS متعددة المستأجرين لإدارة الأسماء المستعارة للبريد الإلكتروني تتعامل مع تعقيد إعادة التوجيه نيابة عنك. عندما ترسل بريدًا إلكترونيًا عبر اسم مستعار في GridInbox، تقوم المنصة بإعادة توقيع البريد الإلكتروني بمفتاح DKIM الخاص بنطاقك وإرساله عبر AWS SES، الذي يتمتع بسمعة قوية خاصة به. يتضمن سجل SPF خوادم SES، لذلك يتم الحفاظ على المحاذاة. بالنسبة للبريد الوارد، تحافظ GridInbox على توقيع DKIM الأصلي للمرسل ولا تقوم بتعديل النص، لذلك لا تزال الردود المعاد توجيهها إليك تجتاز التوثيق.
هذا يعني أنه يمكنك استخدام أسماء مستعارة غير محدودة على النطاقات المخصصة، وإعداد صناديق وارد مشتركة للفريق مع وصول قائم على الأدوار، وعدم القلق أبدًا بشأن انخفاض قابلية التوصيل. تتيح لك REST API أتمتة إنشاء الأسماء المستعارة وإدارتها. تعمل GridInbox مع كل من AWS SES وCloudflare Email Routing، مما يمنحك المرونة في البنية التحتية للبريد الإلكتروني الخاص بك.
أرقام حقيقية: تسبب الأسماء المستعارة المهيأة بشكل خاطئ انخفاضًا بنسبة 40-60% في وضع صندوق الوارد، بينما تحقق الأسماء المستعارة المهيأة بشكل صحيح أكثر من 95% من قابلية التوصيل.
أظهرت بيانات من دراسة أجرتها 250ok عام 2024 أن النطاقات التي تحتوي على SPF أو DKIM معطلين على رسائل البريد الإلكتروني المعاد توجيهها شهدت متوسط معدل وضع في صندوق الوارد بنسبة 38%، مقارنة بـ 96% للنطاقات ذات التهيئة الصحيحة. وجدت دراسة أخرى أجرتها Return Path (المعروفة الآن باسم Validity) أن رسائل البريد الإلكتروني التي تفشل في محاذاة DMARC كانت أكثر عرضة بنسبة 8 مرات لوضع علامة عليها كبريد عشوائي. هذه الأرقام متسقة عبر الصناعات: التجارة الإلكترونية، والبرمجيات كخدمة، والمنظمات غير الربحية، جميعها تشهد انخفاضات مماثلة عندما تكون الأسماء المستعارة مهيأة بشكل خاطئ.
الخلاصة واضحة. البريد الإلكتروني المستعار لا يضر بقابلية التوصيل بطبيعته. التهيئة المحيطة به هي التي تفعل ذلك. استثمر الوقت في إعداد SPF وDKIM وDMARC بشكل صحيح، أو استخدم خدمة تقوم بذلك نيابة عنك. وضع صندوق الوارد الخاص بك يعتمد على ذلك.
الأسئلة الشائعة
هل استخدام البريد الإلكتروني المستعار يضر بقابلية التوصيل؟
يمكن للبريد الإلكتروني المستعار أن يضر بقابلية التوصيل إذا كانت خدمة إعادة التوجيه تكسر محاذاة SPF أو DKIM أو DMARC. الأسماء المستعارة المهيأة بشكل صحيح والتي تعيد توقيع رسائل البريد الإلكتروني وتحافظ على المحاذاة تحقق نفس قابلية التوصيل مثل الإرسال من نطاقك الأساسي.
كيف أقوم بإعداد SPF للبريد الإلكتروني المستعار؟
أضف نطاق IP الخاص بالخادم المرسل أو آلية التضمين إلى سجل SPF الخاص بنطاقك. على سبيل المثال، إذا كنت ترسل عبر AWS SES، أضف include:amazonses.com. بالنسبة لـ Cloudflare Email Routing، أضف include:_spf.mx.cloudflare.net.
هل يمكنني استخدام DKIM مع البريد الإلكتروني المستعار؟
نعم، لكن يجب على خدمة الاسم المستعار إعادة توقيع البريد الإلكتروني بمفتاح DKIM الخاص بنطاقك بعد إعادة التوجيه. إذا كانت الخدمة لا تعيد التوقيع، فسوف يتلف توقيع DKIM الأصلي ويفشل البريد الإلكتروني في التوثيق.
ما نهج DMARC الذي يجب أن أستخدمه للأسماء المستعارة للبريد الإلكتروني؟
ابدأ بـ p=none لمراقبة المحاذاة، ثم انتقل إلى p=quarantine وأخيرًا p=reject بعد التأكد من أن جميع رسائل البريد الإلكتروني المستعارة المشروعة تجتاز SPF وDKIM. لا تقم أبدًا بتعيين p=reject دون اختبار أولاً.
هل الاسم المستعار المدمج في Gmail يضر بقابلية التوصيل؟
نعم، الاسم المستعار المدمج في Gmail (الذي تقوم بإعداده في إعدادات Gmail) يكسر محاذاة SPF لأن البريد الإلكتروني يتم إرساله من خوادم Gmail ولكن نطاق From هو نطاقك المخصص. هذا يسبب مشاكل في قابلية التوصيل، خاصة للنطاقات ذات سياسات DMARC الصارمة.
ما هي أفضل خدمة بريد إلكتروني مستعار من حيث قابلية التوصيل؟
تم تصميم GridInbox لتحقيق أقصى قابلية للتوصيل. تقوم بإعادة توقيع رسائل البريد الإلكتروني بمفتاح DKIM الخاص بك، وتوجيهها عبر AWS SES للحصول على سمعة عالية، وتدعم سجلات SPF المخصصة. كما تعمل مع Cloudflare Email Routing للمرونة.
Start Managing Email Smarter — Free 开始更智能地管理邮件——免费 Gestiona el Email de Forma Más Inteligente — Gratis Gérez Votre Email Plus Intelligemment — Gratuit より賢いメール管理を始めよう — 無料 Verwalte E-Mails Intelligenter — Kostenlos Gerencie Email de Forma Mais Inteligente — Grátis 더 스마트하게 이메일 관리 시작 — 무료 Начните управлять Email умнее — Бесплатно ابدأ إدارة البريد الإلكتروني بذكاء — مجاناً
GridInbox gives you unlimited email aliases, custom domain support, team shared inboxes, and a full REST API — all on the free plan. No credit card needed. GridInbox 提供无限邮件别名、自定义域名支持、团队共享收件箱和完整 REST API——免费版即可使用。无需信用卡。 GridInbox te ofrece aliases ilimitados, dominio personalizado, bandejas compartidas y API REST — todo en el plan gratuito. Sin tarjeta de crédito. GridInbox vous offre des alias illimités, un domaine personnalisé, des boîtes partagées et une API REST complète — tout dans le plan gratuit. GridInboxは無制限のエイリアス、カスタムドメイン、チーム共有受信箱、REST APIを無料プランで提供。クレジットカード不要。 GridInbox bietet unbegrenzte E-Mail-Aliase, Custom Domain, Team-Postfächer und REST API — alles im kostenlosen Plan. GridInbox oferece aliases ilimitados, domínio personalizado, caixas compartilhadas e API REST — tudo no plano gratuito. GridInbox는 무제한 이메일 별칭, 커스텀 도메인, 팀 공유 받은편지함, REST API를 무료 플랜으로 제공합니다. GridInbox предлагает неограниченные псевдонимы, кастомный домен, командные ящики и REST API — всё в бесплатном плане. يوفر GridInbox عناوين مستعارة غير محدودة ونطاقاً مخصصاً وصناديق مشتركة وAPI كاملة — كل ذلك في الخطة المجانية.
Get Started Free → 免费开始使用 → Comenzar Gratis → Commencer Gratuitement → 無料で始める → Kostenlos Starten → Começar Grátis → 무료로 시작하기 → Начать Бесплатно → ابدأ مجاناً →