在使用Synology MailPlus（含MailPlus Server和Mail Server）搭建企业或个人邮件服务器时，DNS记录配置是决定邮件能否正常收发、是否被标记为垃圾邮件的关键。若缺少A记录，外部邮件服务器找不到你的MailPlus服务器；没有MX记录，邮件会不知路由到哪里；而SPF、DKIM等验证记录缺失，发送的邮件极易被收件方判定为欺骗邮件并拦截。本文结合Synology官方指南，从“DNS与MailPlus的配合原理”入手，逐一拆解6类核心DNS记录的作用、配置步骤与示例，确保你的MailPlus服务器能稳定收发邮件，同时建立良好的邮件信誉。

一、DNS与Synology MailPlus的核心配合逻辑

在开始配置前，需先明确DNS如何为MailPlus“铺路”——它不仅是“域名到IP的翻译器”，更是邮件身份验证的“通行证”，具体逻辑如下：

1. DNS的基础作用：让邮件找到服务器

当外部用户（如user@other.com）向你的MailPlus服务器（如admin@example.com）发送邮件时，流程分两步：

1. 对方邮件服务器先查询`example.com`的MX记录，知道“处理该域邮件的服务器是mail.example.com”；

2. 再查询`mail.example.com`的A记录，获取对应的IP地址（如93.184.216.34），最终通过该IP连接你的MailPlus服务器并投递邮件。

2. 验证类DNS记录：防范欺骗与垃圾邮件

除了“找服务器”，SPF、DKIM、DMARC、TLSA这4类记录用于验证邮件身份，避免你的域名被伪造发送垃圾邮件，同时确保你能正常接收外部邮件：

- SPF记录：告诉收件方“哪些服务器有权代表example.com发邮件”；

- DKIM记录：给每封 outgoing 邮件加数字签名，收件方能验证邮件是否被篡改；

- DMARC记录：指定收件方如何处理未通过SPF/DKIM验证的邮件（如隔离、拒绝）；

- TLSA记录：让外部服务器验证你的MailPlus服务器的TLS证书，确保加密通信安全。

3. 配置前提：准备工作

在配置DNS记录前，需完成2项准备：

1. 安装MailPlus服务：在Synology NAS的「套件中心」安装MailPlus Server（推荐）或Mail Server，并完成基础设置（如添加域名example.com）；

2. 获取域名与DNS管理权限：拥有一个已备案的域名（如example.com），且能登录域名服务商的DNS管理后台（如阿里云DNS、腾讯云DNS、Cloudflare）。

二、分步配置：MailPlus所需的6类DNS记录

以下按“基础路由记录→身份验证记录→安全加密记录”的顺序，详细讲解每类记录的配置方法，包含作用、格式、示例与操作步骤：

1. 记录1：A记录（域名映射IP，必备）

作用

将“邮件服务器子域名”（如mail.example.com）映射到你的Synology NAS的公网IP地址，让外部服务器能通过域名找到NAS的实际位置。

配置步骤（通用操作，以阿里云DNS为例）

1. 登录域名服务商的DNS管理后台，找到你的域名（如example.com），点击「添加记录」；

2. 填写记录信息（不同服务商界面类似，核心字段一致）：

- 记录类型：选择「A」；

- 主机记录（Name）：填写“mail”（表示配置mail.example.com的A记录，若留空则为example.com的A记录，不推荐）；

- TTL：建议设为86400秒（1天，TTL越短，DNS解析生效越快，首次配置可设300秒即5分钟，生效后改回86400）；

- 记录值（IP地址）：填写Synology NAS的公网IP（若NAS在局域网，需先配置端口映射，确保25/465/587等邮件端口能被外部访问）；

3. 点击「保存」，等待DNS生效（通常5-30分钟，可通过ping mail.example.com验证是否解析到正确IP）。

示例

| 记录类型 | 主机记录 | TTL   | 记录值（IP）       | 说明                     |

|----------|----------|-------|--------------------|--------------------------|

| A        | mail     | 86400 | 93.184.216.34      | mail.example.com映射到该IP |

2. 记录2：MX记录（邮件路由，必备）

作用

指定“哪些服务器负责接收example.com的邮件”，并设置服务器优先级（数字越小优先级越高，支持多服务器容错）。

配置步骤

1. 在DNS管理后台点击「添加记录」，记录类型选择「MX」；

2. 填写核心字段：

- 主机记录（Name）：留空（表示对example.com生效，若填“mail”则仅对mail.example.com生效，错误）；

- TTL：设为86400秒；

- 优先级（Priority）：填写10（单服务器场景推荐10，若有备用服务器可设20）；

- 记录值（Host/Domain）：填写之前配置的A记录子域名“mail.example.com.”（注意末尾必须加“.”，部分服务商自动添加，需确认）；

3. 保存后，可通过「MX查询工具」（如MXToolbox）验证，输入example.com应显示“优先级10，目标mail.example.com”。

示例

| 记录类型 | 主机记录 | TTL   | 优先级 | 记录值               | 说明                     |

|----------|----------|-------|--------|----------------------|--------------------------|

| MX       | （空）   | 86400 | 10     | mail.example.com.    | example.com的邮件由该服务器接收 |

3. 记录3：SPF记录（防发件欺骗，推荐）

作用

通过TXT记录形式，告诉收件方“只有指定IP的服务器能代表example.com发邮件”，防止他人伪造你的域名发送垃圾邮件。

核心语法（必懂）

SPF记录是包含固定标签的字符串，核心标签如下：

| 标签   | 含义与值                          | 示例                          |

|--------|-----------------------------------|-------------------------------|

| `v`    | SPF版本，固定为spf1               | `v=spf1`                      |

| `ip4`  | 授权发件的服务器IPv4地址          | `ip4:93.184.216.34`           |

| `all`  | 未授权服务器的处理策略：
- `-all`：拒绝并丢弃（推荐）
- `~all`：允许但标记可疑 | `-all`                        |

配置步骤

1. 添加「TXT」类型记录，主机记录留空（对example.com生效）；

2. TTL设为86400秒；

3. 记录值（Information）：按语法填写，需用英文引号包裹，示例： 

`"v=spf1 ip4:93.184.216.34 -all"` 

（表示“只有93.184.216.34的服务器能代表example.com发邮件，其他服务器的邮件直接拒绝”）；

4. 保存后，用SPF查询工具验证，确保无语法错误。

注意

若你的MailPlus服务器有多个公网IP，需在`ip4`后追加，如`ip4:93.184.216.34 ip4:93.184.216.35 -all`。

4. 记录4：DKIM记录（邮件数字签名，推荐）

作用

在每封从MailPlus发出的邮件上附加“数字签名”，收件方通过查询你的DKIM记录验证签名，确认邮件未被篡改且确实来自你的域。

配置步骤（分2步：生成密钥→配置DNS）

步骤1：在MailPlus中生成DKIM公钥

根据使用的服务不同，生成路径略有差异：

- 若用MailPlus Server： 

1. 登录DSM，打开「MailPlus Server」； 

2. 进入「域」→选中你的域名（如example.com）→点击「编辑」； 

3. 切换到「常规」→「高级」，找到“DKIM”，点击「生成」（密钥长度推荐2048位）； 

4. 生成后，复制“公钥”（一串长字符，不含空格）和“选择器前缀”（如abc，自定义或默认）。

- 若用Mail Server： 

1. 打开「Mail Server」→「安全性」→「验证」； 

2. 找到DKIM设置，生成公钥并复制。

步骤2：在DNS中添加DKIM TXT记录

1. 添加「TXT」类型记录，主机记录填写“选择器前缀._domainkey”（如abc._domainkey）； 

2. TTL设为86400秒； 

3. 记录值：格式为`"v=DKIM1; k=rsa; p=公钥"`，其中“公钥”替换为步骤1复制的内容，示例： 

`"v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCqGKukO1De7zhZj6+H0qtjTkVxwTCpvKe4eCZ0FPqri0cb2JZfXJ/DgYSF6vUpwmJG8wVQZKjeGcjDOL5UlsuusFncCzWBQ7RKNUSesmQRMSGkVb1/3j+skZ6UtW+5u09lHNsj6tQ51s1SPrCBkedbNf0Tp0GbMJDyR4e9T04ZZtCzwQIDAQAB"`；

4. 保存后，可在MailPlus Server的「域→编辑→高级」中点击「验证」，确认DKIM记录生效。

5. 记录5：DMARC记录（统一验证策略，推荐）

作用

告诉收件方“如何处理未通过SPF和DKIM验证的邮件”，并指定接收邮件流量报告的邮箱，帮助你监控域名是否被滥用。

核心语法

DMARC记录也是TXT类型，包含以下核心标签：

| 标签         | 含义与值                          | 示例                          |

|--------------|-----------------------------------|-------------------------------|

| `v`          | DMARC版本，固定为DMARC1           | `v=DMARC1`                    |

| `p`          | 未验证邮件的策略：
- `p=none`：仅监控（推荐初期用）
- `p=quarantine`：隔离到垃圾邮件箱
- `p=reject`：直接拒绝 | `p=none`                      |

| `pct`        | 策略覆盖的邮件百分比（100=全部）  | `pct=100`                     |

| `rua=mailto` | 接收汇总报告的邮箱                | `rua=mailto:postmaster@example.com` |

配置步骤

1. 添加「TXT」类型记录，主机记录填写“_dmarc”（固定前缀，生成_dmarc.example.com的记录）； 

2. TTL设为86400秒； 

3. 记录值：按语法填写，示例（初期监控用）： 

`"v=DMARC1; p=none; pct=100; rua=mailto:postmaster@example.com"`； 

4. 保存后，建议先使用`p=none`运行1-2周，查看接收的报告确认无正常邮件被拦截，再逐步改为`p=quarantine`或`p=reject`。

6. 记录6：TLSA记录（TLS证书验证，可选）

作用

若外部邮件服务器启用DANE（DNS-based Authentication of Named Entities），会通过TLSA记录验证你的MailPlus服务器的TLS证书，确保邮件传输过程中加密不被劫持。

配置步骤（分2步：生成TLSA记录→配置DNS）

步骤1：生成TLSA记录

有两种生成方式，推荐用MailPlus内置工具：

1. 打开「MailPlus Server」→「安全性」→「验证」→「DANE」； 

2. 选择“端口”（默认25，SMTP加密端口465对应`_465._tcp`），点击「生成TLSA记录」； 

3. 生成后，复制“记录名称”（如_25._tcp.mail.example.com）和“证书关联数据”（一串十六进制字符）。

步骤2：在DNS中添加TLSA记录

1. 添加「TLSA」类型记录（部分服务商需在“高级记录”中找到）； 

2. 主机记录填写生成的前缀（如_25._tcp.mail，域名example.com自动拼接，形成_25._tcp.mail.example.com）； 

3. TTL设为86400秒； 

4. 填写TLSA核心字段（按生成结果填写）：

- Usage（用途）：通常为3（DANE-EE，域颁发证书）；

- Selector（选择器）：通常为1（使用主题公钥）；

- Matching type（匹配类型）：通常为1（SHA-256哈希）；

- Certificate（证书数据）：粘贴生成的十六进制字符；

5. 保存后，通过DANE验证工具确认记录正确。

三、配置后的验证与常见问题解决

配置完所有记录后，需验证是否生效，同时应对可能出现的问题：

1. 验证方法（3个实用工具）

- MXToolbox：输入域名example.com，可一次性检查MX、SPF、DKIM、DMARC记录是否正确；

- MailPlus Server自检：进入「MailPlus Server」→「状态」→「连接测试」，发送测试邮件并查看日志；

- telnet测试：在本地电脑打开命令提示符，输入`telnet mail.example.com 25`，若能连接，说明A记录和端口映射正常。

2. 常见问题与解决方案

| 常见问题                | 原因分析                                  | 解决方案                                  |

|-------------------------|-------------------------------------------|-------------------------------------------|

| 外部邮件发不进来        | 1. MX记录未生效；2. NAS端口25被运营商屏蔽 | 1. 等待DNS生效（30分钟）；2. 改用465端口（SMTPs），并在MX记录中指定端口（如mail.example.com:465） |

| 发送的邮件被标记为垃圾邮件 | 1. 缺少SPF/DKIM记录；2. IP在黑名单中      | 1. 补全SPF/DKIM记录；2. 在MXToolbox查询IP是否在黑名单，联系服务商移除 |

| DKIM验证失败            | 1. 公钥复制错误；2. 选择器前缀填写错误    | 1. 重新复制公钥，确保无空格/换行；2. 确认DNS主机记录是“选择器前缀._domainkey” |

四、关键注意事项（避坑要点）

1. DNS生效时间：新配置的记录通常需5-30分钟生效，部分服务商可能延迟1小时，耐心等待后再验证；

2. 端口映射：若NAS在局域网，需在路由器中配置端口映射（开放25/465/587/993等邮件端口，指向NAS的局域网IP）；

3. 本地DNS同步：若使用Synology Directory Server作为本地DNS，需在本地DNS视图中同步上述记录，避免内部邮件验证失败；

4. 策略循序渐进：DMARC策略从`p=none`开始，逐步过渡到`p=quarantine`，避免一开始就拒绝正常邮件。

总结

Synology MailPlus的DNS配置核心是“先通路由，再做验证”——A记录和MX记录确保邮件能找到服务器，SPF/DKIM/DMARC构建身份验证体系，TLSA增强加密安全。按本文步骤逐一配置后，不仅能解决邮件收发问题，还能大幅降低邮件被标记为垃圾邮件的概率。

为了帮你快速核对配置，我可以帮你整理一份《Synology MailPlus DNS配置 Checklist》，包含6类记录的“配置要点、示例代码、验证方法”，你只需对照勾选，就能确保无遗漏，是否需要？