防丢，防忘，以后还可能用得着。
微软功能确实多，弄的太杂乱了，好卡啊……
防止以后又找不见，记录一下。
以下用微软365的E5订阅为例。
如果有错误请立刻指正，加鸡腿~

完成本文之后……

你的自建邮箱的……

外发邮件，被当作垃圾邮件的概率降低。除非你自己作死群发推广，那神仙也救不了。
信誉度上升
安全性上升
防伪能力上升

假设

你的域名是 example.com
微软给的默认域名是 e5.onmicrosoft.com
你的域名邮箱是 i@example.com

在开始之前……

如果你的域名在CF，一切都会方便得多，CF已经把电子邮件所需的东西直观地列出来了。
只需要 登录仪表板，选择域名，单击左边菜单栏的“DNS”，下拉选择“设置”，下划页面，转到“电子邮件安全”，单击“配置”按钮。
我已经弄好了，DMARC、SPF、DKIM分别显示为“隔离、软失败、是”

这是什么？

一句话概括：防止垃圾邮件，防止伪造。
以下描述抄自微软官方教程：

SPF：

SPF 帮助验证从你的自定义域发送的出站电子邮件（是否来自所其显示地址）。
SPF TXT 记录是 DNS 中的记录，它通过识别域中发件人发送的有效邮件源来帮助防止欺骗和钓鱼。 SPF 根据发送域的可疑所有者来验证发件人的 IP 地址，从而验证电子邮件的来源。

CF的描述：

说人话就是反炸

DKIM：

DKIM 电子邮件身份验证的目标是证明邮件的内容没有被篡改。
确保目标电子邮件系统信任从自定义域发送的出站邮件。

CF的描述：

DKIM 将公钥添加到您的 DNS 中，供电子邮件接收者验证您的传出签名电子邮件。

防伪。

DMARC：

DMARC 电子邮件身份验证的目标是确保 SPF 和 DKIM 信息与发件人地址匹配。
DMARC 确保目标电子邮件系统信任从你的域发送的邮件。 将 DMARC 与 SPF 和 DKIM 配合使用可为组织提供更多保护，防止欺骗和网络钓鱼电子邮件。 DMARC 可帮助接收邮件系统决定如何处理来自你的域中未通过 SPF 或 DKIM 检查的邮件。

CF的描述：

如何处理垃圾

---

开启SPF

1. 打开域名控制台（如Cloudflare）
2. 为主域名添加TXT记录：
   如果完全托管在 Office 365 中（即没有本地邮件服务器）的话，解析：
   @ TXT解析到 v=spf1 include:spf.protection.outlook.com -all
   @ 代表根域名 example.com。

这是最常见的 SPF TXT 记录。 此记录几乎适用于每个人。
如果是子域名发信，也需要为每个子域创建单独的记录，因为子域不会继承其顶级域的 SPF 记录。
如
*.example.com  TXT解析到 v=spf1 include:spf.protection.outlook.jp -all

这个只包括了完全托管在日本的微软服务器，其他地方发出去可能也不被承认。
添加子域名，以防止攻击者发送声称来自不存在的子域的电子邮件。

这样会【拒绝】验证失败的电子邮件。 为了防止误杀，可以把all前面的-改成~
如v=spf1 include:spf.protection.outlook.com ~all
含义：从未列出的服务器发送的电子邮件应会被接受，但可能会被标记为垃圾邮件或不安全。

---

开启DKIM

1. 登录微软E5（或者其他订阅）账号

2. 使用浏览器访问 https://security.microsoft.com/dkimv2

3. 单击要操作的域名，如果没有出现，请在主页->域添加。

4. 单击“创建DKIM”密钥，过一会会蹦出一个窗口，要求你添加两条CNAME解析。

5. 登录到域名解析控制台，比如Cloudflare，添加如下记录。

记录：
selector1._domainkey.example.com CNAME解析到 selector1-example-com._domainkey.e5.onmicrosoft.com
selector2._domainkey.example.com CNAME解析到 selector2-example-com._domainkey.e5.onmicrosoft.com

6. 等待10分钟解析传播后，回到DKIM管理界面，打开为此域的邮件签上 DKIM 签名。
   
   OK，搞定。

如果看到 CNAME 记录不存在错误，则可能是由于：

与 DNS 服务器同步，这可能需要几秒钟到几个小时。如果问题仍然存在，请重复这些步骤
检查是否有任何复制粘贴错误，如额外的空格或选项卡等。

开启 DMARC

Microsoft 的 DMARC TXT 记录如下所示：

_dmarc.microsoft.com. 3600 IN TXT "v=DMARC1; p=none; pct=100; rua=mailto:d@rua.contoso.com; ruf=mailto:d@ruf.contoso.com; fo=1"

1. 为入站邮件设置：
   不用管，微软帮你分类好了。

2.为出站（外发）邮件设置：
由于微软的挺复杂，而CF有图形化界面，

登录CF控制台，点开域名，控制面板单击“电子邮件”，下拉DMARC管理，
添加 DMARC 记录，开始获取 DMARC 报告。
这条是CF的，让她帮你跟踪【代表你发送电子邮件的第三方】。
。
注意：目前，DMARC 管理不支持子域。您只能将此功能用于您的区域顶级域。

_dmarc.example.comTXT解析到v=DMARC1; p=quarantine; rua=mailto:i@example.com
rua：你用来接收报告的邮箱是 i@example.com
p：收件人服务器对未通过身份验证的电子邮件采取的操作是：隔离（标记为垃圾邮件）
（拒收： p=reject；什么也不做： p=none ）

---

发件测试

拿微软客户端给你的 鸡没有（Gmail）发一封，然后登录Gmail电脑版，单击邮件右边的三个点，选择【显示原始邮件】，查看报告：

图片已PS，显示的IP是局域网IP。

全部通过，只要你不作死发真正的垃圾邮件，基本上不会被送进垃圾箱了。
QQ邮箱和QQ企业邮箱等奇葩除外，新邮箱往过发，第一封百分百进垃圾箱，原封不动发一遍就是重要邮件，绷不住了。