现代域名实战:从注册商选择到 DNS、SPF/DKIM/DMARC 全配置
买个域名 10 块钱,听起来很简单。但同一个域名在不同注册商续费可能差 5 倍;DNS 记录少配一条邮件全进垃圾箱;多年用下来才发现转出注册商要交 60 美金……
域名是所有互联网项目的基石。选错注册商、用错 DNS、配错邮箱认证——这三个坑几乎每个搞自建服务的人都踩过。
这篇文章把"我买了个域名之后该干什么"从头到尾讲清楚:注册商怎么选、DNS 各种记录怎么配、邮箱反垃圾铁三角(SPF + DKIM + DMARC)一次搞定、最后聊聊 DNSSEC 和域名安全。
域名注册商横评
主流注册商对比
| 注册商 | .com 续费价 | 隐私保护 | 转出收费 | 总体评价 |
|---|---|---|---|---|
| Cloudflare Registrar | $9.77(成本价) | 免费 | 免费 | ⭐⭐⭐ 长期持有首选 |
| Porkbun | $10.37 | 免费 | 免费 | ⭐⭐⭐ 体验好,国内访问慢 |
| Namecheap | $14.58 | 免费 | 免费 | ⭐⭐ 老牌,常有优惠码 |
| Name.com | $12.99 | $9/年 | 免费 | ⭐⭐ 中规中矩 |
| GoDaddy | $21.99 | $9.99/年 | 免费 | ⭐ 续费贵,套路多 |
| 阿里云万网 | ¥75 (~$10) | 国内默认实名 | 复杂 | ⭐⭐ 国内合规需求时用 |
| 腾讯云 DNSPod | ¥80 (~$11) | 同上 | 复杂 | ⭐⭐ 同上 |
价格是 2026 年初参考值,请以官网实时为准。Cloudflare Registrar 承诺永远以批发价(near-wholesale)续费——不加价、不涨价,这一点其他家做不到。
我的推荐策略
国际项目 / 个人长期持有:
- 在 Namecheap / Porkbun 注册(新注册首年常有 $1-3 优惠)
- 60 天注册商锁定期过后,转移到 Cloudflare Registrar(一辈子最便宜的续费)
国内业务需要 ICP 备案:
阿里云万网 / 腾讯云 DNSPod。备案完成后域名不能轻易转出,规划时想清楚。
选注册商关注哪些维度
| 维度 | 关键点 |
|---|---|
| 价格 | 不只是首年——续费价、转入价、隐私保护是不是默认免费 |
| 转出政策 | 是否免费、是否方便(GoDaddy 经常卡很久) |
| WHOIS 隐私 | 是否默认开启、是否额外收费 |
| DNS 解析 | 是否含免费 DNS(不重要,直接用 Cloudflare DNS 就好) |
| 安全功能 | Registry Lock、双因子认证 |
| 管理界面 | 控制台是否易用、API 是否完善 |
Cloudflare Registrar 的几个限制(避坑):
- 不接受新注册,只能从其他注册商转入
- 必须把 DNS 托管到 Cloudflare
- 不支持所有 TLD(.com/.org/.net/.io 等主流都支持)
DNS 记录类型全梳理
最基础的 6 种
| 类型 | 作用 | 示例 |
|---|---|---|
| A | 域名 → IPv4 | example.com → 1.2.3.4 |
| AAAA | 域名 → IPv6 | example.com → 2001:db8::1 |
| CNAME | 域名 → 另一个域名 | www.example.com → example.com |
| MX | 邮件服务器 | example.com → mx.mail.com |
| TXT | 任意文本(最常用于验证) | example.com → "v=spf1 ..." |
| NS | 名称服务器 | example.com → cf.dns.com |
进阶常用
| 类型 | 作用 |
|---|---|
| SRV | 服务发现(如 SIP、Minecraft、Matrix) |
| CAA | 限制哪些 CA 能为域名签证书 |
| PTR | IP → 域名反向解析(邮件服务器必备) |
| DNSKEY / DS | DNSSEC 相关 |
| ALIAS / ANAME | 根域名的 CNAME 替代(部分 DNS 商支持) |
CNAME 的两个坑
坑 1:根域名不能用 CNAME
example.com(根域名 / apex)只能用 A/AAAA 记录指向 IP,不能用 CNAME。要把根域名指向另一个域名,需要:
- 用 DNS 商提供的 ALIAS / ANAME / Flattening CNAME(Cloudflare 的 CNAME Flattening 自动处理)
- 或者直接用 A 记录指 IP
坑 2:CNAME 不能和其他记录共存
www.example.com 配了 CNAME,就不能再配 MX/TXT——这是 RFC 强制的。如果你需要给子域名同时配邮件和 Web,要么用 A 记录、要么把邮件挂到根域名。
DNS 解析提供商对比
域名注册商和 DNS 解析商可以分开——这是新手的盲点。注册在 A 家,DNS 托管在 B 家,完全没问题。
| 服务商 | 免费版 | 性能 | 国内表现 | 推荐度 |
|---|---|---|---|---|
| Cloudflare DNS | ✅ 无限制 | 全球 Anycast 顶级 | 一般(联通好) | ⭐⭐⭐ 默认选择 |
| DNSPod(腾讯) | ✅ 基础够用 | 国内最强 | 国内最优 | ⭐⭐⭐ 中国大陆首选 |
| 阿里云 DNS | ✅ | 国内强 | 国内优 | ⭐⭐ 配合阿里云生态 |
| Route 53 | ❌ ($0.5/zone/月) | 全球强 | 一般 | ⭐⭐ AWS 生态 |
| Google Cloud DNS | ❌ ($0.4/zone/月起) | 全球强 | 差 | ⭐ GCP 生态 |
| NSOne | ❌ | 顶级 | 一般 | ⭐⭐ 企业级智能解析 |
推荐组合:
- 国际业务:注册在 Cloudflare,DNS 用 Cloudflare
- 国内业务:注册在阿里云/腾讯云,DNS 用 DNSPod
- 混合:注册在 Cloudflare(便宜),DNS 用 DNSPod(国内快)——注册商不强制绑定 DNS
邮件反垃圾铁三角:SPF + DKIM + DMARC
如果你用域名发邮件(无论是自建邮箱、Mailgun/SendGrid、还是从应用发通知邮件),不配齐这三项一定进垃圾箱。Gmail 2024 年开始更严格——发件量大的域名没配 DMARC 直接拒收。
SPF(Sender Policy Framework)
作用:声明"哪些 IP/服务器有资格代表我这个域名发邮件"。
DNS 加一条 TXT 记录在根域名:
字段含义:
| 部分 | 含义 |
|---|---|
v=spf1 | 版本号,固定 |
include:_spf.google.com | 信任 Google Workspace 的发件 IP |
include:mailgun.org | 信任 Mailgun |
ip4:1.2.3.4 | 信任这个具体 IP |
-all | 其他来源全部硬拒绝(最严格,推荐) |
~all | 软失败(不拒绝,标记为可疑) |
?all | 中立(不推荐) |
SPF 有 10 次 DNS 查询的硬限制——每个 include 算一次。配多了会全部失效。include:_spf.google.com 自己内部就有 4 层查询,要规划好预算。
DKIM(DomainKeys Identified Mail)
作用:用公私钥签名邮件,证明邮件没被中途篡改。
由邮件服务商生成密钥对,公钥放到你的 DNS,私钥在他们服务器上签邮件。
以 Google Workspace 为例:
- Workspace 控制台 → 应用 → Gmail → 身份验证电子邮件
- 生成新记录(默认 1024 位,建议改 2048)
- 拿到 selector 和公钥,加 DNS 记录:
google._domainkey 中的 google 是 selector——不同服务商用不同 selector,可以并存(一个域名同时配多个 DKIM 没问题)。
DMARC(Domain-based Message Authentication)
作用:告诉收件方"SPF/DKIM 验证失败的邮件该怎么处理",并要求收件方把验证报告寄给你。
最小配置:
字段含义:
| 字段 | 含义 |
|---|---|
v=DMARC1 | 版本号 |
p=none | 策略:none=只观察 / quarantine=进垃圾箱 / reject=直接拒收(最终目标) |
rua=mailto:... | 聚合报告寄到这里(每天一份 XML) |
ruf=mailto:... | 失败报告(可选,量大) |
pct=100 | 应用策略到 100% 的邮件(可灰度) |
渐进升级路径:
- 第一周:
p=none(只看报告不动邮件) - 看报告确认自己合法发件全部通过 SPF/DKIM
- 第二个月:
p=quarantine; pct=10灰度 - 慢慢加到
p=quarantine; pct=100 - 一切正常后升级到
p=reject; pct=100
DMARC 报告很难肉眼看,用免费服务 postmark / dmarcian / Cloudflare DMARC Management 自动聚合分析。
BIMI(可选锦上添花)
DMARC 跑到 p=reject 后可以配 BIMI——让 Gmail/Apple Mail 在收件箱直接显示你的品牌 Logo。需要购买 VMC 证书($1000+/年),适合品牌邮件。
DNS 实战:从买完域名到全部就绪
假设你买了 example.com,要部署:
- 主站
example.com指向 1.2.3.4 - API
api.example.com指向 5.6.7.8 - Cloudflare Pages 部署
app.example.com - Google Workspace 邮箱
- Vercel 部署
blog.example.com
DNS 记录全集:
域名安全
1. 启用注册商账户的 2FA
Namecheap/Porkbun/Cloudflare 都支持。强烈推荐用硬件 Key(YubiKey)而不是短信。
2. 启用 Registry Lock
普通域名锁定只防误操作,Registry Lock 是域名注册局级别的锁——任何转出/修改 NS 都需要人工电话确认。少数注册商支持(Cloudflare Enterprise / MarkMonitor),重要域名值得。
3. 启用 DNSSEC
防止 DNS 劫持/缓存投毒——给 DNS 响应签名。
Cloudflare 上一键启用,注册商那边配上对应的 DS 记录即可:
- Cloudflare DNS 设置 → 启用 DNSSEC,复制 DS 记录
- 注册商控制台 → DNSSEC 选项 → 粘贴 DS 记录
- 等 24 小时全球生效
启用后浏览器/解析器会拒绝伪造的 DNS 响应。
4. WHOIS 隐私保护
默认开启。让 WHOIS 查询看不到你的真实姓名/邮箱/电话——避免被垃圾邮件、社工攻击。
5. 自动续费 + 多次提前提醒
域名忘记续费被抢注是真事。检查:
- ✅ 自动续费已开
- ✅ 注册商邮箱是常用邮箱(很多人用了一个不再用的邮箱)
- ✅ 续费支付方式(信用卡)未过期
- ✅ 关键域名打开多年续费(5 年/10 年)
调试与排查
查 DNS 记录
或者直接用站内 DNS 查询工具——可视化更直观。
全球解析检测
DNS 修改后全球生效需要时间。用:
- dnschecker.org:50+ 节点同时查
- whatsmydns.net:同上
SPF/DKIM/DMARC 验证
- mxtoolbox.com:综合检查邮件配置
- mail-tester.com:发邮件到他们的地址,立即得分 + 详细报告
邮件被退还/进垃圾箱
按以下顺序查:
- SPF/DKIM/DMARC 三件套是否齐全(mxtoolbox 全绿)
- 发件 IP 是否在黑名单(mxtoolbox 也能查)
- 是否有 PTR 反向解析(自建邮件服务器尤其重要)
- 邮件内容是否含敏感词
总结
域名 + DNS 看起来是"前置基础设施",但配置质量直接决定整个互联网项目的可用性和安全性:
| 关键决策 | 选择 |
|---|---|
| 注册商 | Namecheap 首年 → 第二年转 Cloudflare |
| DNS 解析 | 国际:Cloudflare;国内:DNSPod |
| 根域名指 IP 还是别的域名 | A 记录或 CNAME Flattening |
| 邮件配置 | SPF + DKIM + DMARC 三件套(DMARC 渐进到 reject) |
| 域名安全 | 2FA + DNSSEC + WHOIS 隐私 + 多年续费 |
记住三个不要:
- 不要在 GoDaddy 长期持有域名(续费贵)
- 不要只配 SPF 不配 DMARC(2024 后 Gmail 严格了)
- 不要忘了 CAA 记录(防止任意 CA 给你的域名签证书)
工具组合:用站内的 DNS 查询工具 验证记录是否生效,用 IP 查询工具 确认解析到的 IP 正确——配合 mxtoolbox 这种邮件专项工具,覆盖 95% 的域名运维场景。