什么是ADSP?DKIM中的作者域名签名做法
作者:
阅读时间 4 分钟
ADSP或作者域签名做法是DomainKeys Identified Mail的一个可选的扩展,它使作者域能够指定签名做法。作为一个超集的 DKIM签署策略的一个超集,像这样的签署惯例有助于确定不包含DKIM签名头的邮件的权威。
主要收获
- ADSP 是 DKIM 的可选扩展,允许域指定其签名做法。
- 作者地址对于验证电子邮件发件人域名的真实性至关重要。
- 未知、全部和可丢弃是 ADSP 中的三种可定义签名做法。
- 在 DNS 中发布 ADSP TXT 记录是有效实施签名做法的必要条件。
- DMARC 是一个不断发展的协议,与 ADSP 相比,它在电子邮件验证方面提供了更强的功能。
什么是ADSP?
我们已经讨论过,DKIM是一个安全协议,允许电子邮件发件人对他们的邮件进行加密签名,以确认它们来自正确的域。这使收件人能够验证邮件的真实性,并在传输过程中没有被修改。
有时,当这个签名不存在时,作为DKIM的一个附属品,作者域签署惯例(ADSP)会跳出来评估这些未签署的信息。它的工作方式是在DNS中定义一个记录,其中包含由作者域决定的某些签名做法的指示。
利用 PowerDMARC 简化 ADSP!
相关术语和定义
在我们进入ADSP的操作实务之前,让我们先了解一下与此相关的几个术语。
什么是作者地址?
当你打开一封电子邮件时,在邮件标题的左上方,你会发现发件人:地址。这个地址包含电子邮件发件人(发送域)的电子邮件地址。它也被称为作者地址。这是可见标题的一部分。
不要与包含发件人服务器IP地址信息的Return-path地址相混淆,它是隐藏头的一部分。
什么是作者域名签名?
作者域名签名指的是电子邮件标题中的d=标签,它包含了 DKIM签名用于信息验证。如果签名是有效的,理想情况下,签名头中提到的域名应该与作者地址(From: 头)中的名字相匹配。
如果不匹配,这可能标志着信息在传输过程中被改变,或者发件人的域名被欺骗了。
配置作者域签名做法(ADSP)。
可定义的签名做法的类型
- 未知。 你可以定义一个未知的做法,或者选择什么都不定义,因为它们都有相同的目的。未知指的是一个未公开或未指定的签署规则,提供签署任何数量的电子邮件的灵活性。
- 所有。 这种做法规定,所有的电子邮件都需要用DKIM签名来签署。
- 可丢弃: 与 DMARC 的p=reject类似,可丢弃做法指的是一种强制执行的政策,在这种政策下,不仅源于作者域名的全部邮件都将使用 DKIM 签名,而且如果出现任何失误,接收服务器将拒绝(丢弃)这些邮件。
ADSP TXT记录。定义DNS中的做法
要设置作者域名签名的做法,你需要在你的DNS中发布以下TXT记录。
_adsp._domainkey.yourdomain.com。IN TXT "dkim=discardable"
用发送域名替换yourdomain.com,用你在上面讨论的选项中选择的签署做法替换dkim=值。
免责声明
ǞǞǞ "未知"规范是推荐给那些用户不一定要从属于作者域范围内的特定邮件服务器发送邮件的域的做法。在这种情况下,未知以外的策略将导致认证失败,和/或不需要的信息拒绝。
ADSP和DMARC:绕过ADSP限制的现代解决方案
任何带有免责声明的东西都不能被称为100%的防骗和有效。ADSP虽然是DKIM协议的有效辅助工具,但它有一系列的局限性和复杂性,在最近的时代降低了它的相关性。
绕过这些缺点的一个更好的方法是设置 DMARC.一个现代的、有效的、不断发展的电子邮件认证协议,将帮助你。
- 在DNS中为未能通过DKIM的邮件定义策略 未能通过DKIM
- 配置你想要的执法水平
- 建立一个报告机制,显示认证结果、失败报告和交付问题
需要帮助设置电子邮件安全工具吗?我们可以提供帮助!PowerDMARC 电子邮件身份验证专家团队将通过自动化云平台上的全套工具,帮助您重塑安全态势。立即与我们联系!
域名和电子邮件安全专家PowerDMARC
Yunes 是 PowerDMARC 的运营团队负责人,拥有电子邮件验证和安全方面的专业知识。Yunes 是微软认证的 Azure 管理员助理,并获得了 CompTIA A+ 等认证。
Yunes Tarada 的最新帖子(查看全部)
- 电子邮件加盐攻击:隐藏文本如何绕过安全性- 2025 年 2 月 26 日
- SPF 扁平化:它是什么,为什么需要它?- 2025 年 2 月 26 日
- DMARC 与 DKIM:主要区别及如何协同工作- 2025 年 2 月 16 日
