DKIM是一种验证邮件来源的机制。它使用公钥加密技术对你的电子邮件内容进行签名,这样,任何收到电子邮件的人都可以检查它在传输过程中是否被篡改。你的TXT记录名称的DKIM记录语法是selector._domainkey.example.com.在我们的例子中,选择者是DKIM-signer,这意味着我们要为域名example.com签名。
什么是DNS DKIM记录?
DKIM记录是你的DNS(域名系统)中的一个条目,它告诉其他邮件系统你希望你的邮件如何被验证。它包括诸如你的记录名称、你希望记录存续的时间以及你想使用的密钥等信息。
如果一个发件人想用DKIM认证向你发送电子邮件,他们会对他们的信息生成一个加密的哈希值。然后,他们在发送邮件时将这个加密代码作为邮件头的一部分,这样收件人就可以验证该邮件在离开发件人的服务器后是否被篡改过。
DKIM是如何认证电子邮件的?
DKIM使用公钥加密技术,用自己的私钥对每封发出的电子邮件进行数字签名,然后由接收服务器用其公钥进行验证。签署过程中会添加一个 DKIM签名头字段,其中包括电子邮件的源域和目的域的信息,以及原始邮件正文的哈希值和其他一些关于如何加密和签名的细节。
然后,接收服务器使用其公钥对该信息进行解码,并将其与它为这些域所缓存的任何签名进行比较,以验证它们是否匹配。
分解DKIM记录语法
让我们首先以DKIM记录为例。
记录名称 | 类型 | TTL | 记录值 |
选择器._domainkey.example.com | TXT | 3600 | v=DKIM1;p=QUFBQUIzTnphQzF5YzJFQUFBQURBUUFCQUFBQWdRQ1kwK3piQ0NlSURzOHYvYTQrMmhNNktxdjhYdEFJRXBpNjFFTEVXMVB0UmpSbkMrTm1FcFhvNUhuR1FPZFRXTGhYUFZVN0d5VWRUYUFVQ01pWEtrUDJHVXFVbHRQRXdvZU5QQVVQU09xQTg2Z1c3Q3o5dEh3czBTalp3alllMUxNWWxHVEQ3SjhJQnpCS2dVMmp5ZFJvVGEzbEp1N1l3czZiU1BMclFoN24wUT09IA== |
记录名称。DKIM记录语法中的名称字段由两部分组成:一个是 DKIM选择器和一个域。选择器是一个唯一的字符串,用于识别发送域,并在 DKIM 查询期间帮助定位在该域的 DNS 上发布的公钥,它在所有 DKIM 签署域中必须是唯一的。域名是你的DNS记录的地址。
记录类型。这个字段指的是你的DKIM记录语法的资源类型。它可以是 TXT
(文本)记录,它也可以是一个 CNAME(canonical name) 记录,这取决于您的供应商。
TTL:记录的生存时间,以秒为单位,是指记录在过期或被刷新之前在每个会话中保持有效的时间。
值。最后,DKIM值是你的公钥,与你的私钥(你邮件标题中的签名密钥)相匹配,以验证你的邮件。
揭开DKIM邮件头的面纱
v=DKIM1; a=rsa-sha256;
d=example.com; s=s1;
h=from:to:subject;
bh=YzJFQUFBQURBUUFCQUFBQWdRQ1kwK3piQ0NlSURzOHYvYTQ=;b=AptMld5a1djOUJva1hKWjBkYys5MW5FVXNYRUNvSXJZK0pSdGhVaDRDekNjZ2dEQWJ6RFl1QmVWNkgvN3l1M3drdVllSjVjK0gKSHdKQUtzSk1NNDNBZzdLUERXNFZ0K0lqa3pXWStKck56b3UvalFQbGk1M3MxVTF2c0krOElFSW80ci9xM3ZHd3crc2xOdmRjCkc5L1hnZWlvajJMaktJaHN5QT09Ci0tLS0tRU5EIFJTQSBQUklWQVRFIEtFWS0tLS0tCg==
DKIM标签 | 描述 |
v | 正在使用的DKIM的版本。该值始终为1,这是使用中的最新版本。 |
d | 电子邮件发件人的域名 |
h | 用于制定DKIM签名的电子邮件标题(邮件来自:邮件到:和主题标题)。 |
bh | DKIM正文哈希值(bh=标签)是正文哈希的实际值,它是从邮件正文中计算出来的。这个值会被储存在经过DKIM签名的邮件中的一个特殊格式的标题中。主体哈希值被用来证明邮件在被DKIM签名后没有被修改过。 |
b | 你的DKIM数字签名,包含你的DKIM私钥。 |
DKIM签名是一个数字签名(b=标签),可用于验证电子邮件的真实性,以及其内容。
如何用正确的DKIM记录语法创建DKIM记录?
为了确保你创建的记录具有正确的DKIM记录语法,你可以使用我们的 DKIM记录生成器工具生成一个免费的记录。
输入你选择的选择器和域名,然后点击生成按钮,创建你的自定义DKIM私人和公共密钥对。
请注意,要保护您的组织免受网络钓鱼和欺骗攻击,您需要配置一个 DMARC 分析器和 DKIM。DMARC 可帮助您根据电子邮件验证协议调整域名,并指导电子邮件接收方如何处理不良电子邮件!
- MSP 案例研究:Hubelia 利用 PowerDMARC 简化客户端域安全管理- 2025 年 1 月 31 日
- 2025 年 MSP 的 6 大 DMARC 解决方案- 2025 年 1 月 30 日
- 身份验证协议在保持数据准确性方面的作用- 2025 年 1 月 29 日