我可以在没有DKIM的情况下设置DMARC吗？

阅读时间 6 分钟

答案是肯定的，您可以在没有 DKIM 的情况下配置DMARC。

但这样做是个好主意吗？

这篇文章探讨了这个问题。并讨论了在没有DKIM的情况下配置DMARC的后果。

了解DMARC认证标准

DMARC是一个协议，允许你对来自你的域名的电子邮件进行认证。它使用一套规则来确定一个电子邮件是否合法。

SPF和DKIM是另外两个协议，在DMARC的背景下被用于认证目的。

SPFSPF是发件人策略框架的缩写--它规定了邮件提供商如何验证发件人的身份并阻止垃圾邮件。

DKIMDKIM是DomainKeys Identified Mail的缩写，它的工作原理是在邮件发送时对其进行加密，然后在邮件到达目的地服务器时使用公钥加密技术对其再次签名。

DMARC、SPF和DKIM- 结合起来，构成了电子邮件认证的三大支柱。它们确保你的电子邮件不被第三方伪造、篡改或入侵。

DMARC评估算法 

DMARC评估算法是一个布尔值，考虑到SPF和DKIM的认证结果。之后，它决定是否接受一个电子邮件为合法的。

其结果取决于两种可能的结果。

1.通过。该邮件要么同时通过SPF和DKIM认证，要么只通过其中一项。所以它被认为是干净的。并因此被接收服务器接受。

将 "通行证 "认证算法放入简单的方程式中。

DMARC 验证通过 = 具有有效 SPF 标识符对齐的 SPF 记录 +/or 具有有效 DKIM 标识符对齐的 DKIM 记录

或者（当DKIM缺失时）。

DMARC认证通过=具有有效的SPF标识符对齐的SPF记录

或（当SPF缺失时）。

DMARC认证通过=具有有效的DKIM标识符排列的DKIM记录

2.失败。该邮件未能通过SPF和DKIM认证检查，表明它要么是畸形的，要么含有恶意内容。

我可以在没有DKIM的情况下设置DMARC吗？

DMARC在以下三种情况下通过。

1. 有效的SPF和DKIM都在那里
2. 没有DKIM的有效SPF是有的
3. 没有SPF的有效DKIM是有的

因此，您可以在没有 DKIM 的情况下设置 DMARC。

DMARC建立在SPF和DKIM的基础上，用于认证目的，但它们是正交的技术。

在一般意义上，SPF 是一种 "路径授权 "机制，这意味着它允许一个 IP 代表一个特定的域来发送消息。另一方面，DKIM是一种 "内容完整性 "机制，这意味着它确保你发送的东西在到达服务器时不会改变。

这意味着它们的有效性并不依赖彼此；它们可以平行使用，甚至可以独立使用。

然而，建议你将 SPF 和 DKIM 与 DMARC 一起使用，因为它们共同提供了更强大的 DMARC 认证能力。不使用DKIM的DMARC，虽然有可能，但不建议采用。 

电子邮件客户端如何对待没有DKIM的电子邮件？

大多数电子邮件客户将没有DKIM的电子邮件视为垃圾邮件。

在某些情况下，这可能导致邮件被接收者的电子邮件服务器标记为垃圾邮件。

一些电子邮件服务提供商也可能向收件人显示你的邮件来自与你预期不同的域名。

例如，在Outlook和Gmail中，你的邮件如果没有DKIM，就会在收件人的收件箱中显示正确的FROM地址，但却是由其他人 "发送 "或 "通过"。

这可能会让收件人感到困惑，甚至可能导致他们认为是别人而不是你给他们发的信息。

例子#1（Outlook）

图1没有DKIM：Outlook在收件人的收件箱中显示 "发送人 "地址。

图2使用DKIM: Outlook只显示FROM地址。

例子 #2 (Gmail)

图3没有DKIM：Gmail在收件人的收件箱中显示 "通过 "地址。

图4使用DKIM：Gmail只显示FROM地址。

不过，如果你的电子邮件中存在DKIM，上述的问题就不可能发生。发送服务器不再显示在客户的屏幕上，所以进入垃圾邮件或垃圾文件夹的机会较少。而且他们唯一掌握的信息是FROM地址--这意味着对于那些通过电子邮件营销策略寻找客户的发送公司来说，信任系数很高。

设置有DKIM的DMARC和无DKIM的DMARC的后果

设置带有DKIM的DMARC可以帮助防止你的电子邮件被垃圾邮件过滤器标记并被阻止。

然而，在没有DKIM的情况下设置DMARC可能会导致误报的增加，以及收件人试图验证发件人的电子邮件地址时的延迟。

在这一节中，我们将看一下设置有DKIM的DMARC和没有DKIM的DMARC可能产生的一些后果。

1.验证电子邮件信任时

仅仅使用基于SPF的方法，DMARC保护将被限制在看不见的 "信封发件人 "地址（MAIL FROM或Return-path）。这些地址用于接收发件人的退信（非递送报告）。

然而，当DKIM与SPF结合时，DMARC的保护是针对 "标题From: "地址以及那些对收件人可见的地址。因此，与单独使用SPF的DMARC相比，提供了更多的电子邮件信任感。

2.转发邮件时

SPF 认证的工作原理是，向另一台服务器发送一封包含你的 SPF 记录（你想发送邮件的服务器的 IP 地址）的邮件。然后，其他服务器会验证这个 IP 地址是否在他们那里注册，并返回他们自己的 SPF 记录--如果他们没有，他们会拒绝这个请求。

现在在电子邮件转发的情况下，SPF认证可能会失败，因为不能保证中间服务器的IP地址在发送域的SPF列表中。因此，一个没有DKIM签名的合法邮件 DKIM签名的合法邮件将无法通过DMARC认证，从而导致错误的结果。

如果在这个域上配置了DKIM，就不会出现假阴性。

但为什么呢？

DKIM签名(d=)附在电子邮件正文本身，而SPF则附在 "返回路径 "头。

在电子邮件转发的情况下，电子邮件的正文没有被触及或修改，因此电子邮件正文中包含的DKIM签名（d=）保持不变。这意味着发件人的身份可以通过邮件正文中包含的公钥和私钥对进行验证，并通过DMARC认证。

另一方面，SPF被附加到 "Return-Path "头，在电子邮件转发的情况下，该头会改变。因此，它的有效性没有得到验证，导致了假的否定。

总而言之，SPF认证由于邮件转发而失败，但DKIM却能在邮件转发中幸存下来，因为它是附在邮件正文中的。因此，用DKIM设置DMARC也是很重要的。

3.更新IP地址时

当你发送电子邮件时，接收服务器会检查电子邮件的标题，看看它是否被篡改过。如果有，那么接收服务器就会拒绝你的邮件，并向你发送通知。

这就是SPF的作用。SPF检查你的IP地址是否在发送服务器的SPF记录中被列为有效地址（换句话说，没有被欺骗的IP地址）。

如果你的 IP 地址发生了变化，那么你的 SPF 记录就需要更新为新的地址。这需要的时间取决于你改变你的IP地址的频率--大多数情况下，新的SPF记录需要48小时才能生效。

那么，如果你的电子邮件提供商在他们的范围内增加了一个新的IP，会发生什么呢？在这种情况下，由于SPF记录更新的传播时间，你的邮件发送可能会被延迟。

然而，一旦你同时配置了DKIM和SPF，你就可以通过使用DKIM的加密签名来证明sender@yourdomain.com 的邮件服务器被授权发送，从而绕过这个问题。

这意味着，即使他们的IP范围改变了，DKIM仍然能够验证来自某些域名的电子邮件是真实合法的。

使用没有DKIM的DMARC：可能的OK/FAIL情况

当你使用DKIM和SPF机制时，你实际上是使用两种不同的工具来实现同一个目标：防止欺骗。

它们都是独立工作的，但它们也可以独立失败。例如，SPF可以独立于DKIM而失效，而DKIM也可以独立于SPF而失效。

下面是在没有或没有DKIM的情况下设置DMARC的四种可能的OK/FAIL情况。

 

场景	意义	电子邮件发送状态
SPF可以，DKIM可以	它确保电子邮件是从合法来源发送的。该服务器被授权发送邮件，因为它有一个有效的SPF记录和一个有效的DKIM签名。	在收件箱中送达
SPF可以，DKIM失败	这意味着该邮件是由一个授权的服务器交付的，但其DKIM签名验证失败。	在垃圾邮件或垃圾文件夹中发送的信息
SPF失败，DKIM正常	这意味着该邮件的DKIM签名是有效的，但发送服务器没有交付该邮件的授权。	在垃圾邮件或垃圾文件夹中发送的信息
SPF失败，DKIM失败	如果SPF和DKIM都失败了，那么一封邮件就会被认为是被欺骗的，并且会被任何收件人的支持DMARC的邮件服务器拒绝。	未送达/被拒绝

全面实施DMARC是当务之急!

SPF 和 DKIM 是最常用的电子邮件保护机制，用于实施适当的DMARC 记录以防止电子邮件被欺骗。在您现有的电子邮件基础架构中应用适当的 DMARC 实施后，您的电子邮件信息就会按照预期的方式发送。这意味着垃圾邮件投诉更少，黑名单中的误报率更低，所有订阅者的送达统计也会更好。

PowerDMARC提供完整的 的服务。实施服务，为您的域名创建DKIM、SPF和DMARC策略。因此，帮助你从你的电子邮件中获得更可靠的结果。

生成 DKIM 记录在线生成 免费 DMARC 试用版为复杂多变的电子邮件安全世界提供完整的解决方案。