电子邮件的DKIM：它是什么，它如何工作以及如何添加它

我们将介绍什么是电子邮件的DKIM，您的公司为什么需要它，它如何工作，如何设置DKIM以及防止电子邮件欺骗攻击的其他方法。

// 什么是DKIM //

首先，让我们说明一下电子邮件中的DKIM。DomainKeys Identified Mail是一种使用数字“签名”对您的电子邮件进行签名的技术，因此您的客户知道这实际上是您发送的那些电子邮件，并且它们在传输过程中没有被更改。

// 为什么DKIM很重要 //

DKIM帮助改善电子邮件的可传递性，并与发件人策略框架（SPF）和基于域的消息身份验证，报告和一致性（DMARC）配合使用，以防止电子邮件欺骗。

那些欺诈者发送的电子邮件，看起来好像是使用伪造的发件人地址从其他账号发送的。例如，欺诈者可能会向您的员工发送似乎来自您的CEO的电子邮件；欺诈者还可能会向您的客户发送似乎来自您的电子邮件。

通过这样做，欺诈者可以诱使人们发送敏感信息，包括账号密码和财务信息等。电子邮件欺骗可用于网络钓鱼，鱼叉式网络钓鱼和商业电子邮件入侵攻击。

在可传递性方面，某些邮件接收服务器希望电子邮件具有SPF和/或DKIM签名。而缺少这些的电子邮件可能被视为可疑邮件，如果未将其彻底阻止，则会被标记为垃圾邮件。所以，DKIM还可以提高您发送的电子邮件的到达率。

// DKIM如何工作 //

DKIM使用非对称加密来生成公钥和私钥对。公钥在发送域的DNS中作为特殊TXT记录发布。私钥用于为每封电子邮件创建自有的签名。

使用您的私钥和电子邮件的内容，安全算法将生成的签名作为电子邮件标题的一部分。

当出站邮件服务器发送邮件消息时，服务器将生成的DKIM签名标头并将其附加到该邮件。此标头包括两个加密哈希，一个是指定的标头，另一个是消息正文的至少某些部分之一。DKIM标头还包含有关签名生成方式的信息。

当SMTP服务器在标头中收到带有这种签名的电子邮件时，服务器会向发送域的DNS询问公钥TXT记录。使用公共密钥，接收服务器将能够验证电子邮件是否实际上是从该域名发送的，并且在传输过程中没有被更改。

如果检查失败或签名不存在，则接收邮件的服务提供商可能会将电子邮件标记为垃圾邮件，或者完全阻止发件人的IP地址。

// 如何设置DKIM记录 //

您需要：

1.在电子邮件服务器上安装DKIM软件包
2.创建公钥和私钥对
3.创建DKIM TXT记录以发布DKIM选择器和您的公共密钥
4.测试您的DKIM设置，以确保DKIM正常运行
到这里您的DNS中将拥有一个DKIM记录，如下所示：
<选择器（s =）._ domainkey.domain（d =）>。TXT v = DKIM1; （p =）<公钥>

具体来说，DKIM记录包含以下标记：
· s =与域名一起使用以在DNS中定位公钥的选择器记录名称
· d = DKIM记录所关联的域名
· v =签名规范的版本
· p =公钥

例如，这是我们corp-email.com的DNS DKIM的记录：

当您将DKIM记录发布到DNS时，可能仍需要几天的时间才能生效。但是也要注意：尽管DKIM绝对有帮助，但它不会自行停止所有电子邮件欺骗。您可以采取其他步骤来补充DKIM，或者在某些情况下与DKIM结合使用。

除了DKIM，添加SPF，DMARC将进一步帮助防止电子邮件欺骗并提高电子邮件的高投递率。