Entry № 367
DKIM
DKIM 是什么?
DKIMRFC 6376 定义的邮件认证标准,发送方域名为外发邮件附加加密签名,以便接收方验证邮件头和正文未被篡改。
DKIM (DomainKeys Identified Mail) 由 RFC 6376 规定。发送方 MTA 对选定的邮件头(通常包括 From、Subject、Date)和正文生成 RSA 或 Ed25519 签名,并在邮件中插入 DKIM-Signature 头,声明签名域名 (d=) 与选择器 (s=)。接收方从 selector._domainkey.d.example.com 的 TXT 记录获取公钥并验证签名。DKIM 在大多数转发链路中仍能保持有效,并为 DMARC 提供与 From: 对齐的加密标识。密钥治理尤为重要:应使用 2048 位 RSA 或 Ed25519、定期轮换选择器、淘汰旧密钥,并用 HSM/KMS 保护私钥,否则泄露的密钥可被攻击者用于伪造邮件。
● 示例
- 01
外发邮件服务器使用选择器 s1 与 d=example.com 对营销邮件签名,从而与 DMARC 对齐。
- 02
通过先发布新选择器、再下线旧选择器的方式轮换 DKIM 密钥,避免验证中断。
● 常见问题
DKIM 是什么?
RFC 6376 定义的邮件认证标准,发送方域名为外发邮件附加加密签名,以便接收方验证邮件头和正文未被篡改。 它属于网络安全的 网络安全 分类。
DKIM 是什么意思?
RFC 6376 定义的邮件认证标准,发送方域名为外发邮件附加加密签名,以便接收方验证邮件头和正文未被篡改。
如何防御 DKIM?
针对 DKIM 的防御通常结合技术控制与运营实践,详见上方完整定义。
DKIM 还有哪些其他名称?
常见的别称包括: DomainKeys Identified Mail。