DKIM
DKIM 是什么?
DKIMRFC 6376 定义的邮件认证标准,发送方域名为外发邮件附加加密签名,以便接收方验证邮件头和正文未被篡改。
DKIM (DomainKeys Identified Mail) 由 RFC 6376 规定。发送方 MTA 对选定的邮件头(通常包括 From、Subject、Date)和正文生成 RSA 或 Ed25519 签名,并在邮件中插入 DKIM-Signature 头,声明签名域名 (d=) 与选择器 (s=)。接收方从 selector._domainkey.d.example.com 的 TXT 记录获取公钥并验证签名。DKIM 在大多数转发链路中仍能保持有效,并为 DMARC 提供与 From: 对齐的加密标识。密钥治理尤为重要:应使用 2048 位 RSA 或 Ed25519、定期轮换选择器、淘汰旧密钥,并用 HSM/KMS 保护私钥,否则泄露的密钥可被攻击者用于伪造邮件。
● 示例
- 01
外发邮件服务器使用选择器 s1 与 d=example.com 对营销邮件签名,从而与 DMARC 对齐。
- 02
通过先发布新选择器、再下线旧选择器的方式轮换 DKIM 密钥,避免验证中断。
● 常见问题
DKIM 是什么?
RFC 6376 定义的邮件认证标准,发送方域名为外发邮件附加加密签名,以便接收方验证邮件头和正文未被篡改。 它属于网络安全的 网络安全 分类。
DKIM 是什么意思?
RFC 6376 定义的邮件认证标准,发送方域名为外发邮件附加加密签名,以便接收方验证邮件头和正文未被篡改。
DKIM 是如何工作的?
DKIM (DomainKeys Identified Mail) 由 RFC 6376 规定。发送方 MTA 对选定的邮件头(通常包括 From、Subject、Date)和正文生成 RSA 或 Ed25519 签名,并在邮件中插入 DKIM-Signature 头,声明签名域名 (d=) 与选择器 (s=)。接收方从 selector._domainkey.d.example.com 的 TXT 记录获取公钥并验证签名。DKIM 在大多数转发链路中仍能保持有效,并为 DMARC 提供与 From: 对齐的加密标识。密钥治理尤为重要:应使用 2048 位 RSA 或 Ed25519、定期轮换选择器、淘汰旧密钥,并用 HSM/KMS 保护私钥,否则泄露的密钥可被攻击者用于伪造邮件。
如何防御 DKIM?
针对 DKIM 的防御通常结合技术控制与运营实践,详见上方完整定义。
DKIM 还有哪些其他名称?
常见的别称包括: DomainKeys Identified Mail。
● 相关术语
- network-security№ 333
DMARC
RFC 7489 定义的邮件认证标准,域名所有者可发布策略告诉接收方如何处理 SPF/DKIM 失败或不对齐的邮件。
- network-security№ 1076
SPF(发件人策略框架)
RFC 7208 定义的邮件认证机制,允许域名所有者在 DNS 中公开授权使用其域名作为信封 MAIL FROM 的 IP 地址或主机。
- network-security№ 095
BIMI
一项邮件标准,在支持的客户端中为通过认证的邮件展示经过验证的品牌徽标,前提是该域名启用 quarantine 或 reject 的 DMARC 策略。
- attacks№ 375
电子邮件欺骗
伪造邮件头使邮件看似来自可信发件人,通常用于钓鱼、欺诈或投递恶意软件。
- network-security№ 955
S/MIME
IETF 标准,使用由公共或企业 CA 签发的 X.509 证书对 MIME 邮件进行端到端签名与加密。
- network-security№ 984
安全邮件网关
位于网络边界或云端的服务,在邮件抵达用户邮箱前过滤入站和出站邮件中的垃圾邮件、钓鱼、恶意软件、数据泄漏和违规行为。
● 参见
- № 058ARC(已认证接收链)
- № 819PGP
- № 446GnuPG (GPG)
- № 452灰名单
- № 336DNS 黑名单 (DNSBL)