Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 367

DKIM

审核人Cybersecurity entrepreneur & security researcher

DKIM 是什么?

DKIMRFC 6376 定义的邮件认证标准,发送方域名为外发邮件附加加密签名,以便接收方验证邮件头和正文未被篡改。


DKIM (DomainKeys Identified Mail) 由 RFC 6376 规定。发送方 MTA 对选定的邮件头(通常包括 From、Subject、Date)和正文生成 RSA 或 Ed25519 签名,并在邮件中插入 DKIM-Signature 头,声明签名域名 (d=) 与选择器 (s=)。接收方从 selector._domainkey.d.example.com 的 TXT 记录获取公钥并验证签名。DKIM 在大多数转发链路中仍能保持有效,并为 DMARC 提供与 From: 对齐的加密标识。密钥治理尤为重要:应使用 2048 位 RSA 或 Ed25519、定期轮换选择器、淘汰旧密钥,并用 HSM/KMS 保护私钥,否则泄露的密钥可被攻击者用于伪造邮件。

示例

  1. 01

    外发邮件服务器使用选择器 s1 与 d=example.com 对营销邮件签名,从而与 DMARC 对齐。

  2. 02

    通过先发布新选择器、再下线旧选择器的方式轮换 DKIM 密钥,避免验证中断。

常见问题

DKIM 是什么?

RFC 6376 定义的邮件认证标准,发送方域名为外发邮件附加加密签名,以便接收方验证邮件头和正文未被篡改。 它属于网络安全的 网络安全 分类。

DKIM 是什么意思?

RFC 6376 定义的邮件认证标准,发送方域名为外发邮件附加加密签名,以便接收方验证邮件头和正文未被篡改。

如何防御 DKIM?

针对 DKIM 的防御通常结合技术控制与运营实践,详见上方完整定义。

DKIM 还有哪些其他名称?

常见的别称包括: DomainKeys Identified Mail。

相关术语

另见