增强外投邮件的安全性 (DKIM)
提升MTA邮件安全性的三种措施:
-
SPF 帮助 收件服务器 验证 从一个域名发来的邮件是否是从域名所有者授权的服务器发出的
-
DKIM 为每封邮件添加一个电子签名,收件服务器可以通过这个电子签名,来验证 一封邮件是否是伪造的,在传输过程中是否被篡改
-
DMARC 加强了 SPF 核 DKIM 的验证,它允许管理员获取 邮件验证 和 邮件投递 的报告
本文主要讨论 DKIM。
使用 域密钥标识邮件( DomainKeys Identified Mail (DKIM) standard ) ,可以加强对 域名被伪造发件的防范。
邮件伪造,一个邮件实际上不是从一个域名发送出来的,但是内容伪造成是来自这个域名的。伪造是一种常见的未经授权的电子邮件使用方式,因此某些电子邮件服务器需要DKIM来防止电子邮件伪造。
DKIM 在 外投的邮件的邮件头上添加一个 加密的电子签名,收件服务器收到后,使用DKIM 解码文件投,并确认邮件是否被篡改。
DKIM 签名
一个签名长什么样
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=asuswebstorage.com; s=default; t=1572282571; bh=NFzBvJ/pEmf+yUHDd/Y7dYNH9pE+Bx6o95KcxhwFL78=; h=From:To:Subject:From; b=QwgINKqwcBu3GbeWm2Be81qXks6Pq9yMmDZl9C6mT8moXVBeokpEmDN+0RyZFiOmNH30kbe6HbS2lY3b1Pf726UH/V/0VAH0nigTuir4TWdN/IUePV+goQdEJ2+sDQ1fHlVjyyJCRwCiFiZpBIjhTBNN0vrgNJZ/gSLLOvq6k3s=
这里我们找了一个常规的DKIM 签名, 它包含了以下tag:
-
v=1
– the version (always equals to 1) -
a=
– a signing algorithm used for the creation of a DKIM record -
c=
– a canonicalization algorithm for the header and the body -
d=
– a domain where the DKIM is signed -
s=
– a DKIM selector -
t=
– a timestamp of when the