DKIM记录格式、配置示例及签名验证

已于 2024-07-19 08:43:59 修改
阅读量885 收藏 28
点赞数 31
文章标签: 电子邮件 邮件安全 DKIM
于 2024-07-18 08:47:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sdexcel/article/details/140511902
版权

1. 什么是DKIM

DomainKeys Identified Mail (DKIM) 是一种电子邮件验证系统,旨在帮助接收邮件服务器确定某个电子邮件是否真的由声称拥有其发件人地址的域所授权并发送。DKIM通过使用公钥密码学和数字签名技术来增强电子邮件的安全性和可靠性。

2. DKIM工作原理

2.1 密钥生成与存储:

  • 发送域首先生成一对公钥和私钥。私钥保留在邮件服务器上,并用于签署即将发出的邮件。
  • 公钥则作为DKIM记录存储在发送域的DNS记录中,通常是以TXT类型的DNS记录形式存在。

2.2 邮件签署:

  • 当邮件从授权的服务器发出时,邮件服务器会使用私钥对邮件的部分或全部内容(通常是邮件头和主体的一部分)进行加密签名。
  • 这个签名被添加到邮件头部的DKIM-Signature字段中,包含了一系列标识符(比如d=域名、s=选择器、bh=散列摘要、b=签名数据等)。

2.3 邮件验证:

  • 当邮件到达接收方邮件服务器时,服务器会提取DKIM-Signature头信息,并查找与邮件中标识的域名和选择器相对应的DKIM记录。
  • 接收方邮件服务器从DNS中获取到相应的公钥后,使用该公钥对邮件签名进行解密验证。

如果数字签名验证通过,则表明邮件内容在传输过程中未被篡改,并且邮件的确是从声称的域名授权的服务器发送的。

3. DKIM记录

DKIM记录的格式是在DNS(Domain Name System)中以TXT类型的资源记录形式存在的,它包含了公开可用的DKIM公钥和其他相关参数,以便邮件接收服务器能够验证发送自特定域名的电子邮件的真实性。DKIM记录的核心组成部分包括以下几个部分:

selector._domainkey.domain.tld.  TTL   IN    TXT   "v=DKIM1; k=rsa; p=base64_public_key"

selector:

这是一个可自定义的选择器,用于区分同一域名下可能有的多个DKIM密钥对。选择器通常代表一个特定的邮件服务器或服务,使得同一个域名下的不同邮件流可以用不同的DKIM密钥进行签名。selector需要配置到邮件系统上,不同品牌的邮件系统配置方法不同。

_domainkey:

这是一个固定的子域名前缀,用来标识这是一个DKIM相关的DNS记录。

domain.tld:

指的是要验证的域名,即邮件声称的发件人地址所属的域名。例如,如果发件人为user@example.com,那么这里将是example.com。

TTL:

Time To Live,生存时间,指定DNS记录在缓存中的有效时间(以秒为单位),在此期间其他DNS服务器无需重新查询记录。

IN:

Internet 类型,表明这是一个互联网资源记录。

TXT:

表明这是一个文本记录类型。

“v=DKIM1; k=rsa; p=base64_public_key”:

这是一个字符串值,其中包含了DKIM记录的具体参数:

  • v: 版本号,这里是DKIM1,指DKIM协议版本1。
  • k: 密钥类型,此处的rsa表示使用RSA算法的公钥。
  • p: 公钥本身,它是私钥对应的公钥,经过Base64编码后的字符串形式,邮件服务器可以通过这个公钥验证邮件头部携带的DKIM签名。

此外,DKIM TXT记录还可能包含其他参数,如:

  • t=:签名时间戳选项。
  • s=:服务类型选项,用于限定签名的应用范围。
  • h=:签名头列表,列出哪些邮件头会被纳入签名计算中。
  • g=:公钥管理规范(GUA)选项,指向另一个URI,可用于更新公钥信息。

DKIM签名实际应用时,邮件头部会有DKIM-Signature字段(下文会做介绍),其中的d=(domain)、s=(selector)等标签与DNS中的DKIM TXT记录对应,共同完成邮件的身份验证过程。

4. DKIM配置示例

4.1 生成密钥

在Linux系统,可以通过openssl命令分别生成公钥和私钥。生成私钥命令示例如下,生成的私钥需要配置到邮件系统上(具体配置方法需要咨询邮件系统厂商):

[root@localhost tmp]# openssl genrsa -out rsa.private 1024
Generating RSA private key, 1024 bit long modulus.................++++++........................++++++e is 65537 (0x10001)

生成公钥命令示如下,生成的公钥需要配置到域名的DNS记录中:

[root@localhost tmp]# openssl rsa -in rsa.private -out rsa.public -pubout -outform PEM# 下面命令是列出公钥信息
[root@localhost tmp]# cat rsa.public 
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDDATePPt6HZkegPZq3Rt5EJzl3
tVV8VEC3TroXsw11mf/JKXGETYtnjm08unmnjkemIGPKOwnuWCQNR3nEWwYzQAa1
2YXTHVuntqfdohDGlGQB7DHkvTp3R5bw4u16yrkZ816C6pLAXgHtd/YEffoZMehe
gX/upuGfo6yhScgEkQIDAQAB
-----END PUBLIC KEY-----

4.2 配置私钥

私钥需要配置到邮件系统中,具体配置方法需要咨询您的邮件系统提供商。同时,如何启用DKIM功能也需要咨询您的邮件系统提供商。

4.3 配置公钥

公钥需要配置到DNS解析记录中,以mailabc.cn域名为例,在阿里云的域名控制台添加TXT类型的记录,记录值配置如下:

阿里云域名解析界面

其中记录类型为TXT;主机记录为dkim._domainkey,这里的dkim属于自定义的selector;记录值如下,其中p=表示上面生成的公钥。

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDDATePPt6HZkegPZq3Rt5EJzl3tVV8VEC3TroXsw11mf/JKXGETYtnjm08unmnjkemIGPKOwnuWCQNR3nEWwYzQAa12YXTHVuntqfdohDGlGQB7DHkvTp3R5bw4u16yrkZ816C6pLAXgHtd/YEffoZMehegX/upuGfo6yhScgEkQIDAQAB

DNS记录配置完成后,可以通过dig或nslookup查询。以mailabc.cn域名为例,查询结果如下:

[root@localhost tmp]# dig dkim._domainkey.mailabc.cn txt
;; ANSWER SECTION:dkim._domainkey.mailabc.cn. 600 IN      TXT     "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDDATePPt6HZkegPZq3Rt5EJzl3tVV8VEC3TroXsw11mf/JKXGETYtnjm08unmnjkemIGPKOwnuWCQNR3nEWwYzQAa12YXTHVuntqfdohDGlGQB7DHkvTp3R5bw4u16yrkZ816C6pLAXgHtd/YEffoZMehegX/upuGfo6yhScgEkQIDAQAB"

至此,所有配置工作完成。

5. 如何验证邮件启用了DKIM签名?

上文提到当启用DKIM签名时,在信头中会存在DKIM-Signature字段,以t1@mailabc.cn给163.com的邮箱发送邮件为例,在信头中存在如下信息:

启用DKIM签名后的信头

当信头中存在上述签名信息,则表明发信方启用了DKIM签名。

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
  d=mailabc.cn; s=dkim; h=Received:Date:From:To:Subject:
  Content-Type:MIME-Version:Message-ID; bh=u1bnFmVtzdAeVZ2afeXyEnM
  Ns4aUQjMDjQnsu5zkeds=; b=Jk7hVIFXExhLitRylf/MmzlWqB4Lf+zq+Y7/+Pa
  ZGnCkKMNcTjs3DAwcr99vgTlMaVXhKMusDGuC7OVUFAPMyFlnlXbWyXgR/SNdP2Y
  DmpA2TWnJ260aNsgx4a56sR4RSrMBCZG0hZQZ3jeoGdIgI1C7sXlLvgAvouWqSvp
  F3kw=

以上述信头为例,DKIM-Signature内容解释如下:

🔹 v=1: 表示DKIM签名的版本为1。

🔹 a=rsa-sha256: 指定使用的签名算法是RSA加密算法配合SHA-256哈希算法。

🔹 c=relaxed/relaxed: 指定头部canonicalization(规范化)方式。在这个例子中,”relaxed”表示对邮件头部字段的处理方式较为宽松,允许一些非关键字符(如多余的空格、换行符等)被忽略,同时在处理顺序上也可以不严格遵循RFC规定的顺序。

🔹 d=mailabc.cn: 表示该签名关联的域名是mailabc.cn,即邮件声称来自这个域名。

🔹 s=dkim: 表示签名的选择器(selector),用于在DNS中查找对应的DKIM公钥记录。

🔹 h=Received: Date: From: To: Subject: Content-Type: MIME-Version: Message-ID:: 列出了参与签名计算的邮件头部字段,这些字段的内容将被哈希化然后用私钥签名。

🔹 bh=u1bnFmVtzdAeVZ2afeXyEnMNs4aUQjMDjQnsu5zkeds=: 这是一个基于选定头部字段计算得出的哈希摘要,采用的是base64编码。

🔹 b=Jk7hVIFXExhLitRylf/MmzlWqB4Lf+zq+Y7/+PaZGnCkKMNcTjs3DAwcr99vgTlMaVXhKMusDGuC7OVUFAPMyFlnlXbWyXgR/SNdP2YDmpA2TWnJ260aNsgx4a56sR4RSrMBCZG0hZQZ3jeoGdIgI1C7sXlLvgAvouWqSvpF3kw=这是签名数据,也是base64编码后的结果,包含了经过私钥签名的哈希值。当接收邮件服务器收到这封邮件时,会根据d=和s=的值去DNS中查找对应的DKIM TXT记录,获取公钥。然后,服务器会对邮件头部中列出的字段按照同样的方式进行规范化处理,计算出新的哈希值,并利用获取到的公钥验证签名的有效性。如果验证成功,则说明邮件的来源得到了DKIM签名保护,提高了邮件的可信度。

参考来源:DKIM记录格式、配置示例及签名验证|MailABC邮件知识百科

小胡子大魔王
关注
  • 31
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
设置 DKIM 以防止电子邮件遭到篡改
上海云璨的博客
03-10 2899
DomainKeys Identified Mail (DKIM) 是加密邮件验证系统,它能用于防范网络诈骗(伪造他人的邮件地址以假扮不同的邮件发件人)。 不仅如此,因为大多数的垃圾邮件都包含欺骗性地址,因此尽管 DKIM 不是专门设计用于反垃圾邮件的工具,但它们有助于显著减少垃圾邮件DKIM 还能用于确保入站邮件的完整性,或确保邮件从离开签名邮件服务器到送达您的服务器之间中途未被篡改。换言之,有了 DKIM 密码验证系统,接收服务器可以肯定到达的邮件是来自为其签名的服务器,且未以任何方式做过更改。
自建邮箱系统配置DKIM
上海云璨的博客
08-26 4812
DomainKeys Identified Mail(DKIM)是一种开放式协议,用于保护电子邮件用户免受电子邮件地址身份盗窃和电子邮件内容篡改。它通过提供签名者的身份识别以及利用 “哈希” 对邮件内容进行加密来实现这一点。 配置和使用DKIM:自建邮箱系统管理员为服务器创建私钥/公钥对,并在域的域名服务器中发布公钥。发送服务器使用私钥为每个外发邮件创建签名。生成的签名数据存储在消息中的 “DK...
邮件系统DNS解析记录配置示例汇总-MX记录、A记录、SPF记录DKIM记录、DMARC记录
最新发布
sdexcel的专栏
07-13 879
一套邮件系统,当其在公网上为广大用户提供邮件的发送与接收服务时,其核心功能之一即是确保邮件能够准确无误地抵达目标地址。为了实现这一目标,邮件系统不仅需要高效稳定的内部运行机制,更需依赖于外部网络服务的支持,其中DNS服务便是不可或缺的一环。DNS服务不仅负责将人们易于记忆的域名转换为计算机能够理解的IP地址,还在邮件传输过程中扮演着至关重要的角色。本文主要围绕邮件系统可能涉及的DNS记录及其设置方法展开详细阐述。
邮件服务器DNS设置-----MX、SPF、DKIM记录详解
热门推荐
mal327的专栏
08-19 7万+
邮件服务器的DNS设置 DNS记录,需要你到你的域名托管商那里进行设置或者你自己管理DNS服务器。不少域名托管商不支持txt记录或者不支持DKIM记录,所以你就无法使用SPF和DKIM的功能。 DNS的修改,需要48小时以上才能生效。 国内的万网是不支持DKIM,目前新
什么是 DNS DKIM 记录
Hello
10-11 1641
DKIM 记录是专门的 DNS TXT 记录,存储用于验证电子邮件真实性的公钥。
hMailServer 配置DKIM详细步骤教程(含下载安装OpenSSL、VC++2008及相关设置)
老油条
06-24 5121
DKIM,是DomainKeys Identified Mail的缩写。意思是电子邮件验证标准——域名密钥识别邮件标准。 我们可以使用DKIM先加密签名,hMailServer会自动将签名插入至要发的邮件上,此签名会域名关联(域名会设置一个txt记录存放加密公钥)。有签名邮件发送至收件人时,收件人就能通过签名和域名txt记录里的公钥来验证真实性。如果没有DKIM,那么收件方服务器会将邮件标识为垃圾邮件,放入垃圾箱。 啰嗦了一下,下面进入实战。 一、安装Visual C++ 200...
使用 SPF、DKIM 和 DMARC 验证传输您的电子邮件
Hello
07-29 2605
带您了解什么是SPF、DKIM 、DMARC 分别代表着什么?他在电子邮件传输中起到什么作用?原理又是什么?
Domino中和邮件安全有关的SPF、DKIM介绍
XZZ_2018的博客
11-03 527
Domino中和邮件安全有关的SPF、DKIM介绍
dkim-verify:手动验证DKIM签名
05-06
手动验证DKIM签名 tldr:我们收到一封电子邮件,并使用python逐步验证DKIM-Signature。 我们还注意签名本身(RSA)。 RSA部分比原定计划占据更多的位置。 整个源代码可以在找到。 最近,我的DKIM签名出现了问题。 ...
邮件服务器DNS设置(MX、SPF、DKIM)记录详解
07-26
- 收件人在收到邮件后,通过查询DNS中的DKIM记录来获取公钥,并验证数字签名。 - 如果签名验证成功,则邮件被认为是合法的;反之,则可能被视为垃圾邮件。 综上所述,MX、SPF和DKIM记录是确保邮件安全传输的关键...
dkim_verifier:适用于Mozilla Thunderbird的DKIM验证程序扩展
04-29
DKIM验证程序 这是Mozilla Thunderbird的附加组件,可根据RFC 6376验证DKIM签名。 Wiki中的更多信息,为 包含的第三方库 Joshua Tauberer的DNS库(Thunderbird发件人验证扩展的一部分)( ) dns.js-DNS库
Go-go-dkim-一个Go语言的DKIM库用于签名验证电子邮件
08-13
在Go语言环境中,Go-dkim库为开发者提供了便捷的接口来对电子邮件进行签名验证。 **DKIM基础知识** DKIM(DomainKeys Identified Mail)是一种基于公钥加密技术的电子邮件认证标准。它通过在邮件头插入一个由发...
dkim-exchange:适用于Microsoft Exchange Server的DKIM签名代理
05-03
交换DKIM签名者 公告 Stefan(@Pro)已将我Jonathan(@DJBenson)添加到合作者列表中,以便我可以帮助保持此存储库为最新。 我的更改已合并到master分支中,并且为v3.2.2和v3.2.3创建了二进制发行版,从而为Exchange...
邮件安全认证(dkim/spf/dmarc)
mgxcool的专栏
05-12 1013
表示电子邮件服务器应当“隔离”未通过 DKIM 和 SPF 的电子邮件,将它们视为潜在的垃圾邮件。其他可能的设置包括p=none,它允许未通过检查的电子邮件仍然传递,以及p=reject,它指示电子邮件服务器阻止未通过检查的电子邮件。adkim=s意味着 DKIM 检查是“严格的”。将s改为r,即可将其设置为“宽松的”,比如adkim=raspf=s与adkim=s的意义相同,但是针对 SPFsp 用于设定该域名下其他子域名邮箱的策略。
邮件安全DKIM
shc45的博客
12-15 5184
0x1: DKIM邮件发件人身份验证技术实现方式之一,数字签名在其中的应用同时保证了发件人身份可靠以及邮件内容的完整,用于防护发件人欺诈,是拦截垃圾邮件及钓鱼邮件的有效手段。 我们先来看一个DKIM签名,如下: DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=<sender domain>; s=selector1; h=From:Date:Subject:Message-ID:Content-Type:MIME-Vers..
邮件头构造分析
IAMZTDSF的博客
07-05 4252
目录转发 "Resent-":路径字段"Return-Path":“Reply-To":”Received":信息源字段"From/Resent-From":”Sender/Resent-Sender""Reply-To/Resent-Reply-To"“DKIM-Signature :”接受者字段“To/Resent-To”:“Cc/Resent-Cc”:“Bcc/Resent-Bcc”:参考字段“Message-ID/Resent-Message-ID” :“In-Reply-To”“Reference
java mail 签名,如何使用DKIM签名Javamail
weixin_32943857的博客
02-16 682
Is there a library or a way to do this without an external library? I am using apache james as my mail server and currently send email like this:public void sendMessage(String to, String subject, Stri...
C#实现.Net对邮件进行DKIM签名验证,支持附件,发送邮件签名后直接投递到对方服务器(无需己方邮件服务器)...
weixin_33762130的博客
11-11 930
项目地址 github.com/xiangyuecn/… 主要支持 对邮件进行DKIM签名,支持带附件 对整个邮件内容(.eml文件)的DKIM签名进行验证 对MailMessage、SmtpClient进行了一次封装,发送邮件简单易用,进行DKIM签名后直接投递到对方服务器(无需己方邮件服务器) DKIM签名验证规则 对于DKIM签名验证规则,QQ邮箱的《DKIM指引》这个文章已经写的...
域名配置gmail的spf和dkim记录
06-08
配置 Gmail 的 SPF 和 DKIM 记录,您需要在您的域名托管服务中进行以下操作: 1. SPF 记录 在您的域名托管服务中添加以下 SPF 记录: ``` v=spf1 include:_spf.google.com ~all ``` 这个记录将允许 Gmail 发送电子邮件代表您的域名。 2. DKIM 记录配置 DKIM 记录,请按照以下步骤操作: - 登录您的 G Suite 管理员帐户并转到“应用”>“Gmail”>“身份验证”>“域名设置”。 - 点击“显示其他设置”。 - 在“DKIM 签名”下,打开 DKIM 签名。 - 点击“生成新的 DKIM 密钥”。 - 在弹出窗口中,复制 DKIM 密钥。 - 在您的域名托管服务中,添加以下 TXT 记录: ``` google._domainkey.yourdomain.com IN TXT "v=DKIM1; k=rsa; p=<paste the contents of your DKIM key here>" ``` 请注意,您需要将“yourdomain.com”替换为您的实际域名,并将“<paste the contents of your DKIM key here>”替换为您在步骤 5 中复制的 DKIM 密钥。 完成这些步骤后,您的域名就可以使用 SPF 和 DKIM 记录验证 Gmail 发送的电子邮件了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值