理解SPF和DKIM以提高电子邮件的投递率
鸟
2018年5月11日
电子邮件
1 min read
关键要点
Premise: SPF 和 DKIM 是基础的电子邮件身份验证协议,保护发件人声誉,防止欺骗,并改善收件箱投递。
Goal: 帮助企业了解这些机制的工作原理、其局限性,以及为什么同时实施两者对于改善邮件投递率和客户信任至关重要。
Highlights:
SPF (Sender Policy Framework):
定义哪些邮件服务器被授权为您的域发送电子邮件。
通过将发件人的 IP 地址与发布的 DNS 记录进行验证,帮助防止伪造和网络钓鱼。
Benefits: 增强域名信誉,改善邮件可达性。
Drawbacks: 在消息被转发时可能会中断(除非使用发件人重写方案),并且每当添加新的发送服务时必须更新 SPF 记录。
DKIM (DomainKeys Identified Mail):
使用加密签名验证消息在传输中未修改并实际来自您的域。
Benefits: 防止篡改、欺骗和网络钓鱼,同时加强发件人身份真实性。
Drawbacks: 转发问题和密钥长度过短可能导致验证失败。
How They Work Together:
SPF 检查发送服务器的身份,而 DKIM 验证消息完整性和真实性。
它们共同构建了安全电子邮件身份验证的核心。
Alignment & Deliverability:
域对齐确保您的可见“From”地址与用于 SPF 和 DKIM 验证的域匹配。
对齐的域建立更强的信任信号并提高收件箱投递率。
Practical Tools & Next Steps:
使用 SPF Inspector、SPF Builder 和 DKIM Validator 等工具审核和配置您的记录。
将 SPF 和 DKIM 与 DMARC 和 电子邮件验证结合,以制定完整的邮件投递策略。
对于敏感通信,考虑使用 S/MIME 加密以提供额外保护。
Business Value:
适当的身份验证保护客户免受诈骗,提高发件人声誉,并确保合法的营销和交易电子邮件到达收件箱。
Q&A 精华
SPF和DKIM之间有什么区别?
SPF 验证哪些服务器可以代表域发送电子邮件,而 DKIM 验证消息本身没有被更改,并且确实来自声称的发件人。
SPF和DKIM如何改善邮件送达率?
他们提升发送者声誉并减少垃圾邮件过滤,使您的电子邮件更有可能进入收件箱,而不是被标记或隔离。
为什么转发有时会破坏SPF或DKIM?
转发可能会更改消息路径或标头,导致与域的SPF或DKIM记录不匹配。使用Sender Rewriting Scheme (SRS)并保持适当的对齐可以减轻这种情况。
在电子邮件验证中,“alignment”是什么?
这意味着接收者可以看到的“发件人”域名与SPF和DKIM检查中使用的域名匹配 — 这是DMARC合规性和投递能力强度的关键因素。
SPF 或 DKIM 单独够吗?
不,每个解决不同的漏洞——SPF确保授权发件人,DKIM确保消息完整性。结合起来,它们形成了可信电子邮件认证的基础。
企业如何开始?
通过您的DNS发布SPF和DKIM记录,使用可用工具测试它们,并确保它们在您添加新的发送服务或平台时保持更新。
理解SPF和DKIM以提高电子邮件的投递率
如果您了解电子邮件如何在 获取和留住客户方面扮演关键角色,那么您可能已经听说过SPF和DKIM。您甚至可能知道SPF和DKIM是 电子邮件身份验证 的基本组成部分,并帮助保护电子邮件发件人和收件人免受垃圾邮件、欺骗和网络钓鱼的影响。
但这些术语实际上是什么意思,它们与电子邮件可达性有什么关系?如果您希望更好地了解SPF和电子邮件DKIM,让我们从定义开始。
Sender Policy Framework (SPF) 定义:
SPF是一种电子邮件身份验证形式,它定义了一个过程,用来验证是否是从授权的邮件服务器发送的电子邮件消息,以检测伪造并防止垃圾邮件。域的所有者可以通过SPF协议准确识别他们能够从哪些邮件服务器发送邮件。
DomainKeys Identified Mail (DKIM) 定义:
DKIM是一种电子邮件身份验证形式,使组织能够以接收者可验证的方式承担邮件责任。DKIM使用“公钥加密”来验证电子邮件消息是否从授权的邮件服务器发送,以检测伪造并防止交付诸如垃圾邮件等有害的电子邮件。
如果您了解电子邮件如何在 获取和留住客户方面扮演关键角色,那么您可能已经听说过SPF和DKIM。您甚至可能知道SPF和DKIM是 电子邮件身份验证 的基本组成部分,并帮助保护电子邮件发件人和收件人免受垃圾邮件、欺骗和网络钓鱼的影响。
但这些术语实际上是什么意思,它们与电子邮件可达性有什么关系?如果您希望更好地了解SPF和电子邮件DKIM,让我们从定义开始。
Sender Policy Framework (SPF) 定义:
SPF是一种电子邮件身份验证形式,它定义了一个过程,用来验证是否是从授权的邮件服务器发送的电子邮件消息,以检测伪造并防止垃圾邮件。域的所有者可以通过SPF协议准确识别他们能够从哪些邮件服务器发送邮件。
DomainKeys Identified Mail (DKIM) 定义:
DKIM是一种电子邮件身份验证形式,使组织能够以接收者可验证的方式承担邮件责任。DKIM使用“公钥加密”来验证电子邮件消息是否从授权的邮件服务器发送,以检测伪造并防止交付诸如垃圾邮件等有害的电子邮件。
如果您了解电子邮件如何在 获取和留住客户方面扮演关键角色,那么您可能已经听说过SPF和DKIM。您甚至可能知道SPF和DKIM是 电子邮件身份验证 的基本组成部分,并帮助保护电子邮件发件人和收件人免受垃圾邮件、欺骗和网络钓鱼的影响。
但这些术语实际上是什么意思,它们与电子邮件可达性有什么关系?如果您希望更好地了解SPF和电子邮件DKIM,让我们从定义开始。
Sender Policy Framework (SPF) 定义:
SPF是一种电子邮件身份验证形式,它定义了一个过程,用来验证是否是从授权的邮件服务器发送的电子邮件消息,以检测伪造并防止垃圾邮件。域的所有者可以通过SPF协议准确识别他们能够从哪些邮件服务器发送邮件。
DomainKeys Identified Mail (DKIM) 定义:
DKIM是一种电子邮件身份验证形式,使组织能够以接收者可验证的方式承担邮件责任。DKIM使用“公钥加密”来验证电子邮件消息是否从授权的邮件服务器发送,以检测伪造并防止交付诸如垃圾邮件等有害的电子邮件。
SPF 和 DKIM 简单解释
在‘现代电子邮件’的早期阶段,可用于支持发送者验证的机制有限。几乎所有通过电子邮件传播的垃圾邮件、诈骗和病毒,都是使用伪造的发件人信息进行传播的——至今仍有类似情况发生。验证电子邮件发送者身份一直是一个困难的过程,至今亦如此。
以访问 www.google.com 并提交搜索为例。您通常相当有信心,Google 可以控制返回给您的搜索结果,而且这些结果是安全的。这是因为 域名系统 (DNS)——一个充当电话簿的分布式服务器网络——将域名与各种记录相连接,包括在哪里找到真正的 google.com。
电子邮件使用这个系统的后期适应版本来验证发件人,这正是发件人策略框架 (SPF) 记录的用途。
SPF 的优势和潜在缺陷
SPF 能有效防止网络钓鱼。如果没有它,SMTP 会暴露您的地址,让那些可能伪造它的人进行垃圾邮件的目的使用。SPF 部署后,当骇客企图从您的地址发送电子邮件时,接收服务器的 SPF 安全性能检测到并识别其为无效。使用 SPF 显示您的组织致力于抵御网络威胁,这对您的发件人声誉产生积极影响。
当您的域外用户转发来自您的电子邮件时,可能由于 IP 记录与 SPF 记录不符而无法投递。许多邮件交换和传输代理现在使用发件人重写方案 (SRS) 来提高电子邮件转发的可投递性。SPF 记录还必须反映第三方电子邮件服务提供商的任何更改,以确保它们对应于可投递性。
SPF 的工作原理
在最基本的层面上,SPF 电子邮件建立了一种方法,让接收服务器可以验证来自域的入站电子邮件是否由该域的管理员授权的主机发送。以下三步骤概述了 SPF 的工作原理:
域管理员发布定义哪些邮件服务器有权从该域发送电子邮件的策略。此策略被称为 SPF 记录,并被列为该域的整体 DNS 记录的一部分。
当入站邮件服务器收到来信时,它会查找 DNS 中的退件路径 (Return-Path) 域的规则。然后入站服务器将邮件发送者的 IP 地址与 SPF 记录中定义的授权 IP 地址进行比较。
接收邮件服务器随后使用发送域的 SPF 记录中指定的规则决定是否接受、拒绝或标记电子邮件。
要查看自己的 SPF 记录的第一步,您可以使用 SparkPost 的免费工具 SPF Inspector。
SPF 的工作原理总结
步骤 | 描述 |
|---|---|
1 | 域管理员在 DNS 中发布定义授权发送服务器的 SPF 记录 |
2 | 入站服务器检查退件路径域并将发件人 IP 与 SPF 记录比较 |
3 | 接收服务器根据 SPF 规则接受、拒绝或标记电子邮件 |
一旦您确定了哪些服务器被授权代表域发送邮件,您可以通过 SPF Builder 为您的域创建 SPF 记录。
创建 SPF 记录会使您更接近于确保来自您域的合法电子邮件成功投递到客户的收件箱。
当涉及到验证电子邮件是否由授权邮件服务器发送时,DKIM 就派上用场了。
DKIM 身份验证的优势和潜在缺陷
DKIM 电子邮件的主要优点在于它能够防止诈骗和钓鱼攻击。认证出现在消息本身中,以防止伪造,并保护用户不回复不合法的电子邮件而泄露敏感的个人数据。伪造和钓鱼都有可能损害您的发送声誉和未来的投递能力,因此对这两者的保护是有益的。
创建 DKIM 的电子邮件时可能面临与 SPF 相同的潜在缺点,涉及到转发消息。举例来说,自动路由的电子邮件从办公电脑到用户手机时,对接收服务器看起来可能是不合法的。许多流行的电子邮件服务已解决此问题。另一个可能出现的挑战是 DKIM 过短。随着对更长密钥的支持,较短的密钥可能无法通过认证。
DKIM 的工作原理
简单来说,DKIM 通过向电子邮件消息的标头添加数字签名来工作。然后可以根据组织的 DNS 记录中的公共加密密钥验证此签名。
域所有者发布加密密钥。这是专门格式化为域的整体 DNS 记录中的 TXT 记录。
消息由外发邮件服务器发送后,服务器生成并附加特有的 DKIM 签名到消息的标头。
然后由入站邮件服务器使用 DKIM 密钥检测和解密消息的签名,并与一个新的版本对比。如果值匹配,消息即可被证实是可信的,且在传输中未被更改,因而没有伪造或被更改。
您可以使用 DKIM Validator 验证您的电子邮件。
DKIM 的工作原理总结
步骤 | 描述 |
|---|---|
1 | 域所有者发布公共加密密钥为 DNS TXT 记录 |
2 | 外发邮件服务器生成 DKIM 签名并附加到电子邮件标头 |
3 | 入站服务器根据发布的密钥验证签名并确保消息完整性 |
在‘现代电子邮件’的早期阶段,可用于支持发送者验证的机制有限。几乎所有通过电子邮件传播的垃圾邮件、诈骗和病毒,都是使用伪造的发件人信息进行传播的——至今仍有类似情况发生。验证电子邮件发送者身份一直是一个困难的过程,至今亦如此。
以访问 www.google.com 并提交搜索为例。您通常相当有信心,Google 可以控制返回给您的搜索结果,而且这些结果是安全的。这是因为 域名系统 (DNS)——一个充当电话簿的分布式服务器网络——将域名与各种记录相连接,包括在哪里找到真正的 google.com。
电子邮件使用这个系统的后期适应版本来验证发件人,这正是发件人策略框架 (SPF) 记录的用途。
SPF 的优势和潜在缺陷
SPF 能有效防止网络钓鱼。如果没有它,SMTP 会暴露您的地址,让那些可能伪造它的人进行垃圾邮件的目的使用。SPF 部署后,当骇客企图从您的地址发送电子邮件时,接收服务器的 SPF 安全性能检测到并识别其为无效。使用 SPF 显示您的组织致力于抵御网络威胁,这对您的发件人声誉产生积极影响。
当您的域外用户转发来自您的电子邮件时,可能由于 IP 记录与 SPF 记录不符而无法投递。许多邮件交换和传输代理现在使用发件人重写方案 (SRS) 来提高电子邮件转发的可投递性。SPF 记录还必须反映第三方电子邮件服务提供商的任何更改,以确保它们对应于可投递性。
SPF 的工作原理
在最基本的层面上,SPF 电子邮件建立了一种方法,让接收服务器可以验证来自域的入站电子邮件是否由该域的管理员授权的主机发送。以下三步骤概述了 SPF 的工作原理:
域管理员发布定义哪些邮件服务器有权从该域发送电子邮件的策略。此策略被称为 SPF 记录,并被列为该域的整体 DNS 记录的一部分。
当入站邮件服务器收到来信时,它会查找 DNS 中的退件路径 (Return-Path) 域的规则。然后入站服务器将邮件发送者的 IP 地址与 SPF 记录中定义的授权 IP 地址进行比较。
接收邮件服务器随后使用发送域的 SPF 记录中指定的规则决定是否接受、拒绝或标记电子邮件。
要查看自己的 SPF 记录的第一步,您可以使用 SparkPost 的免费工具 SPF Inspector。
SPF 的工作原理总结
步骤 | 描述 |
|---|---|
1 | 域管理员在 DNS 中发布定义授权发送服务器的 SPF 记录 |
2 | 入站服务器检查退件路径域并将发件人 IP 与 SPF 记录比较 |
3 | 接收服务器根据 SPF 规则接受、拒绝或标记电子邮件 |
一旦您确定了哪些服务器被授权代表域发送邮件,您可以通过 SPF Builder 为您的域创建 SPF 记录。
创建 SPF 记录会使您更接近于确保来自您域的合法电子邮件成功投递到客户的收件箱。
当涉及到验证电子邮件是否由授权邮件服务器发送时,DKIM 就派上用场了。
DKIM 身份验证的优势和潜在缺陷
DKIM 电子邮件的主要优点在于它能够防止诈骗和钓鱼攻击。认证出现在消息本身中,以防止伪造,并保护用户不回复不合法的电子邮件而泄露敏感的个人数据。伪造和钓鱼都有可能损害您的发送声誉和未来的投递能力,因此对这两者的保护是有益的。
创建 DKIM 的电子邮件时可能面临与 SPF 相同的潜在缺点,涉及到转发消息。举例来说,自动路由的电子邮件从办公电脑到用户手机时,对接收服务器看起来可能是不合法的。许多流行的电子邮件服务已解决此问题。另一个可能出现的挑战是 DKIM 过短。随着对更长密钥的支持,较短的密钥可能无法通过认证。
DKIM 的工作原理
简单来说,DKIM 通过向电子邮件消息的标头添加数字签名来工作。然后可以根据组织的 DNS 记录中的公共加密密钥验证此签名。
域所有者发布加密密钥。这是专门格式化为域的整体 DNS 记录中的 TXT 记录。
消息由外发邮件服务器发送后,服务器生成并附加特有的 DKIM 签名到消息的标头。
然后由入站邮件服务器使用 DKIM 密钥检测和解密消息的签名,并与一个新的版本对比。如果值匹配,消息即可被证实是可信的,且在传输中未被更改,因而没有伪造或被更改。
您可以使用 DKIM Validator 验证您的电子邮件。
DKIM 的工作原理总结
步骤 | 描述 |
|---|---|
1 | 域所有者发布公共加密密钥为 DNS TXT 记录 |
2 | 外发邮件服务器生成 DKIM 签名并附加到电子邮件标头 |
3 | 入站服务器根据发布的密钥验证签名并确保消息完整性 |
在‘现代电子邮件’的早期阶段,可用于支持发送者验证的机制有限。几乎所有通过电子邮件传播的垃圾邮件、诈骗和病毒,都是使用伪造的发件人信息进行传播的——至今仍有类似情况发生。验证电子邮件发送者身份一直是一个困难的过程,至今亦如此。
以访问 www.google.com 并提交搜索为例。您通常相当有信心,Google 可以控制返回给您的搜索结果,而且这些结果是安全的。这是因为 域名系统 (DNS)——一个充当电话簿的分布式服务器网络——将域名与各种记录相连接,包括在哪里找到真正的 google.com。
电子邮件使用这个系统的后期适应版本来验证发件人,这正是发件人策略框架 (SPF) 记录的用途。
SPF 的优势和潜在缺陷
SPF 能有效防止网络钓鱼。如果没有它,SMTP 会暴露您的地址,让那些可能伪造它的人进行垃圾邮件的目的使用。SPF 部署后,当骇客企图从您的地址发送电子邮件时,接收服务器的 SPF 安全性能检测到并识别其为无效。使用 SPF 显示您的组织致力于抵御网络威胁,这对您的发件人声誉产生积极影响。
当您的域外用户转发来自您的电子邮件时,可能由于 IP 记录与 SPF 记录不符而无法投递。许多邮件交换和传输代理现在使用发件人重写方案 (SRS) 来提高电子邮件转发的可投递性。SPF 记录还必须反映第三方电子邮件服务提供商的任何更改,以确保它们对应于可投递性。
SPF 的工作原理
在最基本的层面上,SPF 电子邮件建立了一种方法,让接收服务器可以验证来自域的入站电子邮件是否由该域的管理员授权的主机发送。以下三步骤概述了 SPF 的工作原理:
域管理员发布定义哪些邮件服务器有权从该域发送电子邮件的策略。此策略被称为 SPF 记录,并被列为该域的整体 DNS 记录的一部分。
当入站邮件服务器收到来信时,它会查找 DNS 中的退件路径 (Return-Path) 域的规则。然后入站服务器将邮件发送者的 IP 地址与 SPF 记录中定义的授权 IP 地址进行比较。
接收邮件服务器随后使用发送域的 SPF 记录中指定的规则决定是否接受、拒绝或标记电子邮件。
要查看自己的 SPF 记录的第一步,您可以使用 SparkPost 的免费工具 SPF Inspector。
SPF 的工作原理总结
步骤 | 描述 |
|---|---|
1 | 域管理员在 DNS 中发布定义授权发送服务器的 SPF 记录 |
2 | 入站服务器检查退件路径域并将发件人 IP 与 SPF 记录比较 |
3 | 接收服务器根据 SPF 规则接受、拒绝或标记电子邮件 |
一旦您确定了哪些服务器被授权代表域发送邮件,您可以通过 SPF Builder 为您的域创建 SPF 记录。
创建 SPF 记录会使您更接近于确保来自您域的合法电子邮件成功投递到客户的收件箱。
当涉及到验证电子邮件是否由授权邮件服务器发送时,DKIM 就派上用场了。
DKIM 身份验证的优势和潜在缺陷
DKIM 电子邮件的主要优点在于它能够防止诈骗和钓鱼攻击。认证出现在消息本身中,以防止伪造,并保护用户不回复不合法的电子邮件而泄露敏感的个人数据。伪造和钓鱼都有可能损害您的发送声誉和未来的投递能力,因此对这两者的保护是有益的。
创建 DKIM 的电子邮件时可能面临与 SPF 相同的潜在缺点,涉及到转发消息。举例来说,自动路由的电子邮件从办公电脑到用户手机时,对接收服务器看起来可能是不合法的。许多流行的电子邮件服务已解决此问题。另一个可能出现的挑战是 DKIM 过短。随着对更长密钥的支持,较短的密钥可能无法通过认证。
DKIM 的工作原理
简单来说,DKIM 通过向电子邮件消息的标头添加数字签名来工作。然后可以根据组织的 DNS 记录中的公共加密密钥验证此签名。
域所有者发布加密密钥。这是专门格式化为域的整体 DNS 记录中的 TXT 记录。
消息由外发邮件服务器发送后,服务器生成并附加特有的 DKIM 签名到消息的标头。
然后由入站邮件服务器使用 DKIM 密钥检测和解密消息的签名,并与一个新的版本对比。如果值匹配,消息即可被证实是可信的,且在传输中未被更改,因而没有伪造或被更改。
您可以使用 DKIM Validator 验证您的电子邮件。
DKIM 的工作原理总结
步骤 | 描述 |
|---|---|
1 | 域所有者发布公共加密密钥为 DNS TXT 记录 |
2 | 外发邮件服务器生成 DKIM 签名并附加到电子邮件标头 |
3 | 入站服务器根据发布的密钥验证签名并确保消息完整性 |
身份验证对齐的重要性
使用第三方电子邮件服务提供商 (ESP) 的好处是明智的投资,但在域名对齐方面可能仍然存在挑战。在对齐的域名中,即使您的 ESP 代表您发送邮件,您的业务也会显得是发件人。即使您的域名未对齐,您的电子邮件可能仍然会被传递。对齐的域名更容易通过垃圾邮件过滤器,从而进一步提升您的Inbox放置机会。
使用第三方电子邮件服务提供商 (ESP) 的好处是明智的投资,但在域名对齐方面可能仍然存在挑战。在对齐的域名中,即使您的 ESP 代表您发送邮件,您的业务也会显得是发件人。即使您的域名未对齐,您的电子邮件可能仍然会被传递。对齐的域名更容易通过垃圾邮件过滤器,从而进一步提升您的Inbox放置机会。
使用第三方电子邮件服务提供商 (ESP) 的好处是明智的投资,但在域名对齐方面可能仍然存在挑战。在对齐的域名中,即使您的 ESP 代表您发送邮件,您的业务也会显得是发件人。即使您的域名未对齐,您的电子邮件可能仍然会被传递。对齐的域名更容易通过垃圾邮件过滤器,从而进一步提升您的Inbox放置机会。
SPF 和 DKIM 的价值
总结
简而言之,SPF允许电子邮件发送者定义哪些IP地址可以为特定域发送邮件。另一方面,DKIM 提供了一个加密密钥和数字签名,用于验证电子邮件消息未被伪造或更改。
身份验证本身不是对内容价值的证明。使用适当的电子邮件礼仪和最佳实践来提高收件箱的放置率——即使已进行身份验证,垃圾内容仍然会引发投诉和取消订阅。
当这些电子邮件身份验证方法得到正确实施时,您将离改善电子邮件可达性并发送为您的业务带来收入的安全电子邮件更近一步。
简而言之,SPF允许电子邮件发送者定义哪些IP地址可以为特定域发送邮件。另一方面,DKIM 提供了一个加密密钥和数字签名,用于验证电子邮件消息未被伪造或更改。
身份验证本身不是对内容价值的证明。使用适当的电子邮件礼仪和最佳实践来提高收件箱的放置率——即使已进行身份验证,垃圾内容仍然会引发投诉和取消订阅。
当这些电子邮件身份验证方法得到正确实施时,您将离改善电子邮件可达性并发送为您的业务带来收入的安全电子邮件更近一步。
简而言之,SPF允许电子邮件发送者定义哪些IP地址可以为特定域发送邮件。另一方面,DKIM 提供了一个加密密钥和数字签名,用于验证电子邮件消息未被伪造或更改。
身份验证本身不是对内容价值的证明。使用适当的电子邮件礼仪和最佳实践来提高收件箱的放置率——即使已进行身份验证,垃圾内容仍然会引发投诉和取消订阅。
当这些电子邮件身份验证方法得到正确实施时,您将离改善电子邮件可达性并发送为您的业务带来收入的安全电子邮件更近一步。
