DomainKeys Identified Mail，或 DKIM，是一种技术标准，可以帮助保护电子邮件发送者和接收者免受垃圾邮件、欺骗和网络钓鱼的侵害。它是一种电子邮件认证形式，允许组织以接收者可以验证的方式对一封邮件承担责任。

具体来说，它使用一种称为“公钥加密”的方法来验证电子邮件消息是从授权的邮件服务器发送的，以便检测伪造并防止类似垃圾邮件的有害电子邮件的传递。它是对SMTP（用于发送电子邮件的基础协议）的补充，因为它本身不包含任何认证机制。

它是如何工作的？

它通过向电子邮件消息的头部添加数字签名来工作。该签名可以根据组织的域名系统（DNS）记录中公开的加密密钥进行验证。一般而言，过程如下：

域名所有者在域的整体DNS记录中发布一个格式特殊的TXT记录形式的加密公钥。

当外发邮件服务器发送邮件时，服务器生成并附加一个独特的DKIM签名头到邮件中。这个头包含两个加密哈希，一个是指定头的哈希，另一个是消息正文（或其一部分）的哈希。头中包含有关签名如何生成的信息。

当入站邮件服务器接收到传入电子邮件时，它在DNS中查找发件人的公用DKIM密钥。入站服务器使用此密钥解密签名，并将其与新计算的版本进行比较。如果两个值相匹配，则可以证明邮件在传输过程中是经过认证且未被更改的。

什么是DKIM签名？

DKIM签名是添加到电子邮件中的一个头。头中包含的值允许接收邮件服务器通过查找发件人的DKIM密钥并使用它来验证加密签名，从而验证电子邮件。它像这样：

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

DKIM签名头包含大量信息，因为它针对自动化处理而设计。正如您在此例子中看到的，该头包含标签=值部分的列表。著名的标签包括用于签名域的“d=”、用于实际数字签名的“b=”，以及可以通过使用发件人的公钥重新计算进行验证的哈希“bh=”。

签名的定义使得每封消息都独特，但这些基本元素将在每个DKIM签名头中出现。

它如何与SPF、DMARC或其他标准相关？

DKIM、SPF和DMARC都是启用不同电子邮件认证方面的标准。它们解决相辅相成的问题。

• SPF允许发送者定义哪些IP地址可以为某个特定域发送邮件。

• DKIM提供加密密钥和数字签名，以验证电子邮件消息并未被伪造或更改。

• DMARC将SPF和DKIM认证机制统一到一个通用框架中，并允许域名所有者声明如果电子邮件未通过授权测试时，希望如何处理来自该域的电子邮件。

我需要DKIM吗？

如果您是一家发送商业或交易电子邮件的企业，您绝对需要实施一种或多种形式的电子邮件认证，以验证电子邮件实际上来自您或您的企业。正确配置电子邮件认证标准是提高邮件传递率的重要步骤之一。然而，单靠此项还不够；SparkPost和其他电子邮件专家还建议实施SPF和DMARC，以定义更完整的电子邮件认证政策。