域密钥识别邮件，或DKIM，是一种技术标准，有助于保护电子邮件发送者和接收者免受垃圾邮件、欺诈和网络钓鱼的影响。 它是一种 电子邮件认证 ，允许一个组织以某种方式对消息声明责任，并由接收者验证。

具体来说，它使用一种称为“公钥加密”的方法来验证电子邮件消息是否由授权邮件服务器发送，以检测伪造并防止垃圾邮件等有害邮件的传递。它补充了SMTP，发送电子邮件时使用的基本协议，因为它本身不包含任何认证机制。

它是如何工作的？

它通过在邮件消息的头部添加数字签名来工作。 该签名可以根据组织的域名系统 (DNS) 记录中的公钥进行验证。总体而言，流程如下：

域名所有者将公钥作为特别格式的TXT记录发布在域的总体DNS记录中。

当邮件服务器发送邮件时，服务器会生成并附加一个唯一的DKIM签名头到消息中。 这个头包含两个加密哈希，一个是指定头的哈希，一个是邮件正文（或部分正文）的哈希。头部包含关于签名生成方式的信息。

当接收邮件服务器收到传入电子邮件时，它会在DNS中查找发件人的公DKIM密钥。接收服务器使用此密钥解密签名，并将其与新计算的版本进行比较。如果这两个值匹配，则可以证明消息在传输中真实且未被更改。

什么是DKIM签名？

DKIM签名是添加到电子邮件消息中的一个头。头包含的值允许接收邮件服务器通过查找发件人的DKIM密钥并使用它验证加密签名来验证电子邮件消息。其看起来类似于这样：

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

DKIM签名头包含了大量信息，因为它旨在自动处理。如您在此例中所见，头包含一系列tag=value部分。显著标签包括“d=”用于签名域，“b=”用于实际数字签名，“bh=”用于通过重计算使用发送者的公钥验证的哈希。

签名从定义上来说是从消息到消息唯一的，但这些基本元素将出现在每个DKIM签名头中。

它如何与SPF、DMARC或其他标准相关？

DKIM、SPF和DMARC都是启用不同电子邮件认证方面的标准。它们解决的是互补的问题。

• SPF 允许发送者定义哪个IP地址被允许发送特定域的邮件。

• DKIM提供加密密钥和数字签名，以验证电子邮件消息未被伪造或更改。

• DMARC将SPF和DKIM认证机制统一到一个通用框架中，允许域所有者声明如果邮件未通过授权测试，他们希望来自该域的邮件如何处理。

我需要DKIM吗？

如果您是发送商业或交易电子邮件的企业，您绝对需要实施一种或多种形式的 电子邮件认证 以验证电子邮件实际上是来自您或您的企业。正确配置电子邮件认证标准是提高可递送性的最重要步骤之一。然而，仅靠它本身是远远不够的；SparkPost和其他电子邮件专家推荐也实施SPF和DMARC，以定义更完整的电子邮件认证策略。