域名密钥识别邮件，或称 DKIM，是一种技术标准，有助于保护电子邮件发送者和接收者免受垃圾邮件、伪造和钓鱼攻击。 它是一种 电子邮件认证 形式，允许组织以可由接收者验证的方式声明对一条消息的责任。

具体而言，它采用了一种称为“公钥密码学”的方法来验证电子邮件消息是否来自授权的邮件服务器，以便检测伪造并防止有害邮件（如垃圾邮件）的发送。它 补充了 SMTP，这是用于发送电子邮件的基本协议，因为它 本身并不包含任何认证机制。

它是如何工作的？

它通过向电子邮件消息的头部添加数字签名来工作。 该签名可以通过组织的域名系统（DNS）记录中的公钥进行验证。一般来说，过程如下：

域名所有者以特殊格式的 TXT 记录在域名的整体 DNS 记录中发布一个加密公钥。

当出站邮件服务器发送邮件消息时，该服务器生成并附加一个唯一的 DKIM 签名头到消息中。 此头部包含两个加密散列，一个是指定的 头部，另一个是消息主体（或其部分）。该头部包含有关签名生成方式的信息。

当入站邮件服务器接收到来自外部的电子邮件时，它在 DNS 中查找发送者的公有 DKIM 密钥。入站服务器使用该密钥解密签名并与新计算的版本进行比较。如果两个值匹配，则可以证明消息在传输中是有效且未被篡改的。

什么是 DKIM 签名？

DKIM 签名是添加到电子邮件消息中的一个头部。该头部包含值，允许接收邮件服务器通过查找发送者的 DKIM 密钥并使用该密钥验证加密签名来验证电子邮件消息。它看起来大致如下：

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

DKIM 签名头包裹了大量信息，因为它是为自动处理而设计的。如您在此示例中所见，头部包含一系列 tag=value 部分。显著的标签包括“d=”用于签名域，“b=”用于实际数字签名，以及“bh=”用于通过重新计算发送者公钥进行验证的哈希。

签名是根据定义在每条消息之间唯一的，但这些基本元素会在每个 DKIM 签名头中出现。

它与 SPF、DMARC 或其他标准之间的关系是什么？

DKIM、SPF 和 DMARC都是实现电子邮件认证不同方面的标准。它们解决的是互补的问题。

• SPF 允许发送者定义哪些 IP 地址被允许为特定域发送邮件。

• DKIM 提供了加密密钥和数字签名，以验证电子邮件消息没有被伪造或篡改。

• DMARC 将 SPF 和 DKIM 认证机制统一成一个共同框架，并允许域名所有者声明他们希望如何处理从该域发送的电子邮件，若其未通过授权测试。

我需要 DKIM 吗？

如果您是发送商业或交易电子邮件的企业，则您确实需要实施一种或多种形式的 电子邮件认证 以验证电子邮件确实来自您或您的企业。正确配置电子邮件认证标准是改善送达率的最重要步骤之一。然而，它本身只能做到这么多；SparkPost 及其他电子邮件专家 建议还实施 SPF 和 DMARC，以定义更完整的电子邮件认证策略。