DomainKeys Identified Mail，或 DKIM，是一种技术标准，帮助保护电子邮件发送者和接收者免受垃圾邮件、欺骗和网络钓鱼的侵害。 它是一种 电子邮件验证 形式，允许一个组织以可以被接收者验证的方式承担信息的责任。

具体来说，它 使用一种称为“公钥加密”的方法来验证邮件消息是否从授权的邮件服务器发送，以检测伪造并防止垃圾邮件等有害邮件的传递。它 补充 SMTP，发送电子邮件所用的基本协议，因为它本身不包含任何验证机制。

它是如何工作的？

它通过向电子邮件消息的标头添加数字签名来工作。该签名可以根据组织的域名系统 (DNS) 记录中的公共加密密钥进行验证。一般而言，过程如下：

域所有者将加密公钥发布为域总体 DNS 记录中特别格式化的 TXT 记录。

当由外发邮件服务器发送邮件消息时，服务器生成并附加一个唯一的 DKIM 签名头至消息中。该头包含两个加密哈希，一个是指定头的哈希，另一个是消息体（或其一部分）的哈希。该头包含关于签名如何生成的信息。

当入站邮件服务器收到传入邮件时，它会在 DNS 中查找发送者的公用 DKIM 密钥。入站服务器使用此密钥来解密签名，并与重新计算的版本进行比较。如果两个值匹配，则可以证明邮件在传输中是未经改动的且真实的。

什么是 DKIM 签名？

DKIM 签名是添加到电子邮件消息的头。该头包含允许接收邮件服务器通过查找发件人的 DKIM 密钥并使用它来验证加密签名的值。它看起来像这样：

DKIM-Signature: v=1; 
  a=rsa-sha256; 
  c=relaxed/relaxed; 
  d=sparkpost.com; 
  s=google; 
  h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; 
  bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; 
  b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

DKIM 签名头包装了大量信息，因为它旨在自动处理。如您在此示例中所见，头包含一系列标签=值部分。值得注意的标签包括用于签名字的“d=”，用于实际数字签名的“b=”，以及可以通过使用发送者的公钥重新计算来验证的哈希的“bh=”。

按定义，签名从消息到消息都是唯一的，但这些基本元素将在每个 DKIM 签名头中存在。

它与 SPF、DMARC 或其他标准有什么关联？

DKIM、SPF 和 DMARC 都是支持电子邮件身份验证不同方面的标准。它们解决互补的问题。

• SPF 允许发送者定义哪些 IP 地址可以为特定域发送邮件。

• DKIM 提供加密密钥和数字签名，验证电子邮件消息未被伪造或更改。

• DMARC 将 SPF 和 DKIM 验证机制统一到一个通用的框架中，并允许域所有者声明如果邮件未能通过授权测试，他们希望如何处理来自该域的电子邮件。

我需要 DKIM 吗？

如果您是一家发送商业或交易邮件的企业，您绝对需要实施一种或多种形式的 电子邮件验证 以验证邮件实际上来自您本人或您的企业。适当配置电子邮件验证标准是您可以采取的提高邮件送达率的最重要步骤之一。然而，仅凭它自身只能到此为止；SparkPost 和其他电子邮件专家 建议同时实施 SPF 和 DMARC，以定义更完整的电子邮件验证政策。