DomainKeys Identified Mail，或 DKIM，是一项技术标准，帮助保护电子邮件发送者和接收者免受垃圾邮件、欺骗和网络钓鱼的攻击。 这是一种 电子邮件验证，允许组织以一种可以由接收方验证的方式对一条消息声明责任。

具体来说，它使用一种称为“公钥加密”的方法来验证电子邮件消息是否从授权的邮件服务器发送，以检测伪造并防止如垃圾邮件等有害电子邮件的传递。它补充了SMTP，这是用于发送电子邮件的基本协议，因为它本身不包含任何认证机制。

它是如何运作的？

它通过在电子邮件消息的标头中添加一个数字签名来工作。该签名可以根据组织的域名系统 (DNS) 记录中的公钥来验证。总体而言，过程如下：

域名拥有者在域的DNS记录中发布一个特定格式的TXT记录作为加密公钥。

当一个邮件消息由出站邮件服务器发送时，服务器会生成并附加一个唯一的DKIM签名头到信息上。此头包含两个加密哈希，一个用于指定的标头，另一个用于消息正文（或其中一部分）。头信息包含关于如何生成签名的信息。

当入站邮件服务器接收到传入的电子邮件时，它在DNS中查找发件人的公共DKIM密钥。入站服务器使用此密钥解密签名并将其与新计算的版本进行比较。如果两个值相符，消息就可以被证明在传输中是可信且未被更改过的。

什么是DKIM签名？

DKIM签名是添加到电子邮件消息中的一个标头。该标头包含的值允许接收邮件服务器通过查找发件人的DKIM密钥并使用它来验证加密签名，从而验证电子邮件消息。它看起来像这样：

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

DKIM签名头包含大量信息，因为它是为自动处理而设计的。如你在这个示例中所见，头中包含一个tag=value形式的部分列表。值得注意的标签包括“d=”表示签名域，“b=”表示实际的数字签名，以及“bh=”表示可以通过使用发送者的公钥重新计算验证的哈希。

签名本质上是从消息到消息都是唯一的，但这些基本元素在每个DKIM签名头中都会存在。

它如何与SPF、DMARC或其他标准相关？

DKIM、SPF和DMARC都是支持电子邮件验证不同方面的标准。它们解决了互补的问题。

• SPF允许发送者定义哪些IP地址被允许代表特定域发送邮件。

• DKIM提供一个加密密钥和数字签名，用于验证电子邮件消息未被伪造或修改。

• DMARC将SPF和DKIM验证机制统一到一个通用框架中，并允许域所有者声明如果电子邮件未通过授权测试，他们希望如何处理来自该域的电子邮件。

我需要DKIM吗？

如果您是发送商业或交易电子邮件的企业，您肯定需要实施一种或多种形式的 电子邮件验证 以验证电子邮件是否确实来自您或您的企业。正确配置电子邮件验证标准是提高投递率可以采取的最重要步骤之一。然而，仅靠它自身作用有限；SparkPost和其他电子邮件专家建议同时实施SPF和DMARC，以定义更完整的电子邮件验证策略。