域名频道帮助中心
DKIM(DomainKeys Identified Mail)是一种电子邮件验证方法,用于帮助检测电子邮件中的伪造和篡改行为,以此来提高邮件的安全性和信任度。这种技术允许发件人通过使用数字签名来证明邮件确实是由其声称的发件域名所发送,并且邮件的内容没有在传输过程中被篡改。以下是详细解释:
一、DKIM的核心作用
- 防伪造:
防止攻击者伪造发件人域名(如冒充银行发送钓鱼邮件),保护用户免受欺诈。 - 防篡改:
确保邮件内容(正文、附件、标题等)在传输过程中未被修改,维护邮件完整性。 - 提升可信度:
邮件服务商(如Gmail、Outlook)会优先展示通过DKIM验证的邮件,减少被标记为垃圾邮件的概率。
二、DKIM的工作原理
- 生成密钥对:
- 私钥:由发件方服务器保管,用于对邮件内容生成数字签名。
- 公钥:以DNS记录形式公开,供收件方服务器验证签名。
- 签名邮件:
- 发件方服务器使用私钥对邮件的特定部分(如头部、正文)生成哈希值,并加密为签名。
- 签名以
DKIM-Signature字段形式添加到邮件头部。
- 验证签名:
- 收件方服务器通过DNS查询获取发件方域名的DKIM公钥。
- 使用公钥解密签名,并与邮件内容重新计算的哈希值比对。
- 若一致,则验证通过;否则标记为可疑邮件。
三、DKIM记录的DNS配置
DKIM记录需在域名的DNS管理面板中添加,格式如下:
| 类型:TXT |
| 主机名:_domainkey.example.com (或选择器._domainkey.example.com,如default._domainkey.example.com) |
| 值:v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC…(公钥内容) |
关键参数说明:
- v:DKIM版本(通常为
DKIM1)。 - k:密钥类型(常见为
rsa)。 - p:Base64编码的公钥内容(长度可能超过255字符,需分多行或使用引号包裹)。
- s(可选):指定签名算法(如
rsa-sha256)。 - t(可选):签名标记(如
y表示严格测试模式)。
四、DKIM记录的配置步骤
- 生成密钥对:
- 使用工具(如OpenSSL、Postfix的
dkim-genkey)生成私钥和公钥。 - 示例命令:
openssl genrsa -out private.key 2048 openssl rsa –in private.key -pubout -out public.key
- 使用工具(如OpenSSL、Postfix的
- 创建选择器(Selector):
- 选择器用于区分同一域名下的多个DKIM密钥(如
default、mail)。 - 生成选择器记录:
选择器._domainkey.example.com IN TXT “v=DKIM1; k=rsa; p=…”
- 选择器用于区分同一域名下的多个DKIM密钥(如
- 配置邮件服务器:
- 将私钥上传至邮件服务器(如Postfix、Exim),并配置签名规则。
- 示例Postfix配置:
milter_default_action = accept milter_protocol = 6 smtpd_milters = unix:/var/run/opendkim/opendkim.sock non_smtpd_milters = unix:/var/run/opendkim/opendkim.sock
- 发布DNS记录:
- 在DNS管理面板中添加TXT记录,内容为公钥。
- 等待DNS记录生效(通常需数分钟至48小时)。
- 测试验证:
- 使用工具(如
dig TXT selector._domainkey.example.com)检查DNS记录是否正确解析。 - 发送测试邮件至验证工具(如Mail-Tester),检查DKIM签名状态。
- 使用工具(如
五、常见问题与解决
- DNS记录未生效:
- 检查主机名是否正确(如漏写
_domainkey前缀)。 - 确认TXT记录值未被截断(超过255字符需分多行或使用引号)。
- 检查主机名是否正确(如漏写
- 签名验证失败:
- 确保邮件服务器配置了正确的选择器和私钥。
- 检查邮件内容是否被修改(如通过代理服务器转发)。
- 多密钥管理:
- 为不同邮件服务(如营销邮件、事务邮件)配置独立选择器,便于轮换密钥。
- 与SPF/DMARC协同:
- DKIM需与SPF(验证发件服务器IP)和DMARC(定义未通过验证邮件的处理方式)配合使用,构建完整邮件认证链。