当前位置：首页 > news >正文

邮件的安全认证（dkim/spf/dmarc）

news 2025/7/8 2:29:08

dkim

dkim是用来识别电子邮件合法以及完整性的一种技术手段，主要方式是通过非对称加密对邮件本身进行签名，邮件接收方可以使用发送方提供的公钥对签名进行校验，来确认邮件是否伪造或者被篡改。

如何查看dkim

dkim签名被放在邮件原始内容的header DKIM-Signature中。用来验证签名的公钥放在指定域名的txt记录中，域名格式为：[selector]._domainkey.[domain]，其中selector和domain两个字段我们可以从签名里面获得。

如下是DKIM-Signature的样本：

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=okta.com; h=content-type:from:mime-version:subject:reply-to:list-unsubscribe: list-unsubscribe-post:to:cc:content-type:from:subject:to; s=cs1; bh=ypeqONcClQagR0kT04HrbN3qC+qUicpfaZbwpvfEk4g=; b=CtgFBpVnIQICeGi5jNo4ih4jmvIkqeME229RRxP7ZuUx3W/oo9efsVXq5fxInlxHD8+C o2xAvL7WzEA6uqQdT3qZ5hGYDx8FDg8aBJBsa4R3NilKqt/ke9rxwzIXSIiUchV4In2+ev N7YhwbM0wSVEkBY3pPLOmnPkk9cPMY/2zT7ySxoNrOLvF3l7mnBrXp/O9xi3P3U/FVuF4N F8cUzSkD3nj4ic9VftCiZGwB9tdv+1cIPTFothrwbsk/6zfd2Ecc88jMAcC4V36XPqTmVQ WixvOZf3R0zK/v69gdd0jBHpZjlY18rWFysE6wltYV9ALFay0YLpBRBNEYcxbbZw==

d: 获取公钥的根域名

s: 获取公钥域名的selector

以上面的签名内容为例，那么我们可以从域名cs1._domainkey.okta.com中获取公钥。

h：列出了用于创建数字签名的字段

bh：邮件正文的hash值

b：邮件签名内容，使用b和bh生成，并使用私钥签名。

SPF

SPF是用来验证发送邮件的服务器合法性的一套机制。通过声明指定域名的邮件服务器ip地址列表，收件人可以根据发送着封邮件的服务器ip地址来判断这封邮件是否来自合法的发送方。

spf如何工作

当服务器a发送电子邮件到服务器b时，服务器b会读取电子邮件的返回路径email@xxreturn.com (返回地址不同于“发件人”地址，专用于收集和处理退回的消息)。之后搜寻该邮箱域名的spf记录，之后验证服务器a的ip地址是否在spf记录中，如果不在则说明该邮件并不来自于合法的发件服务器。

如何查询spf记录

spf记录存放于邮箱域名的txt记录中，以v=spf1开头。spf记录支持引用关系，很多时候一条spf记录会引用其他记录，只要是在被引用的列表中的ip都认为是合法ip地址。

以gmail.com为例，首次查询txt记录时会看到如下结果：

"v=spf1 redirect=_spf.google.com"

我们再次查询 _spf.google.com的spf记录

v=spf1 include:_netblocks.google.com include:_netblocks2.google.com include:_netblocks3.google.com ~all

继续查询_netblocks.google.com的spf记录

"v=spf1 ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16 ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17 ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"

这里所列出来的ip地址均为gmail.com邮件服务器合法ip。当然不止这些，我们需要把所有被引用的记录都遍历一遍才能拿到所有的ip列表。

DMARC

DMARC政策用来告诉邮件服务器如何处理那些spf或者dkim校验失败的邮件。是忽略这些失败的校验，还是放到垃圾邮箱或者不做转发。

如何查询DMARC记录

dmarc记录可以在邮箱域名的_dmarc子域名的txt记录中找到，比如邮箱@gmail.com, 对应的dmarc记录在_dmarc.gmail.com的txt记录中，以v=DMARC1开头。如下是gmail邮箱的dmarc记录

"v=DMARC1; p=none; sp=quarantine; rua=mailto:mailauth-reports@google.com"

DMARC的定义

p=quarantine 表示电子邮件服务器应当“隔离”未通过 DKIM 和 SPF 的电子邮件，将它们视为潜在的垃圾邮件。其他可能的设置包括 p=none，它允许未通过检查的电子邮件仍然传递，以及 p=reject，它指示电子邮件服务器阻止未通过检查的电子邮件。
adkim=s 意味着 DKIM 检查是“严格的”。将 s 改为 r，即可将其设置为“宽松的”，比如 adkim=r
aspf=s 与 adkim=s 的意义相同，但是针对 SPF
sp 用于设定该域名下其他子域名邮箱的策略
rua=mailto:mailauth-reports@google.com 当出现邮件的安全校验未通过时，发送报告到邮箱mailauth-reports@google.com

邮件的安全认证（dkim/spf/dmarc）

dkim

如何查看dkim

SPF

spf如何工作

如何查询spf记录

DMARC

如何查询DMARC记录

DMARC的定义

相关文章：

邮件的安全认证（dkim/spf/dmarc）

单调栈问题

Hexo博客重新部署与Git配置

KUKA机器人专业名词解释

阿里云物联网平台 MQTT连接、数据传输

栈和队列OJ练习题及解答

渗透测试-信息收集

电力乙级资质延伸换证：企业转型的契机

基于Redis实现分布式锁——Java版本

Qt自定义控件--提升为

Lua 基础 01 入门

远程连接阿里云ECS

【C++】多态(上)超详细

【Git】 Git分支操作指南

智慧文旅赋能旅游服务升级：以科技创新驱动行业变革，打造智慧化、个性化、高效化的旅游新体验，满足游客日益增长的多元化需求

AtCoder Beginner Contest 310 E题 NAND repeatedly

一款简易的免费抽奖软件

Kubernetes 监控管理

哈希表第6/9题--四数相加II

使用JavaScript将富文本HTML转换为纯文本

【大模型RAG】拍照搜题技术架构速览：三层管道、两级检索、兜底大模型

【Axure高保真原型】引导弹窗

云启出海，智联未来｜阿里云网络「企业出海」系列客户沙龙上海站圆满落地

Qt Widget类解析与代码注释

【Redis技术进阶之路】「原理分析系列开篇」分析客户端和服务端网络诵信交互实现（服务端执行命令请求的过程 - 初始化服务器）

【决胜公务员考试】求职OMG——见面课测验1

C++八股 —— 单例模式

在web-view 加载的本地及远程HTML中调用uniapp的API及网页和vue页面是如何通讯的？

Selenium常用函数介绍

华为OD机考-机房布局