电子邮件安全协议
DKIM ,电子邮件验证标准——域名密钥识别邮件标准。DomainKeys Identified Mail的缩写
雅虎开发的域名密钥(DomainKeys)协议和思科开发的互联网邮件识别(Identified Internet Mail)协议
DKIM的工作原理: DKIM让企业可以把加密签名插入到发送的电子邮件中,然后把该签名与域名关联起来。签名随电子邮件一起传送,而不管是沿着网络上的哪条路径传送,电子邮件收件人则可以使用签名来证实邮件确实来自该企业。
SPF ,是发送方策略框架 (Sender Policy Framework) 的缩写,它能够为邮件的接收方提供一种检验。
SMTP中,没有对发件人地址(Mail From)进行限定,而这点会被一些垃圾邮件发送者所利用,发送一些垃圾邮件。因此,SPF的提出就是为了解决SMTP中没有约束的发件人问题(sender)
SPF是跟DNS相关的一项技术,它的内容写在DNS的txt类型的记录里面。mx记录的作用是给寄信者指明某个域名的邮件服务器有哪些。SPF的作用跟mx相反,它向收信者表明,哪些邮件服务器是经过某个域名认可会发送邮件的。
由定义可以看出,SPF的作用主要是反垃圾邮件,主要针对那些发信人伪造域名的垃圾邮件。
# 设置方法
在 DNS 指向里设置一条下面的 TXT 记录(SPF 记录)就可以了.
具体操作是:在域名服务商的域名控制面板里加一条类型是 TXT 的记录:
"v=spf1 a mx ~all"
或者用比较严格的
"v=spf1 a mx -all"
注意:双引号一般不用输入,阿里云(万网)、DNSPod 和新网上不要输入双引号。
如果除了邮件服务器,网站也可能直接发邮件(假设ip是 1.1.1.1),也可能通过中继服务器发邮件(假设ip是 2.2.2.2), TXT 可以设置为:
"v=spf1 a mx ip4:1.1.1.1 ip4:2.2.2.2 ~all"
注意有的域名服务商不支持设置 txt 记录, 只能和对方联系。
# 查询效验SPF
DMARC,是基于域的消息认证、报告和一致性。Domain-based Message Authentication, Reporting and Conformance的英文首字母缩写,该组织的官方成员有
设置方法:
设置 DMARC 记录之前,请务必确保已设置 SPF 记录(如何设置 spf):
2.添加以下DMARC记录:
主机记录:_dmarc
记录类型:TXT
记录值: v=DMARC1; p=none; ruf=mailto:dmarc_report@xxxxxx.com; rua=mailto:dmarc_report@xxxxxx.com
xxxxxx.com 替换成你的真实域名
dmarc_report@xxxxxx.com 必须是邮件系统中真实的邮箱,可以接收邮件。
注意:DMARC记录里,有两个值可由您来自定义:
p:用于告知收件方,当检测到某邮件存在伪造发件人的情况,收件方要做出什么处理。 p=none; 为收件方不作任何处理
p=quarantine; 为收件方将邮件标记为垃圾邮件
p=reject; 为收件方拒绝该邮件
ruf:用于当检测到伪造邮件,收件方须将检测结果发送到哪个邮箱地址。
一般设置成: v=DMARC1; p=none
下面是阿里云域名控制台里设置 TXT 记录截图:
参考资料:
https://help.aliyun.com/document_detail/44631.html
https://www.winmail.cn/technic_dmarc.php
https://www.winmail.cn/technic_spf.php
https://open.work.weixin.qq.com/help2/pc/19647
