电子邮件身份验证的工作原理

电子邮件身份验证是一个令人生畏的主题。 通常有首字母缩写词和首字母缩写词的字母汤。 但核心概念并不复杂，大部分人都能很快理解。

随着垃圾邮件发送者和网络钓鱼者继续使用电子邮件分发不需要或有害的消息，电子邮件身份验证变得越来越必要。 大多数电子邮件服务器现在使用多种协议在电子邮件到达预期收件人之前对其进行验证。 未正确验证的电子邮件可能会出现电子邮件送达问题，最终无法送达或进入垃圾邮件文件夹。

因此，让我们使用现实世界的类比，用通俗易懂的语言讨论 3 个最重要的电子邮件身份验证协议。

SPF – 发件人策略框架

第一个也是最古老的称为发件人策略框架 (SPF)。 SPF 允许发件人验证其真实性。 让我们这样想：如果您在邮箱中收到一封印有官方信头的信件，您可以合理地确定它是真实的。 因此，考虑通过 SPF 的电子邮件的另一种方式是来自邮局的认证信函。 提供了一个跟踪号，您可以通过致电邮局来验证发件人是谁。

SPF 也类似于确认退货地址。 如果您收到一封信，其中企业名称与信函回信地址中列出的任何企业都不匹配，那么您应该对这封信持怀疑态度。 这种检查对于物理邮件通常是不必要的，但对于电子邮件也是必要的，因为很容易发送声称来自其他人的邮件。

在 SPF 期间，接收电子邮件服务器可以向电子邮件声称来自的域询问允许代表该域发送电子邮件的 IP 地址列表。 如果域未将原始服务器列为有效发件人，则电子邮件很可能不是真实的，并且 SPF 检查将失败。

DKIM – 域名密钥识别邮件

DomainKeys Identified Mail (DKIM) 是一种更新且更强大的邮件身份验证方式。 DKIM 就像一封信上的蜡封。 在可靠的邮政基础设施出现之前，信件是通过印有发件人印章戒指的封蜡进行认证的。 硬化的蜡与羊皮纸粘合在一起，几乎不可能在不留下证据的情况下篡改这封信。

压在蜡上的符号作为一种签名，因为只有一个人可以接触到图章戒指。 通过检查信封，收件人可以验证发件人的真实性以及内容是否未被更改。

让我们想象另一种方法来确保发送者的真实性和传输过程中消息内容的完整性。 想象一个带有锁定抽屉和锁定盖的盒子。 抽屉只能用寄件人的钥匙锁上。 我们将此密钥称为发件人的私钥。

盖子可以通过免费提供的钥匙锁定和解锁。 任何人都可以索取密钥的副本。 事实上，发件人已向沿线的所有邮局提供了此密钥的副本。 我们将其称为公钥。

盖子下面是一块玻璃。 通过打开盖子，任何人都可以通过玻璃检查包裹，但不能在不打破玻璃并留下证据的情况下对其进行篡改。 经检查，利害关系方可以确认官方信笺抬头，看玻璃是否完好，并验证抽屉是否用只有寄件人拥有的钥匙锁上。 沿途的每个邮局都会打开盖子以确保包裹仍然完好无损。

DKIM 的工作方式与此框类似。 发件人有一个加密私钥，用于对消息头进行编码。 公钥可在称为 DNS 或域名系统的去中心化公共互联网注册表上使用。 将消息传递到最终目的地所涉及的任何服务器都可以检索公钥并解密标头以验证消息是否有效。 就像上锁的盒子一样，公钥不能用于加密标题（并锁定抽屉的内容）； 只有私钥可以做到这一点。

我们也可以将其视为邮局提供的另一类邮件。 如果经过 SPF 认证的电子邮件是经过认证的邮件，那么经过 DKIM 认证的邮件就是挂号邮件，在传递路线上始终处于锁定状态，以防止篡改。

DMARC – 域消息身份验证报告和一致性

想象一下，有人向您发送了其中一个精美的双密码箱。 运送包裹的快递员在交付前会进行最后一次检查。 她查找包裹发件人的交付一致性政策。 他们的政策规定，包裹应该来自受信任的地址 (SPF)。

包裹还应该放在一个来自受信任的来源并持有私钥的上锁的盒子里，并且应该在运输过程中可验证地保持不变 (DKIM)。 政策进一步规定，如果不符合SPF和DKIM条件，快递员应隔离包裹并告知寄件人违规情况。

此策略类似于域消息身份验证报告和一致性 (DMARC) 策略。 DMARC 是最新的身份验证工具，基于 SPF 和 DKIM。 这是发件人通知收件人要检查哪些身份验证方法以及如果声称来自他们的邮件未通过所需检查的情况的一种方式。 说明可能包括将邮件标记为已隔离，因此可能是可疑的或完全拒绝邮件。

您可能想知道为什么发件人会希望允许传递未通过 DMARC 的消息。 DMARC 还提供了一个反馈循环，因此发件人可以监控看似来自其域的电子邮件是否符合政策。

审查

回顾一下，有三种广泛使用的身份验证协议：

1. 发件人策略框架 (SPF)执行类似于验证返回地址的检查，以验证发件人的身份。
2. DomainKeys Identified Mail (DKIM)也可以验证发件人的身份，但更进一步的是通过使用上锁的盒子或蜡封来确保邮件的内容不被更改。
3. Domain Message Authentication Reporting & Conformance (DMARC)是确保邮件在投递前满足 SPF 和 DKIM 要求的快递公司。

电子邮件身份验证对发件人意味着什么

有了 DMARC，域所有者终于可以完全控制收件人电子邮件客户端中出现的“发件人”地址。 大型邮箱提供商，如 Yahoo! 而美国在线已经实施了严格的政策。 看似来自这些域但未通过身份验证检查的电子邮件将被丢弃。 您可以在此处查看有关 Gmail 的更新，也可以在此处查看有关 Microsoft 的更新。

这意味着您永远不应从未配置为允许您的服务器通过 DKIM 和 SPF 的域发送。 如果您代表客户发送电子邮件，您需要确保您的客户拥有正确的 DNS 条目以启用此功能。

对于收件人而言，这些技术的日益普及意味着网络钓鱼和垃圾邮件的发送减少。 这总是一件好事。

如果您在电子邮件身份验证方面需要帮助，或者您在电子邮件传递方面遇到困难，SendGrid 有电子邮件计划和专家服务来帮助您解决所有问题。

其他资源

• https://sendgrid.com/blog/a-dkim-faq/
• https://sendgrid.com/blog/sender-policy-framework-spf-a-layer-of-protection-in-email-infrastructure/
• https://sendgrid.com/blog/what-is-dmarc/