如何使用 DKIM 防止域欺骗

已发表: 2020-03-24

在 1980 年代,当电子邮件和 SMTP(简单邮件传输协议)被开发出来时,不需要对消息进行验证和确认。 在大多数情况下,当时唯一使用电子邮件的组织是大公司和教育机构。

不幸的是,随着电子邮件的增长,不良行为者发现他们可以通过发送恶意邮件、欺骗域和发送垃圾邮件来利用收件人。 例如,某人可能表现得好像他们代表受信任的品牌或发件人发送邮件,并试图让收件人做出回应并提供个人敏感信息。 其他发件人使用电子邮件将不需要的消息发送到他们可以得到的任何地址,这种做法最终导致了 CAN-SPAM 法案。

提示:当不良行为者从伪造的电子邮件地址创建电子邮件并将其发送给收件人时,就会发生电子邮件欺骗。 阅读更多关于为什么永远不要从您无法控制的域发送电子邮件的信息;请参阅我们的博客文章不要从您无法控制的域发送电子邮件

开发了 SPF、DKIM 和 DMARC 等电子邮件身份验证实践,以阻止这些类型的恶意电子邮件到达收件人收件箱。

什么是 DKIM?

DKIM(DomainKeys Identified Mail)是一种由 Cisco 和 Yahoo 创建的加密技术,发件人可以使用它来“签署”他们的邮件。 DKIM 允许电子邮件消息的接收者检查该消息是否由负责域的发件人授权和发送。 当邮件未使用 DKIM 签名时,Gmail 和 Microsoft 等收件箱提供商可以阻止邮件并阻止它们发送给收件人。

DKIM 是如何工作的?

DKIM 是一种相对简单的电子邮件身份验证形式,因为它的唯一功能是验证电子邮件的发件人是否对发送电子邮件的域负责,并且他们对电子邮件的内容负责。 DKIM 的两个步骤是:

  1. 发件人在他们的邮件服务器上添加一个私钥并对邮件进行签名。
  2. 接收服务器检查存储在 dkimselector._domainkey.domain.com 的 txt 记录中的公钥,以验证发送方添加的私钥。

DKIM 如何防止域欺骗?

作为一个品牌,如果您实施 DKIM,您实际上是在签署您的电子邮件并告诉收件箱提供商他们收到的邮件来自您的域,并且您对此负责。 这意味着不良行为者无法从@yourcompany.com 等地址发送邮件。

为什么 DKIM 很重要?

DKIM 很重要,因为它是收件箱提供商验证发件人身份的方式之一。 如果不正确实施 DKIM,许多收件箱提供商会阻止您的电子邮件,从而阻止您的邮件到达预期的目的地。 虽然这似乎不是非常重要,但如果您的少量消息被阻止,它可能会对您的业务产生重大影响。

如何在 SendGrid 中实现 DKIM?

创建 SendGrid 帐户后,您可以选择实施手动或自动安全性。 通过选择实施自动化安全,SendGrid 将为您管理您的 SPF 和 DKIM 记录。 通过这样做,如果您对帐户进行了影响电子邮件送达率的更改(例如添加新的 IP 地址),SendGrid 将代表您更新您的 DKIM 和 DNS 设置。

如何测试 DKIM?

有多种 DKIM 测试工具可供在线使用。 使用 DKIM 分析器或 DKIM 检查器之类的工具将帮助您确定您是否准确地发布了您的 DKIM 记录。 通常,强烈建议您对 SPF 或 DKIM 记录所做的任何更改在实施之前进行测试。

提示:无论您拥有何种 SendGrid 帐户,DKIM 都可用于专用 IP 地址和共享 IP 地址池,以帮助提高您的电子邮件送达率。

DKIM 不做什么?

虽然 DKIM 确实为发件人提供了一种对其邮件进行签名的方式,以便收件箱提供商知道他们对发送邮件的内容和域负责,但 DKIM 没有做一些事情:

  • DKIM 不会告诉收件箱提供商如何处理邮件。 与 DMARC 等电子邮件身份验证技术不同,DKIM 没有说明如果邮件失败或通过验证该怎么办。
  • DKIM 不考虑邮件的发件人。 即使邮件通过了 DKIM 验证,负责邮件的发件人仍然可能是发送恶意电子邮件的坏人。
  • DKIM 不会阻止重新发送邮件。 如果收件人打开并转发了恶意电子邮件,则该邮件仍然可以打开并且对后续收件人有害。

SPF 与 DKIM 有何不同并且两者都需要?

SPF 允许发件人告诉 ISP 哪些 IP 可以代表他们发送。 DKIM 允许 ISP 验证发送的内容是否是原始发送者的意图。 有关如何正确递送电子邮件的更多信息,请查看我们的2019 年电子邮件递送指南

SPF 或 DKIM 都不能完全保护电子邮件。 每个人都缺少一个重要的部分。 SPF 缺少邮件验证,DKIM 缺少验证邮件来自何处的方法。 两者都需要成为安全的电子邮件发件人。

什么是顶级 DKIM 提示?

  • DKIM 必须是在发送之前添加到消息中的最后一个内容。 如果在之后添加签名、空格、另一个标题——任何东西——都会失败。
  • 可以对标头或标头和正文都进行签名。 Gmail 建议您同时签名。
  • 雅虎反馈循环基于发件人 DKIM 签名,他们使用部分签名来匹配发件人与投诉。 如果您不使用 DKIM(或域密钥),则无法使用 Yahoo 反馈循环。
  • 大多数 SendGrid 客户都会将我们的标准 DKIM 自动插入到标题中。

是否有任何资源可用于了解有关 DKIM 的更多信息?

当然,请查看:http://dkimcore.org/tools/keycheck.html 和 http://www.dkim.org。
要了解有关使用您的 SendGrid 帐户和消息实现 DKIM、SPF 或 DMARC 的更多信息,您可以查看 SendGrid 的文档。

通过验证您的电子邮件来帮助收件箱提供商

为确保客户继续回复您的消息,您必须帮助 ISP 保护您的品牌。 通过使用 d= 使用 DKIM 对您的所有域进行签名,您就是在告诉 ISP 阻止任何不在“命中列表”上的域。 因此,请务必签署您发送促销和交易电子邮件的所有域。 (这包括您的子域,因此请确保您拥有完整的清单。)

请记住,DKIM 回答了两个关键问题——电子邮件是否具有有效签名以及哪个域对其进行了签名。 它不能确保电子邮件的可传递性,但肯定会有助于改进它。 此外,它将有助于防止品牌被黑客入侵时发生的所有附带后果。 花时间采取预防措施有助于保护您的声誉和品牌。

要了解有关电子邮件身份验证和确保电子邮件送达率的策略的更多信息,请下载我们的免费SendGrid 电子邮件基础架构指南