電子郵件身份驗證的工作原理

電子郵件身份驗證是一個令人生畏的主題。 通常有首字母縮寫詞和首字母縮寫詞的字母湯。 但核心概念並不復雜，大部分人都能很快理解。

隨著垃圾郵件發送者和網絡釣魚者繼續使用電子郵件分發不需要或有害的消息，電子郵件身份驗證變得越來越必要。 大多數電子郵件服務器現在使用多種協議在電子郵件到達預期收件人之前對其進行驗證。 未正確驗證的電子郵件可能會出現電子郵件送達問題，最終無法送達或進入垃圾郵件文件夾。

因此，讓我們使用現實世界的類比，用通俗易懂的語言討論 3 個最重要的電子郵件身份驗證協議。

SPF – 發件人策略框架

第一個也是最古老的稱為發件人策略框架 (SPF)。 SPF 允許發件人驗證其真實性。 讓我們這樣想：如果您在郵箱中收到一封印有官方信頭的信件，您可以合理地確定它是真實的。 因此，考慮通過 SPF 的電子郵件的另一種方式是來自郵局的認證信函。 提供了一個跟踪號，您可以通過致電郵局來驗證發件人是誰。

SPF 也類似於確認退貨地址。 如果您收到一封信，其中企業名稱與信函回信地址中列出的任何企業都不匹配，那麼您應該對這封信持懷疑態度。 這種檢查對於物理郵件通常是不必要的，但對於電子郵件也是必要的，因為很容易發送聲稱來自其他人的郵件。

在 SPF 期間，接收電子郵件服務器可以向電子郵件聲稱來自的域詢問允許代表該域發送電子郵件的 IP 地址列表。 如果域未將原始服務器列為有效發件人，則電子郵件很可能不是真實的，並且 SPF 檢查將失敗。

DKIM – 域名密鑰識別郵件

DomainKeys Identified Mail (DKIM) 是一種更新且更強大的郵件身份驗證方式。 DKIM 就像一封信上的蠟封。 在可靠的郵政基礎設施出現之前，信件是通過印有發件人印章戒指的封蠟進行認證的。 硬化的蠟與羊皮紙粘合在一起，幾乎不可能在不留下證據的情況下篡改這封信。

壓在蠟上的符號作為一種簽名，因為只有一個人可以接觸到圖章戒指。 通過檢查信封，收件人可以驗證發件人的真實性以及內容是否未被更改。

讓我們想像另一種方法來確保發送者的真實性和傳輸過程中消息內容的完整性。 想像一個帶有鎖定抽屜和鎖定蓋的盒子。 抽屜只能用寄件人的鑰匙鎖上。 我們將此密鑰稱為發件人的私鑰。

蓋子可以通過免費提供的鑰匙鎖定和解鎖。 任何人都可以索取密鑰的副本。 事實上，發件人已向沿線的所有郵局提供了此密鑰的副本。 我們將其稱為公鑰。

蓋子下面是一塊玻璃。 通過打開蓋子，任何人都可以通過玻璃檢查包裹，但不能在不打破玻璃並留下證據的情況下對其進行篡改。 經檢查，利害關係方可以確認官方信箋抬頭，看玻璃是否完好，並驗證抽屜是否用只有寄件人擁有的鑰匙鎖上。 沿途的每個郵局都會打開蓋子以確保包裹仍然完好無損。

DKIM 的工作方式與此框類似。 發件人有一個加密私鑰，用於對消息頭進行編碼。 公鑰可在稱為 DNS 或域名系統的去中心化公共互聯網註冊表上使用。 將消息傳遞到最終目的地所涉及的任何服務器都可以檢索公鑰並解密標頭以驗證消息是否有效。 就像上鎖的盒子一樣，公鑰不能用於加密標題（並鎖定抽屜的內容）； 只有私鑰可以做到這一點。

我們也可以將其視為郵局提供的另一類郵件。 如果經過 SPF 驗證的電子郵件是經過認證的郵件，那麼經過 DKIM 驗證的郵件就是掛號郵件，在傳遞路線上始終處於鎖定狀態，以防止篡改。

DMARC – 域消息身份驗證報告和一致性

想像一下，有人向您發送了其中一個精美的雙密碼箱。 運送包裹的快遞員在交付前會進行最後一次檢查。 她查找包裹發件人的交付一致性政策。 他們的政策規定，包裹應該來自受信任的地址 (SPF)。

包裹還應該放在一個來自受信任的來源並持有私鑰的上鎖的盒子裡，並且應該在運輸過程中可驗證地保持不變 (DKIM)。 政策進一步規定，如果不符合SPF和DKIM條件，快遞員應隔離包裹並告知寄件人違規情況。

此策略類似於域消息身份驗證報告和一致性 (DMARC) 策略。 DMARC 是最新的身份驗證工具，基於 SPF 和 DKIM。 這是發件人通知收件人要檢查哪些身份驗證方法以及如果聲稱來自他們的郵件未通過所需檢查的情況的一種方式。 說明可能包括將郵件標記為已隔離，因此可能是可疑的或完全拒絕郵件。

您可能想知道為什麼發件人會希望允許傳遞未通過 DMARC 的消息。 DMARC 還提供了一個反饋循環，因此發件人可以監控看似來自其域的電子郵件是否符合政策。

審查

回顧一下，有三種廣泛使用的身份驗證協議：

1. 發件人策略框架 (SPF)執行類似於驗證返回地址的檢查，以驗證發件人的身份。
2. DomainKeys Identified Mail (DKIM)也可以驗證發件人的身份，但更進一步的是通過使用上鎖的盒子或蠟封來確保郵件的內容不被更改。
3. Domain Message Authentication Reporting & Conformance (DMARC)是確保郵件在投遞前滿足 SPF 和 DKIM 要求的快遞公司。

電子郵件身份驗證對發件人意味著什麼

有了 DMARC，域所有者終於可以完全控制收件人電子郵件客戶端中出現的“發件人”地址。 大型郵箱提供商，如 Yahoo! 而美國在線已經實施了嚴格的政策。 看似來自這些域但未通過身份驗證檢查的電子郵件將被丟棄。 您可以在此處查看有關 Gmail 的更新，也可以在此處查看有關 Microsoft 的更新。

這意味著您永遠不應從未配置為允許您的服務器通過 DKIM 和 SPF 的域發送。 如果您代表客戶發送電子郵件，您需要確保您的客戶擁有正確的 DNS 條目以啟用此功能。

對於收件人而言，這些技術的日益普及意味著網絡釣魚和垃圾郵件的發送減少。 這總是一件好事。

如果您在電子郵件身份驗證方面需要幫助，或者在電子郵件送達方面遇到困難，SendGrid 有電子郵件計劃和專家服務來幫助您解決所有問題。

其他資源

• https://sendgrid.com/blog/a-dkim-faq/
• https://sendgrid.com/blog/sender-policy-framework-spf-a-layer-of-protection-in-email-infrastructure/
• https://sendgrid.com/blog/what-is-dmarc/