如何使用 DKIM 防止域欺騙

已發表: 2020-03-24

在 1980 年代,當電子郵件和 SMTP(簡單郵件傳輸協議)被開發出來時,不需要對消息進行驗證和確認。 在大多數情況下,當時唯一使用電子郵件的組織是大公司和教育機構。

不幸的是,隨著電子郵件的增長,不良行為者發現他們可以通過發送惡意郵件、欺騙域和發送垃圾郵件來利用收件人。 例如,某人可能表現得好像他們代表受信任的品牌或發件人發送郵件,並試圖讓收件人做出回應並提供個人敏感信息。 其他發件人使用電子郵件將不需要的消息發送到他們可以得到的任何地址,這種做法最終導致了 CAN-SPAM 法案。

提示:當不良行為者從偽造的電子郵件地址創建電子郵件並將其發送給收件人時,就會發生電子郵件欺騙。 閱讀更多關於為什麼永遠不要從您無法控制的域發送電子郵件的信息;請參閱我們的博客文章不要從您無法控制的域發送電子郵件

開發了 SPF、DKIM 和 DMARC 等電子郵件身份驗證實踐,以阻止這些類型的惡意電子郵件到達收件人收件箱。

什麼是 DKIM?

DKIM(DomainKeys Identified Mail)是一種由 Cisco 和 Yahoo 創建的加密技術,發件人可以使用它來“簽署”他們的郵件。 DKIM 允許電子郵件消息的接收者檢查該消息是否由負責域的發件人授權和發送。 當郵件未使用 DKIM 簽名時,Gmail 和 Microsoft 等收件箱提供商可以阻止郵件並阻止它們發送給收件人。

DKIM 是如何工作的?

DKIM 是一種相對簡單的電子郵件身份驗證形式,因為它的唯一功能是驗證電子郵件的發件人是否對發送電子郵件的域負責,並且他們對電子郵件的內容負責。 DKIM 的兩個步驟是:

  1. 發件人在他們的郵件服務器上添加一個私鑰並對郵件進行簽名。
  2. 接收服務器檢查存儲在 dkimselector._domainkey.domain.com 的 txt 記錄中的公鑰,以驗證發送方添加的私鑰。

DKIM 如何防止域欺騙?

作為一個品牌,如果您實施 DKIM,您實際上是在簽署您的電子郵件並告訴收件箱提供商他們收到的郵件來自您的域,並且您對此負責。 這意味著不良行為者無法從@yourcompany.com 等地址發送郵件。

為什麼 DKIM 很重要?

DKIM 很重要,因為它是收件箱提供商驗證發件人身份的方式之一。 如果不正確實施 DKIM,許多收件箱提供商會阻止您的電子郵件,從而阻止您的郵件到達預期的目的地。 雖然這似乎不是非常重要,但如果您的少量消息被阻止,它可能會對您的業務產生重大影響。

如何在 SendGrid 中實現 DKIM?

創建 SendGrid 帳戶後,您可以選擇實施手動或自動安全性。 通過選擇實施自動化安全,SendGrid 將為您管理您的 SPF 和 DKIM 記錄。 通過這樣做,如果您對帳戶進行了影響電子郵件送達率的更改(例如添加新的 IP 地址),SendGrid 將代表您更新您的 DKIM 和 DNS 設置。

如何測試 DKIM?

有多種 DKIM 測試工具可供在線使用。 使用 DKIM 分析器或 DKIM 檢查器之類的工具將幫助您確定您是否準確地發布了您的 DKIM 記錄。 通常,強烈建議您對 SPF 或 DKIM 記錄所做的任何更改在實施之前進行測試。

提示:無論您擁有何種 SendGrid 帳戶,DKIM 都可用於專用 IP 地址和共享 IP 地址池,以幫助提高您的電子郵件送達率。

DKIM 不做什麼?

雖然 DKIM 確實為發件人提供了一種對其郵件進行簽名的方式,以便收件箱提供商知道他們對發送郵件的內容和域負責,但 DKIM 沒有做一些事情:

  • DKIM 不會告訴收件箱提供商如何處理郵件。 與 DMARC 等電子郵件身份驗證技術不同,DKIM 沒有說明如果郵件失敗或通過驗證該怎麼辦。
  • DKIM 不考慮郵件的發件人。 即使郵件通過了 DKIM 驗證,負責郵件的發件人仍然可能是發送惡意電子郵件的壞人。
  • DKIM 不會阻止重新發送郵件。 如果收件人打開並轉發了惡意電子郵件,則該郵件仍然可以打開並且對後續收件人有害。

SPF 與 DKIM 有何不同並且兩者都需要?

SPF 允許發件人告訴 ISP 哪些 IP 可以代表他們發送。 DKIM 允許 ISP 驗證發送的內容是否是原始發送者的意圖。 有關如何正確遞送電子郵件的更多信息,請查看我們的2019 年電子郵件遞送指南

SPF 或 DKIM 都不能完全保護電子郵件。 每個人都缺少一個重要的部分。 SPF 缺少郵件驗證,DKIM 缺少驗證郵件來自何處的方法。 兩者都需要成為安全的電子郵件發件人。

什麼是頂級 DKIM 提示?

  • DKIM 必須是在發送之前添加到消息中的最後一個內容。 如果在之後添加簽名、空格、另一個標題——任何東西——都會失敗。
  • 可以對標頭或標頭和正文都進行簽名。 Gmail 建議您同時簽名。
  • 雅虎反饋循環基於發件人 DKIM 簽名,他們使用部分簽名來匹配發件人與投訴。 如果您不使用 DKIM(或域密鑰),則無法使用 Yahoo 反饋循環。
  • 大多數 SendGrid 客戶都會將我們的標準 DKIM 自動插入到標題中。

是否有任何資源可用於了解有關 DKIM 的更多信息?

當然,請查看:http://dkimcore.org/tools/keycheck.html 和 http://www.dkim.org。
要了解有關使用您的 SendGrid 帳戶和消息實現 DKIM、SPF 或 DMARC 的更多信息,您可以查看 SendGrid 的文檔。

通過驗證您的電子郵件來幫助收件箱提供商

為確保客戶繼續回复您的消息,您必須幫助 ISP 保護您的品牌。 通過使用 d= 使用 DKIM 對您的所有域進行簽名,您就是在告訴 ISP 阻止任何不在“命中列表”上的域。 因此,請務必簽署您發送促銷和交易電子郵件的所有域。 (這包括您的子域,因此請確保您擁有完整的清單。)

請記住,DKIM 回答了兩個關鍵問題——電子郵件是否具有有效簽名以及哪個域對其進行了簽名。 它不能確保電子郵件的可傳遞性,但肯定會有助於改進它。 此外,它將有助於防止品牌被黑客入侵時發生的所有附帶後果。 花時間採取預防措施有助於保護您的聲譽和品牌。

要了解有關電子郵件身份驗證和確保電子郵件送達率的策略的更多信息,請下載我們的免費SendGrid 電子郵件基礎架構指南