dkim

dkim是用來識別電子郵件合法以及完整性的一種技術(shù)手段，主要方式是通過非對稱加密對郵件本身進(jìn)行簽名，郵件接收方可以使用發(fā)送方提供的公鑰對簽名進(jìn)行校驗(yàn)，來確認(rèn)郵件是否偽造或者被篡改。

如何查看dkim

dkim簽名被放在郵件原始內(nèi)容的header DKIM-Signature中。用來驗(yàn)證簽名的公鑰放在指定域名的txt記錄中，域名格式為：[selector]._domainkey.[domain]，其中selector和domain兩個字段我們可以從簽名里面獲得。

如下是DKIM-Signature的樣本：

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=okta.com; h=content-type:from:mime-version:subject:reply-to:list-unsubscribe: list-unsubscribe-post:to:cc:content-type:from:subject:to; s=cs1; bh=ypeqONcClQagR0kT04HrbN3qC+qUicpfaZbwpvfEk4g=; b=CtgFBpVnIQICeGi5jNo4ih4jmvIkqeME229RRxP7ZuUx3W/oo9efsVXq5fxInlxHD8+C o2xAvL7WzEA6uqQdT3qZ5hGYDx8FDg8aBJBsa4R3NilKqt/ke9rxwzIXSIiUchV4In2+ev N7YhwbM0wSVEkBY3pPLOmnPkk9cPMY/2zT7ySxoNrOLvF3l7mnBrXp/O9xi3P3U/FVuF4N F8cUzSkD3nj4ic9VftCiZGwB9tdv+1cIPTFothrwbsk/6zfd2Ecc88jMAcC4V36XPqTmVQ WixvOZf3R0zK/v69gdd0jBHpZjlY18rWFysE6wltYV9ALFay0YLpBRBNEYcxbbZw==

d: 獲取公鑰的根域名

s: 獲取公鑰域名的selector

以上面的簽名內(nèi)容為例，那么我們可以從域名cs1._domainkey.okta.com中獲取公鑰。

h：列出了用于創(chuàng)建數(shù)字簽名的字段

bh：郵件正文的hash值

b：郵件簽名內(nèi)容，使用b和bh生成，并使用私鑰簽名。

SPF

SPF是用來驗(yàn)證發(fā)送郵件的服務(wù)器合法性的一套機(jī)制。通過聲明指定域名的郵件服務(wù)器ip地址列表，收件人可以根據(jù)發(fā)送著封郵件的服務(wù)器ip地址來判斷這封郵件是否來自合法的發(fā)送方。

spf如何工作

當(dāng)服務(wù)器a發(fā)送電子郵件到服務(wù)器b時，服務(wù)器b會讀取電子郵件的返回路徑email@xxreturn.com (返回地址不同于“發(fā)件人”地址，專用于收集和處理退回的消息)。之后搜尋該郵箱域名的spf記錄，之后驗(yàn)證服務(wù)器a的ip地址是否在spf記錄中，如果不在則說明該郵件并不來自于合法的發(fā)件服務(wù)器。

如何查詢spf記錄

spf記錄存放于郵箱域名的txt記錄中，以v=spf1開頭。spf記錄支持引用關(guān)系，很多時候一條spf記錄會引用其他記錄，只要是在被引用的列表中的ip都認(rèn)為是合法ip地址。

以gmail.com為例，首次查詢txt記錄時會看到如下結(jié)果：

"v=spf1 redirect=_spf.google.com"

我們再次查詢 _spf.google.com的spf記錄

v=spf1 include:_netblocks.google.com include:_netblocks2.google.com include:_netblocks3.google.com ~all

?繼續(xù)查詢_netblocks.google.com的spf記錄

"v=spf1 ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16 ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17 ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"

這里所列出來的ip地址均為gmail.com郵件服務(wù)器合法ip。當(dāng)然不止這些，我們需要把所有被引用的記錄都遍歷一遍才能拿到所有的ip列表。

DMARC

DMARC政策用來告訴郵件服務(wù)器如何處理那些spf或者dkim校驗(yàn)失敗的郵件。是忽略這些失敗的校驗(yàn)，還是放到垃圾郵箱或者不做轉(zhuǎn)發(fā)。

如何查詢DMARC記錄

dmarc記錄可以在郵箱域名的_dmarc子域名的txt記錄中找到，比如郵箱@gmail.com, 對應(yīng)的dmarc記錄在_dmarc.gmail.com的txt記錄中，以v=DMARC1開頭。如下是gmail郵箱的dmarc記錄

"v=DMARC1; p=none; sp=quarantine; rua=mailto:mailauth-reports@google.com"

DMARC的定義

• p=quarantine?表示電子郵件服務(wù)器應(yīng)當(dāng)“隔離”未通過 DKIM 和 SPF 的電子郵件，將它們視為潛在的垃圾郵件。其他可能的設(shè)置包括?p=none，它允許未通過檢查的電子郵件仍然傳遞，以及?p=reject，它指示電子郵件服務(wù)器阻止未通過檢查的電子郵件。
• adkim=s?意味著 DKIM 檢查是“嚴(yán)格的”。將?s?改為?r，即可將其設(shè)置為“寬松的”，比如?adkim=r
• aspf=s?與?adkim=s?的意義相同，但是針對 SPF
• sp 用于設(shè)定該域名下其他子域名郵箱的策略
• rua=mailto:mailauth-reports@google.com 當(dāng)出現(xiàn)郵件的安全校驗(yàn)未通過時，發(fā)送報告到郵箱mailauth-reports@google.com

?