当前位置: 首页 > 工具软件 > SPF > 使用案例 >

使用 SPF、DKIM 和 DMARC 验证传输您的电子邮件

赵英范
2023-12-01

电子邮件:这似乎是一件简单的事情,但它可以让任何组织顺利运行。虽然它一开始只被小众人群使用,但现在,由于它的可靠性,它已经在每个人的工作空间中占据了应有的位置。

尽管每天都在使用电子邮件,但我们中的许多人对电子邮件传递的真正工作原理知之甚少。在您点击“发送”后,一系列验证协议开始发挥作用,以确保您的电子邮件到达预期的收件箱。

如果您拥有一家企业,尤其是一家在线企业,那么当您必须发送交易电子邮件时,这些协议的重要性就变得更加明显。这些电子邮件不仅必不可少且对时间敏感,而且应该是自动化的。要使这些电子邮件到达预定目的地,您的发件人信誉必须很高——这意味着您的 IP 地址和域可以被信任,不会发送垃圾邮件。您可以通过将 SPF、DKIM 和 DMARC 记录添加到您的 DNS 服务器来使您的域合法化来实现此目的。这些记录将为域提供可信度,并告诉接收服务器您是值得信赖的。

让我们来看看这些记录中的每一个,看看它们如何帮助提高您的电子邮件送达率。

SPF:

发件人策略框架 (SPF) 是一种反欺骗方法,通过该方法,接收服务器可以了解所有可以代表您发送电子邮件的服务器。通过添加此记录,您可以提供可以为您发送电子邮件的服务器的公共列表。

为什么要添加 SPF 记录?

虽然添加 SPF 记录不是强制性的,但 这样做会提高您的可信度。这样,接收服务器就会知道您的域是值得信赖的,这会增加您的电子邮件及时到达您的客户的机会。这反过来将提高您的发件人声誉和您的送达率。

SPF 的工作原理

典型的 SPF 记录如下所示:

v=spf1 包括:zeptomail.net ~all

这是一个 TXT 记录,这意味着该记录包含人类可读的文本信息。您应该在您的域的DNS 服务器中发布此记录,这是一个可供所有服务器访问的公共存储库。
SPF 记录包含以下部分:

  • V=spf1
          这个标签指定了 SPF 记录的版本,应该放在开头。
  • 包括
          这用于指定可以代表您发送电子邮件的授权服务器。您可以在包含标签中组合多个服务器名称。例如,您可以将 zylker.com 和 zeptomail.net 包含为:V=spf1 include:zeptomail.net include:zylker.com ~all。
  •  全部
          此标记位于 SPF 记录的末尾。
     -all - 所有未指定的 IP 都未授权,它们将被拒绝。
    ~all - 未指定的 IP 被标记为软失败,这意味着服务器将接受邮件,但它会被标记为 SPF 失败。
    +all – 所有 IP 地址均已授权。因此,当接收服务器收到一封电子邮件时,它会检查授权服务器的 SPF 记录。如果域的 SPF 记录中提到了发送服务器,则电子邮件将通过 SPF 检查。否则,将根据“all”标签执行必要的操作。

DKIM:

虽然 SPF 用于仅允许授权服务器发送电子邮件,但域密钥识别邮件 (DKIM) 方法可确保您的电子邮件内容在传输过程中不被修改。

为什么要使用 DKIM?

DKIM 保护您免受网络钓鱼和欺骗攻击,因此即使有人试图伪装成您,他们也无法向您的客户发送电子邮件。与 SPF 一样,DKIM 可防止您的电子邮件被重定向到垃圾邮件文件夹,从而提高您的 IP 声誉和可传递性。

DKIM 的工作原理

当您发送电子邮件时,内容会转换为哈希值——一组字符串或签名,并与电子邮件一起发送。此哈希值使用私钥加密。此密钥将存储在发送您的电子邮件的服务器中。

现在,当接收服务器截获这封电子邮件时,它会寻找一个密钥来解密哈希值。此密钥(称为公钥)应在您的 DNS 服务器中发布。一旦获得了这个公钥,接收服务器就会用这个密钥计算散列的某些部分来构建自己的散列值。将此新值与随电子邮件一起发送的加密哈希值进行比较。如果值匹配,则电子邮件通过 DKIM 检查。如果没有,我们就知道消息已被篡改。

 要启用 DKIM,您必须在 DNS 服务器中发布公钥。如果您使用电子邮件服务提供商发送电子邮件,我们将向您提供密钥。
提供给您的公钥将具有以下格式:

K=rsa;
p=***********

  • K=rsa
    “K”表示我们正在添加一个密钥,“RSA”是密钥类型。
  • P=
    这表明我们正在输入一个公钥。然后是一串字母(称为字符串值),它是实际的键。

DMARC:

既然我们已经介绍了 SPF 和 DKIM,让我们看看它们如何与基于域的消息身份验证、报告和一致性 (DMARC) 一起工作,从而提供额外的安全层。

 SPF 和 DKIM 相互配合,可以告诉接收服务器允许和拒绝哪些电子邮件。另一方面,DMARC 告诉它如何处理未通过身份验证的电子邮件。除此之外,DMARC 记录还会向 DMARC 记录中指定的电子邮件地址发送报告,其中包含域收到的电子邮件的数据。

DMARC 是域管理员在其 DNS 服务器上发布的标准。管理员应指定可用于其域的身份验证方法以及在特定电子邮件未通过身份验证时服务器应采取的操作。
与 SPF 和 DKIM 一样,DMARC 策略也是 TXT 记录。它看起来像这样:

“v=DMARC1;p=无;rua=mailto:admin@yourdomain.com”

  • V= 
    这表示使用的 DMARC 策略的版本。
  • P= 
    这个标签表示策略。它可以有三个值——无、隔离或拒绝。这表示要对电子邮件执行的操作。
  • Rua=
    此标签是 DMARC 报告应发送到的电子邮件地址。
  • Pct 
    此标签后跟一个数字,它表示您在 p 标签中选择的操作应适用于您的电子邮件的百分比。如果 PCT 不包括在内,则表示 100% 的电子邮件被覆盖。

建议分阶段推出您的 DMARC 政策。这样可以更轻松地查看您发送的电子邮件。以下是 DMARC 的实现方式:

DMARC 策略发布在相应的 DNS 服务器中。接收服务器查找在发件人地址中提到的域中发布的 DMARC 策略。
现在,基于以下三个因素评估 DMARC:

  1. 如果 SPF 记录匹配。

  2. 如果 DKIM 验证通过。

  3. 如果有域泛化。

根据上述信息,接收域将实施 DMARC 策略,并接受、拒绝或标记电子邮件。

域泛化: 

通过首先获取“发件人”地址和返回路径地址或“退回地址”中的域来检查域对齐。
对于要对齐的域,必须满足以下条件:
对于 SPF:“发件人”地址域和“退回地址”域应该匹配。
对于 DKIM:“发件人”地址域与其 DKIM 签名中的域应该匹配。

上述对齐可以是严格的(域必须完全匹配)或宽松的(主域应该匹配但子域不需要)。这些条件应包含在发送域中更新的策略中。

因此,DMARC 结合了 SPF 和 DKIM 的功能来保护您的域。一般要求在添加 DMARC 策略之前同时添加 SPF 和 DKIM。

 为什么要对我的域进行身份验证? 

就像您不会走进您不信任的区域的黑暗小巷一样,收件人服务器也不会从记录不佳的域发送电子邮件。他们会认为这些交易电子邮件不可信,并将这些电子邮件发送到收件人的垃圾邮件文件夹。

如果您希望您的电子邮件到达预期的收件箱,验证您的域将通过以下方式帮助您:

建立信任:

信任是任何企业的重要支柱。在这个在线业务时代,您应该尽一切努力建立这种信任,并且由于电子邮件通常是您与客户之间的第一联系点,因此进入垃圾邮件文件夹的电子邮件无助于您的品牌第一印象。验证您的域将告诉接收服务器您的品牌可以信任,这是向您的客户展示您也可以信任的重要一步。

帮助您接触客户:

事务性电子邮件通常具有时间敏感性,需要在所需时间到达预期目的地。即使是接收交易电子邮件的轻微延迟也会让他们感到焦虑。如果您的电子邮件不断被发送到垃圾邮件中,您的客户可能会错过重要信息。您的电子邮件发送将受到影响,您的 ESP 也可能会遇到问题。但是,您可以通过验证域来避免这种情况。

 提升品牌知名度:

建立您的品牌形象需要大量的工作。您不想让某人窃取您的身份并将其用于不道德的目的,从而危及您的品牌声誉或您的客户。尽管交易电子邮件是特定于用户的,但如果有人经常使用您的帐户发送未经请求的电子邮件,那么就会产生问题。
因此,保护​​您的域和身份非常重要。

SPF、DKIM 、DMARC 总结:

每当您发送电子邮件时,SPF、DKIM 和 DMARC 都会发挥作用。在向您的客户发送包含重要信息的交易电子邮件时,他们的作用变得更加重要。我们为您提供了所有必要的记录,以便在您的 DNS 服务器中发布,从而使您更轻松。

虽然很麻烦,如果您不熟悉发送电子邮件的后端工作,那我们再怎么强调对您的域进行身份验证的重要性都不过分。这是建立邮箱不可或缺的部分。

 类似资料: