DKIM(domainkey）是什么？

電子郵件驗證標準——域名密鑰識別郵件標準。DomainKeys Identified Mail的縮寫。
DKIM由互聯網工程任務組（IETF）開發而成；針對的目標是互聯網最嚴重的威脅之一：電子郵件欺詐。
一般來說，發送方會在電子郵件的標頭插入DKIM-Signature及電子簽名資訊。而接收方則透過DNS查詢得到公開金鑰後進行驗證。

發送端所做的事情

1.生成一對密鑰，即公鑰和私鑰

2.通過DNS發送domainkey的公鑰

3.發送郵件時，用私鑰加密該郵件，并將加密后的密文附加到郵件中

 

接收端所做的事情

1.提取信頭中dkim信頭，并查詢該發件域的公鑰。

2.利用該公鑰，對信頭中的密文進行驗證。

3.查詢該域名的_adsp._domainkey記錄，可按該策略進行處理。


DKIM的工作原理


DKIM讓企業可以把加密簽名插入到發送的電子郵件中，然后把該簽名與域名關聯起來。簽名隨電子郵件一起傳送，而不管是沿著網絡上的哪條路徑傳送，[1]電子郵件收件人則可以使用簽名來證實郵件確實來自該企業。


DKIM 的基本工作原理同樣是基于傳統的密鑰認證方式，他會產生兩組鑰匙，公鑰(public key)和私鑰(private key)，公鑰將會存放在 DNS 中，而私鑰會存放在寄信服務器中。數字簽名會自動產生，并依附在郵件頭中，發送到寄信者的服務器里。公鑰則放在DNS服務器上，供自動獲得。收信的服務器，將會收到夾帶在郵件頭中的簽名和在DNS上自己獲取公鑰，然后進行比對，比較寄信者的域名是否合法，如果不合法，則判定為垃圾郵件。 由于數字簽名是無法仿造的，因此這項技術對于偽造域名的垃圾郵件制造者將是一次致命的打擊，他們很難再像過去一樣，通過盜用發件人姓名、改變附件屬性等小伎倆達到目的。在此之前，垃圾郵件制造者通過把文本轉換為圖像等方式逃避郵件過濾，并且使得一度逐漸下降的垃圾郵件數目再度抬頭。


DKIM的設置方法
1. 使用DKIM功能首先要確定你的域名提供商，能支持txt記錄添加公鑰的服務；
2. 使用openssl工具生產一對公鑰和密鑰；
3. 登錄域名管理添加txt記錄；
4. 登錄turobmail管理員


客戶配置使用該功能后，發送郵件時在每封電子郵件上增加加密的數字標志，以支持接收方與合法的互聯網地址數據庫中的記錄進行比較。由于GMAIL、YAHOO、SINA、QQ等大型郵箱系統會對收件進行DKIM驗證，因此配置此功能后，能大大提高客戶們發郵件至這些大型郵箱系統的成功率。


DKIM與競爭者的對比
由微軟推出的Sender ID是DKIM唯一的競爭對手，不過在過去的兩年多時間內，DKIM顯然已經走在前面并獲得了更多的支持者，它們之間的區別在于：
1.DKIM是一項完全免費的開放源碼標準；而微軟則要求使用標準的組織必須簽署一項許可協議。
2.在使用DNS服務器方面DKIM與Sender ID一樣進行發信人認證，但DKIM加入了密鑰數字簽名，因此更加可靠。

DKIM結合了兩種協議

雅虎開發的域名密鑰（DomainKeys）協議和思科開發的互聯網郵件識別（Identified Internet Mail）協議。這兩家公司攜手其他郵件服務廠商和ISP，與IETF的DKIM工作組一起制訂技術規范，這些規范差不多已經完成了。