企业邮件安全防护实践

域名密钥识别邮件(DKIM)是一种防范电子邮件欺诈的验证技术。其 使用一对密钥(一个私钥和一个公钥)来验证邮件内容是否被篡改或伪造，主要通过以下步骤来实现。

• 将与邮件服务器匹配的公钥添加到邮件域名系统 (DNS) 记录中，通常通过TXT记录来实现。
• 发件服务器使用私钥对所有外发的邮件中添加加密标头。
• 收件方电子邮件服务器从DNS记录中获取公钥，并使用此公钥解密邮件标头，来验证邮件来源。

其工作原理及流程如下图：

配置DKIM：

DKIM的设置比较简单，从其工作原理来看，只需要如下3点即可：

为您的网域生成域名密钥。生成密钥时有两点需要注意，如你使用的DNS的txt记录为256位，DKIM密钥长度要选择1024位，如果没有此限制，则可以选择2048位密钥。如果注册商支持 2048 位的密钥，我们建议您使用该长度的密钥。如果您先使用 1024 位密钥，后期切换到 2048 位密钥，也不会有任何影响。可以使用 openssl 工具生成一对公钥和密钥，Windows 和 Linux 都可以操作，请自行搜索方法; 或者在

http://dkimcore.org/tools/网站在线生成。

向网域的 DNS 记录添加公钥。电子邮件服务器可使用此密钥读取邮件 DKIM 标头。

开启 DKIM 签名功能以开始将 DKIM 签名添加到所有外发邮件中。

配置DKIM操作示例：

具体操作步骤根据邮件服务商的不同而略有不同，以下以Winmail为例进行说明^3：第1步，在”反垃圾设置”/”SMTP设置”下， 选择”启用 DKIM (DomainKeys Identified Mail) 检查”。

第2步：Winmail 里设置域名发件使用 DKIM 数字签名在要设置的域名 abc.com 属性的 DKIM 标签里点击”生成私钥”

“选择器”一定要有，默认是: mail，可以自己设置，完整拷贝上面的 “TXT 记录”,例如:

mail._domainkey.abc.com TXT k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQ... 

Winmail 会从私钥自动生成公钥进而生成 TXT 记录值，所以只输入私钥就可以了。 第三步. 在域名服务商域名解析系统里增加一条 TXT 记录，例如：

记录类型     主机记录                        记录值 
  TXT      mail._domainkey     k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQ...  

增加 TXT 记录后，需要一段时间(10分钟-24小时)才能生效，可以使用命令行查询：

nslookup -q=txt mail._domainkey.abc.com 

如果已经生效，会显示：

mail._domainkey.abc.com text = "k=rsa; p=MIGfMA0GCSqGSIb3... 

第四步.如果 Winmail 里有多域名，DKIM 要生成不同的密钥分别设置，也可以有的设置有的不设置第五步接收邮件测试，确认 DKIM 检查生效可以使用 qq 邮箱发进来一封邮件，查看 Winmail 里的 smtp 日志，会有出现 DKIM verifying enabled 或 启用 DKIM 验证 字样。第六步发送邮件测试，确认每封邮件信头里存在 DKIM 数字签名字串发一封邮件到内部邮箱，发给自己也可以，查看 Winmail 里的 smtp 日志，会有出现 DKIM signing enabled、启用 DKIM 签名 字样。 在 Webmail 里查看这封邮件，选择”更多”-”邮件源码”，在邮件头里会出现一段如下文字：

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; 
    d=abc.com; s=mail; t=1458090487; h=Date:From:To: 
    Reply-To:Subject:Message-ID:Content-Type:MIME-Version; bh=RBrzM2 
    ccFCYSkSJUKwSj5FQ/IQj6UrOI1/+rZiw0+aI=; b=Esn3j84HzzVC+VbRgf/i7N 
    ... 
    SWtPgVyJx91CJKFGbVaFI= 

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!