常见的三种电邮安全协议SPF/DKIM/DMARC

随着进入数据时代，诈骗邮件及钓鱼邮件开始大爆发，屡屡出现企业的邮件账号被盗，财务诈骗事件时有发生。现在还没有哪家反垃圾网关能100%彻底杜绝这类邮件，但是我们还是通过马斯克的第一性原理来一大幅提高邮件安全，减少大量的诈骗邮件，降低可能的安全风险。

马斯克的“第一性原理”是一种思维方式，一种行动方式。通过“第一性原理”接近事物的本质，只有看到事物的本质，把事物拆分到最基本的实质，再从本质往上走才是创新和探索未知的正确打开方式。

将第一性原理运用到邮件安全领域也是完全可以的

当前 Email 通信，还是在使用 SMTP 这个协议。SMTP 实际上是一个非常简单的传输协议，本身并没有很好的安全措施。根据 SMTP 的规则，发件人的邮箱地址是可以由发信方任意声明的。在 SMTP 协议制定的时候也许还好，但在垃圾和诈骗邮件横行的今天，这显然是极不安全的。

SPF的设置，就是为了防止随意伪造发件人。DKIM策略和DMARC策略也是如此。

下面就三个安全协议SPF/DKIM/DMARC 分别做下介绍。

SPF 原理

SPF 记录实际上是服务器的一个 DNS 记录，原理其实很简单：

假设邮件服务器收到了一封邮件，来自主机的 IP 是173.194.72.103，并且声称发件人为email@example.com。为了确认发件人不是伪造的，邮件服务器会去查询example.com的 SPF 记录。如果该域的 SPF 记录设置允许 IP 为173.194.72.103的主机发送邮件，则服务器就认为这封邮件是合法的；如果不允许，则通常会退信，或将其标记为垃圾/仿冒邮件。

因为不怀好心的人虽然可以「声称」他的邮件来自example.com，但是他却无权操作example.com的 DNS 记录；同时他也无法伪造自己的 IP 地址。因此 SPF 是很有效的，当前基本上所有的邮件服务提供商（例如 Gmail、QQ邮箱等）都会验证它。

DKIM介绍：

是一种用于检测电子邮件欺骗的电子邮件身份验证方法。它允许接收方检查声称来自特定域的电子邮件是否确实由该域的所有者授权。 旨在防止电子邮件中伪造的发件人地址，这是一种常用于网络钓鱼和垃圾邮件的技术。

在技术方面，DKIM允许域名通过在其上附加数字签名将其名称与电子邮件相关联。使用DNS中发布的签名者公钥进行验证。有效签名可确保自签名签名后电子邮件的某些部分（可能包括附件）未被修改。通常，DKIM签名对最终用户不可见，并且由基础设施而不是消息的作者和收件人加贴或验证。在这方面，DKIM与端到端数字签名不同。

一个典型的DKIM签名头如下:

DKIM-Signature: v=1; a=rsa-sha256; d=example.net; s=brisbane; c=relaxed/simple; q=dns/txt; l=1234; t=1117574938; x=1118006938; h=from:to:subject:date:keywords:keywords; bh=MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI=; b=dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZ VoG4ZHRNiYzR

当收到一封邮件后，支持dkim的服务商就会查询brisbane._domainkey.example.net的txt记录，从中找到公钥，一个保存dkim公钥的txt记录如下:

v=DKIM1\;k=rsa\;p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDRDG9+KjIHtJXilSxHtbS92dsEuKZ1mSWBu/e9L3ZpkDpYlOYsqiD8grXafNoIuwrxBpXW2lg2LbwkvugNDjJtQ7SQTPpP6b5hL23i8ezCYKeMTA8XM1618BtO2ZWHmWBOEvlEC11vmCZuuQc0RAxXa1H6hz0C13W+Qg/Qz+xYNQIDAQAB

DMARC介绍：

DMARC代表“基于域的消息身份验证，报告和一致性”，是一种电子邮件身份验证，策略和报告协议。它建立在广泛部署的SPF和DKIM协议的基础上，增加了与作者（发件人）域名的联系，为收件人处理身份验证失败的已发布策略，以及从接收者到发件人的报告，以改进和监控域的保护。

设置DMARCK记录,示例：

1,登录域名管理后台，找到需要添加DMARCK记录的域名，增加TXT记录;

2,设置DMARC记录之前，请务必确保已设置SPF记录;

3,设置了SPF记录后，添加以下DMARC记录：

注意：Dmarc记录里，有两个值可由您来自定义：

p：用于告知收件方，当检测到某邮件存在伪造发件人的情况，收件方要做出什么处理，reject为拒绝该邮件；none为不作任何处理；quarantine为将邮件标记为垃圾邮件。

ruf：用于当检测到伪造邮件，收件方须将检测结果发送到哪个邮箱地址。

建议：p值最优设置方式是第一次设置选择none，观察发信情况一个月，再改为quarantine，再观察一个月，最后再设为reject。

魔高一尺道高一丈，没有哪项反垃圾技术能彻底阻挡黑客们不断提升的恶意邮件攻击技能，所以，我们根据马斯克第一性原理，安全意识是最后也是最重要的“安全网关”！

通过“第一性原理”接近事物的本质，只有看到事物的本质，把事物拆分到最基本的实质，也就是三种电邮安全协议SPF/DKIM/DMARC，再从本质往上走才是创新和探索未知的正确打开方式。