SPF、DKIM 和 DMARC – 它们是什么以及如何工作

ahad1020

对于对电子邮件送达率技术层面感兴趣的营销人员来说，SPF（发件人策略框架）、DKIM（域名密钥身份管理）和 DMARC（基于域名的消息认证、报告和合规性）这些缩写词很快就会出现。除了这些术语朗朗上口之外，理解这些概念及其作用对于管理公司的电子邮件送达率至关重要，尤其是在设置 Eloqua 实例时。

因此，在我讨论 SPF、DKIM 和 DMARC 的功能之前，让我们先明确一下它们无法做到的事情：它们本身并不能解决任何电子邮件送达率问题。这三种方法都可以帮助您在 ISP 和其他电子邮件接收系统中建立良好的发件人信誉；但是，如果您不遵循良好的电子邮件实践，SPF、DKIM 和 DMARC 也无济于事。

它们的作用是让您能够证明您的电子邮件真实可靠。作为技术协议，它们表明 Eloqua 有权代表您的公司发送电子邮件，并且内容未经篡改。由于欺诈邮件和垃圾邮件泛滥，互联网服务提供商 (ISP) 非常重视在将任何电子邮件发送到收件人收件箱之前验证其真实性。每种协议都支持特定方面的验证，我将在下文中概述这些协议。

发件人策略框架
SPF 的主要功能是帮助电子邮件系统检查其他特定电子邮件平台是否被允许代表特定域名发送电子邮件。换句话说，如果您使用 @marketing.example.com 发送营销邮件，SPF 可帮助 ISP 检查您的特定 Eloqua 实例是否被允许使用 example.com 域名发送电子邮件。通过这种方式，SPF 可以帮助 ISP 避免电子邮件欺骗的一种情况：即一台服务器谎称自己从特定域名发送电子邮件。

要了解 SPF 的工作原理，您需要了解一些互联网运作的背景知识。如果您想在互联网上使用一个新域名，例如 relationshipone.com，则必须在域名注册机构处注册该域名。域名注册机构负责记录域名所有者以及与域名关联的 IP 地址。IP 地址是一个数字字符串（例如 116.113.255.255），西班牙电话号码库 服务器使用它来查找和转发彼此的请求和回复。

当向域名发出请求（例如查看网页）时，一个由专用服务器（称为域名服务器 (DNS)）组成的复杂网络会将该请求转发至您公司 DNS 的 IP 地址。然后，您的 DNS 会将请求转发至公司内部网络中的正确系统。

当 Eloqua 发送电子邮件时，SPF 会启用接收系统来验证与您的实例关联的 IP 地址是否有权代表该域名发送邮件。假设您的电子邮件平台的 IP 地址为 116.113.255.255，并代表 @marketing.example.com 发送电子邮件。当 ISP 收到来自您的 Eloqua 实例的电子邮件时，该 ISP 会联系您公司注册了 example.com 的 DNS，并查找将 116.113.255.255 与域名 marketing.example.com 关联的 A 记录。如果 ISP 找到该记录，则表示您的电子邮件已通过 SPF 检测。通过 SPF 检测并不意味着您的电子邮件会自动投递到收件人的收件箱中，但确实意味着您的电子邮件不会被彻底阻止。

DKIM
SPF 处理电子邮件来源的真实性，而 DKIM 则确保其内容未被未经授权的第三方更改。它通过将 DKIM 签名附加到发送的邮件中来实现这一点，接收邮件系统会使用该签名来辨别电子邮件的内容是否已被更改。

DKIM 的工作原理是使用哈希算法和加密密钥对。哈希算法是一种通过数学函数创建字母数字文本字符串的方法，而加密密钥对是两个不同的匹配字符串，用于加密和解密数据。这些密钥对的巧妙之处在于它们只能相互配合使用。一组密钥只能用于解密从其匹配的同级密钥接收的数据；不能用于解密来自其他密钥的数据。

因此，当 DKIM 签名应用于电子邮件时，电子邮件的某些部分首先会被哈希处理，生成一个看似随机的字母数字字符串。例如，relationshipone.com 可能会变成 12ri5kfk56jkfjkglf。该哈希值会使用只有您的服务器才能访问的私有密钥进一步加密。这些加密数据构成了 DKIM 签名的一部分，该签名还会详细说明同级公钥在您的 DNS 上的位置。

当您从 Eloqua 发送电子邮件时，接收邮件系统将执行以下操作：

按照您的 DKIM 签名所规定，从您的电子邮件的部分内容生成其自己的哈希值。
使用您的 DKIM 签名给出的位置来查找公钥，并使用它将加密的字符串解密为其原始哈希值。
将自生成的哈希值与解密后的哈希值进行比较。由于任何篡改都会导致自生成的哈希值与解密后的哈希值不匹配，因此如果完全匹配，则该邮件被视为未被篡改，从而通过 DKIM 验证。
DMARC
DMARC 在 SPF 和 DKIM 的基础上，提供了额外的安全和报告功能。报告功能使所有者能够在收到未经授权的邮件时采取补救措施。

要通过 DMARC，邮件必须做两件事：

通过 SPF 或 DKIM 身份验证，并且
通过 SFP 或 DKIM 验证。验证是指电子邮件中的友好发件人地址（也称为邮件发件人地址）与退回地址（也称为标头发件人地址）是否匹配。
身份验证和验证都必须在同一协议内进行。例如，您必须通过 SPF 身份验证和验证或 DKIM 身份验证和验证。
与 SPF 配合使用，DMARC 可提供更强大的防欺骗保护。SPF 可以确保特定 IP 地址的服务器有权代表特定域发送电子邮件，但它不会检查友好的发件人地址（即显示给用户的发件人地址）。例如，在 Gmail 中，经常可以看到发件人地址类似于 的电子邮件。在此示例中，友好发件人地址是 myDomain.com，但实际上是来自标头域 someOtherDomain.com 的服务器发送了该电子邮件。由于某些电子邮件客户端不会自动显示标头域，因此可能会给欺诈者提供机会。DMARC 通过检查友好格式是否与直接与发送服务器绑定的退回地址匹配来弥补这一缺陷。如果不匹配，则电子邮件将无法通过 DMARC 检查。

DMARC 的优点在于，电子邮件提供商可以控制邮件检查失败时的处理方式。当邮件检查失败时，接收邮件服务器将访问您的 DNS 来查找 DMARC 记录。该记录将指定您公司针对失败邮件的策略。该策略的范围包括：不采取任何措施、仅拒绝指定比例的失败邮件，以及隔离所有失败邮件。此外，您的 DMARC 记录还会详细说明将失败邮件的报告和警报发送到何处，这为您的 IT 团队提供了修复此问题的机会。

与 DKIM 或 SPF 不同，DMARC 并非 Eloqua 的标准设置，因此需要额外配置。此外，由于它可能影响您公司发出的所有邮件，而不仅仅是 Eloqua 发出的邮件，因此需要仔细规划。