企业邮件安详防护实践

域名密钥辨认邮件(DKIM)是一种防御电子邮件诓骗的验证技能。其 行使一对拒钥(一个私钥和一个公钥)来验证邮件内容是否被改动或伪造，首要通过以下步调来实现。

• 将与邮件处事器匹配的公钥添加到邮件域名体系 (DNS) 记录中，凡是通过TXT记录来实现。
• 发件处事器行使私钥对全部外发的邮件中添加加密标头。
• 收件方电子邮件处事器从DNS记录中获取公钥，并行使此公钥解密邮件标头，来验证邮件来历。

其事变道理及流程如下图：

设置DKIM：

DKIM的配置较量简朴，从其事变道理来看，只必要如下3点即可：

为您的网域天生域名密钥。天生密钥时有两点必要留意，如你行使的DNS的txt记录为256位，DKIM密钥长度要选择1024位，假如没有此限定，则可以选择2048位密钥。假如注册商支持 2048 位的密钥，我们提议您行使该长度的密钥。假如您先行使 1024 位密钥，后期切换到 2048 位密钥，也不会有任何影响。可以行使 openssl 器材天生一对公钥和密钥，Windows 和 Linux 都可以操纵，请自行搜刮要领; 可能在

http://dkimcore.org/tools/网站在线天生。

向网域的 DNS 记录添加公钥。电子邮件处事器可行使此密钥读取邮件 DKIM 标头。

开启 DKIM 署名成果以开始将 DKIM 署名添加到全部外发邮件中。

设置DKIM操纵示例：

详细操纵步调按照邮件处事商的差异而略有差异，以下以Winmail为例举办声名^3：第1步，在”反垃圾配置”/”SMTP配置”下， 选择”启用 DKIM (DomainKeys Identified Mail) 搜查”。

第2步：Winmail 里配置域名发件行使 DKIM 数字署名在要配置的域名 abc.com 属性的 DKIM 标签里点击”天生私钥”

“选择器”必然要有，默认是: mail，可以本身配置，完备拷贝上面的 “TXT 记录”,譬喻:

mail._domainkey.abc.com TXT k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQ... 

Winmail 会从私钥自动天生公钥进而天生 TXT 记录值，以是只输入私钥就可以了。 第三步. 在域名处事商域名理会体系里增进一条 TXT 记录，譬喻：

记录范例     主机记录                        记录值 
  TXT      mail._domainkey     k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQ...  

增进 TXT 记录后，必要一段时刻(10分钟-24小时)才气见效，可以行使呼吁行查询：

nslookup -q=txt mail._domainkey.abc.com 

假如已经见效，会表现：

mail._domainkey.abc.com text = "k=rsa; p=MIGfMA0GCSqGSIb3... 

第四步.假如 Winmail 里有多域名，DKIM 要天生差异的密钥别离配置，也可以有的配置有的不配置第五步吸取邮件测试，确认 DKIM 搜查见效可以行使 qq 邮箱发进来一封邮件，查察 Winmail 里的 smtp 日记，会有呈现 DKIM verifying enabled 或 启用 DKIM 验证 字样。第六步发送邮件测试，确认每封邮件信头里存在 DKIM 数字署名字串发一封邮件到内部邮箱，发给本身也可以，查察 Winmail 里的 smtp 日记，会有呈现 DKIM signing enabled、启用 DKIM 署名 字样。 在 Webmail 里查察这封邮件，选择”更多”-”邮件源码”，在邮件头里会呈现一段如下笔墨：

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; 
    d=abc.com; s=mail; t=1458090487; h=Date:From:To: 
    Reply-To:Subject:Message-ID:Content-Type:MIME-Version; bh=RBrzM2 
    ccFCYSkSJUKwSj5FQ/IQj6UrOI1/+rZiw0+aI=; b=Esn3j84HzzVC+VbRgf/i7N 
    ... 
    SWtPgVyJx91CJKFGbVaFI= 

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!