文章总结： 本文详细介绍了四种邮件安全协议：SPF用于验证邮件发送者IP授权，DKIM通过数字签名验证邮件真实性，DMARC结合SPF和DKIM实现更严格的安全策略，S/MIME则提供邮件加密和数字签名功能。文章解释了各协议的工作原理、记录格式和验证结果，并提供了相应的验证工具，帮助读者理解如何通过这些协议防范邮件伪造和钓鱼攻击。 综合评分： 85 文章分类： 网络安全,邮件安全,安全协议,数据安全,安全建设

邮件安全相关的协议

原创

01iver Sec

01iver的安全小圈

2025年12月19日 17:08 北京

本文将介绍邮件安全相关的几个重要协议，包括SPF、DKIM、DMARC和S/MIME。

1、SPF

发件人策略框架（SPF）用于验证电子邮件的发送者。通过设置 SPF 记录，互联网服务提供商可以验证邮件服务器是否被授权为特定域发送电子邮件。SPF 记录是一个 DNS TXT 记录，其中包含允许代表您的域发送电子邮件的 IP 地址列表。

SPF的工作流程图

当发送电子邮件时，接收邮件服务器会检查该域的 SPF 记录，以验证发送服务器是否有权代表该域发送消息。电子邮件的传递（预期操作）基于 SPF 记录验证的结果。

| | | | — | — | | 验证结果 | 预期操作 | | Pass, Neutral, None | 接受（允许并处理邮件） | | SoftFail, PermError | Flag (标记为可疑但允许) | | Fail, TempError | 拒绝 (立即丢弃邮件) |

SPF 记录

示例：v=spf1 ip4:127.0.0.1 include:_spf.google.com -all

v=spf1 表示 SPF 记录的开始

ip4:127.0.0.1 指定可以发送邮件的 IP 地址（此处为 IPv4）

include:_spf.google.com 指定哪个域名可以发送邮件

-all 非授权邮件将被拒绝

有关 SPF 记录语法的更多信息，可以在https://dmarcian.com/spf-syntax-table/找到。

验证工具

https://toolbox.googleapps.com/apps/messageheader/

SPF Surveyor

2.DKIM

DKIM 代表域密钥识别邮件，用于验证正在发送的电子邮件。与 SPF 一样，DKIM 是电子邮件认证的开源标准，用于 DMARC 对齐。DKIM 记录存在于 DNS 中，但它比 SPF 更复杂。DKIM 的优势在于它能够经受转发，这使得它优于 SPF，并成为保护您电子邮件的基础。

当发送电子邮件时，发送邮件服务器使用私钥在电子邮件上添加数字签名。接收服务器从域的 DKIM 记录中检索公钥来验证消息确实来自该域。如果签名匹配，则电子邮件是真实的；否则，它可能会被标记或拒绝。

DKIM记录

示例：v=DKIM1; k=rsa; p=

v=DKIM1 指定所使用的 DKIM 版本（可选）

k=rsa 密钥类型。RSA 加密算法是标准的

p= 这是将用于与私钥匹配以验证 DKIM 签名的公钥

示例垃圾邮件邮件头

上图图是一个被标记为垃圾邮件的邮件头片段，DKIM 结果为 permerror ，表示 DKIM 验证永久失败。这可能是由于无效签名、缺少或错误的 DNS 记录、中转服务器进行了修改，或 DKIM 设置错误引起的（图中原因是no key for signature，没有签名的秘钥）。

3.DMARC

DMARC（基于域的消息认证、报告和一致性） 是一个开源标准，它使用一个称为对齐的概念，将另外两个开源标准——SPF（一个发布的服务器列表，这些服务器被授权代表一个域发送电子邮件）和 DKIM（与电子邮件相关联的防篡改域封签）的结果与电子邮件的内容关联起来。

这意味着 DMARC 确保发件人域与 SPF 和 DKIM 验证的域相匹配。如果对齐失败，DMARC 会根据记录中指定的策略指示接收服务器如何处理该电子邮件。

DMARC 记录

示例：v=DMARC1; p=quarantine; rua=mailto:[email protected]

v=DMARC1 : DMARC 版本（必需）

p=quarantine DMARC 策略（隔离 = 移至垃圾邮件文件夹）

rua=mailto:[email protected] 可选标签。在这种情况下，聚合报告将发送到指定的邮箱

其中p包含以下策略：

监控模式（p=none）：不影响邮件流（仅收集DMARC反馈）。

隔离模式（p=quarantine）：将DMARC检测失败的邮件隔离（例如移至垃圾邮件文件夹）。

拒绝模式（p=reject）：将DMARC检测失败的邮件拒收（完全不接受该邮件）。

验证工具

DMARC Domain Checker

这是 dmarcian 开发的另一个优秀工具，用于检查 DMARC、SPF 和 DKIM 记录，以识别任何问题。

4.S/MIME

安全/多用途互联网邮件扩展 (S/MIME) 是一种用于发送数字签名和加密消息的标准协议。相关流程如下图所示。

• 如果鲍勃希望使用S/MIME，则需要获取数字证书。该证书将包含他的公钥。
• 凭借此数字证书，鲍勃可用私钥对邮件进行”签名”。
• 玛丽随后可使用鲍勃的公钥解密其邮件。
• 当玛丽回复邮件时，她将采取相同操作（向鲍勃发送自己的证书），而鲍勃也将在其端完成相同流程。
• 至此，鲍勃和玛丽已互持对方证书，可用于后续通信。

最后附上邮件发送流程图

查看原文：《邮件安全相关的协议》