Mail Server 知識庫 - DKIM 外寄信件簽章

DKIM 外寄信件簽章

2.3 版之後旗艦版新增了 DKIM 外寄信件簽章的功能, 此功能可以在外寄信件時對信件進行 DKIM 簽章以讓收方可以驗證寄方來源的真實性. 詳情請看 http://en.wikipedia.org/wiki/DomainKeys_Identified_Mail

要使用 DKIM 的功能, 需要兩個重要的設定, 以網域 mail-server.tw 為例, 我們要先隨便定義一個特定字串做為 selector, 此範例我們用 s1024 做為 mail-server.tw 的 selector . 然候接著進行下列的設定.

Mail Server 端: 先產生一組金鑰(私密金鑰, 公開金鑰), 並命名為 selector 為 s1024 作為金鑰組的代號, 並規定系統在以 mail-server.tw 網域名義寄信時要以金鑰組的私鑰對信件進行 DKIM 簽章.

DNS Server 端: 在 DNS Server 裡要建立 s1024._domainkey.mail-server.tw 為名的 DKIM TXT 記錄, 此記錄內容就是剛剛雷電MAILD 建立好的 DKIM TXT 記錄內容複製貼上即可, 內容如下:

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDKhp5D
aXKuJM9wV6Ta2/ywdAsOKLBqL71Wb6nx5q0QRDVQrBhemMiMwzj1fXsBGKn43ojZ
zfNCjThVTrgJ31pCwzTWLQy5zIzXSUaI179Z8OgKyVf7IYsw6XcmryI040k4Jrt5OX03
bw7m0bfhDOKxIBHD7BXCScGRIiuBB+n0PwIDAQAB

(以上資料為一長串, 請忽略換行)

由於我是在 pchome 申請 mail-server.tw 網域的, 所以, 以 pchome 的網址服務做為範例, 登入帳號進到DNS設定:

新增一筆主機 / 次網域 名為 s1024._domainkey 的 TXT 記錄, 在地址欄位填入剛複製的 DKIM TXT 記錄內容, 然後送出就完成了.

完成以上兩項設定, 等 TXT 記錄生效後就可以開始準備測試 DKIM 功能了.

首先, 小弟想先教您用nslookup 查詢 DKIM TXT 記錄, 要查之前要先知道你要查的 selector 是什麼, 然後查 selector._domainkey.網域即可以查到此網域的 selector 為名的 DKIM TXT 記錄, 既然 DKIM TXT 記錄是依據 selector 的資料, 那也表示一個網域下可以有多筆的 DKIM TXT 記錄, 只要它對應到的是不同的 selector.

C:\nslookup
> set q=txt
> s1024._domainkey.mail-server.tw
伺服器: hntp1.hinet.net
Address: 2001:b000:168::1

未經授權的回答:
s1024._domainkey.mail-server.tw text =

"v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDKhp5D
aXKuJM9wV6Ta2/ywdAsOKLBqL71Wb6nx5q0QRDVQrBhemMiMwzj1fXsBGKn43ojZ
zfNCjThVTrgJ31pCwzTWLQy5zIzXSUaI179Z8OgKyVf7IYsw6XcmryI040k4Jrt5OX0
3bw7m0bfhDOKxIBHD7BXCScGRIiuBB+n0PwIDAQAB"
>

確認 DKIM TXT 記錄已經生效後, 就可以以寄件人 xxxx@mail-server.tw 的名義寄信到 yahoo 信箱去, 然後找到那封信(不管是在收件匣還是垃圾信匣, 因為有 DKIM 簽章不代表別人就認定不是廣告信, 因為廣告信還是可以簽章的) , 打開信件在下方您可以找到"了解更多" , 點下去選"顯示完整標題", 您可以找到以下這行來了解這封信是否有通過 DKIM 檢查.

Authentication-Results: mta1067.mail.tw1.yahoo.com from=mail-server.tw; domainkeys=neutral (no sig); from=mail-server.tw; dkim=pass (ok)

也可以寄到 gmail 去，打開信件->點右邊的... (更多)-> 顯示郵件原始郵件，也能了解您寄信端的 SPF, DKIM, DMARC 的檢驗結果。

看到這邊或許您會有疑問, 如果 DKIM 無法把信從廣告信變正常信, 那它有什麼用? 小弟的解釋是, 假如你的 IP 和網域都是清白的, 但寄信會被誤認為廣告信, 那麼 DKIM 能幫您的信件加分. 如果你的 IP 和網域在使用 DKIM 前就已經名譽不好, 那麼 DKIM 可能無法把你廣告信發送源的事實改變. 所以它可以算是一個"正規且合法"的郵件伺服器的設定, 並不是成為廣告信發送源後的補救措施.

恭喜您. 進行到這邊就已經完成了, 如有問題歡迎到尊龍討論區來發問. 謝謝您的閱讀.

感謝您看完此篇文章

回知識庫首頁

Copyright (C) http://www.raidenmaild.com/ . , all rights reserved. The copyrighted works contained in this information service shall not be copied, reproduced, varied, altered, modified, adapted, distributed, performed and displayed in any form without the written permission of the copyright owner. All trademarks belong to their respective owners .