SPF (Sender Policy Framework) 與 DKIM (DomainKeys Identified Mail) 都屬於郵件驗證機制的一種，可應用於防範假冒郵件與垃圾郵件，另外也還有 DMARC （Domain-based Message Authentication, Reporting, and Conformance）、RBL （Real-time Blackhole List） 技術，也都是在防範假冒郵件與垃圾郵件上常見的機制，目標都是在於防範假冒郵件與垃圾郵件，差別在於驗證的核心技術細節不同。

SPF (Sender Policy Framework)

SPF 是很常被使用的機制，在 2022 年 11 月 Google 發佈的電子郵件的驗證規定中，就要求未來要發信給 Gmail 用戶的寄件者，必須選擇設定 SPF 或 DKIM 至少一項，才能順利將信件寄達 Gmail 用戶的信箱中。（被 Gmail 擋信、退信、判成垃圾信原因說明）

SPF 的設定方式，是透過在郵件寄件者的域名（例如yourdomain.com） DNS 記錄中增加 SPF 的記錄，SPF 記錄呈現樣子為一個 v=spf1 …開頭的一行純文字，這串文字中包含了被授權許可的發信伺服器 IP 地址，當收件方的收件伺服器接收到郵件時，可以透過檢查這裡的資訊，來查詢該郵件發送者域名的 DNS 記錄，並檢查是否存在 SPF 記錄，進而判斷是否要信任此郵件，被信任的郵件將可正常進入收件者信箱，不被信任的郵件，將可能被視為假冒郵件或垃圾郵件，收件伺服器可以將其標記為垃圾郵件或進行其他適當的處理。

除了 Gmail 會驗證寄信端是否有做 SPF 設定外，Yahoo、Outlook 其實也都會驗證寄信端是否有做 SPF 設定，因此建議在取得郵件服務後，都要做好 SPF 設定。

DKIM (DomainKeys Identified Mail)

Google 在 2022 年 11 月所發佈的電子郵件的驗證規定中，做 DKIM 的設定也是 Google 提供的方法之一。

DKIM 採用的是公鑰和私鑰加解密技術，透過將發送的信件進行加密，接收郵件端做 DKIM 記錄查詢並進行解密，透過公私鑰的配對技術，判斷郵件是否可被信任並接受此封信件寄達收件信箱，若是公私鑰無法成功對應上，或是發信端沒依收件端要求設定 DKIM ，那麼就會因此被判定為無法信任而被視為假冒郵件或垃圾郵件。

DKIM 的技術採用公鑰與私鑰架構，設定上除了在網域 DNS 上做 DKIM 記錄設定外，在發信端的郵件伺服器上也要做對應的私鑰設定，因此，若要使用 DKIM 設定方式，也需確認郵件服務提供商是否支援。

另外二個也同樣會使用在郵件驗證機制上的 DMARC 與 RBL 技術，以下也簡單介紹與分享。

DMARC（Domain-based Message Authentication, Reporting, and Conformance）

DMARC 是屬於輔助 SPF 與 DKIM，假設 SFP 與 DKIM 這二個驗證過程中，有一個失敗了，那麼這封郵件該怎麼處理。

RBL（Real-time Blackhole List）

RBL 是由第三方維護的黑名單系統，收件伺服器可以檢查發送者的 IP 地址是否在 RBL 中列出，當發現發送者的 IP 地址被列為垃圾郵件發送者時，收件伺服器就能拒絕或標記該郵件。

郵件驗證機制只是郵件安全的一部分，郵件服務提供商會盡力完善郵件服務功能與郵件安全性機制，但郵件使用者也需隨時提高郵件收信警覺，凡事記得多確認、多查詢，切記：

• 不輕易相信所有來信
• 不隨意點擊可疑郵件中的連結與附件
• 不輕易跟隨信中指示操作
• 不輕易提供機敏資訊

遇到可疑信件時，可立即反應給內部資安官，讓資安官確認是否需做下一步行動，也可以google 可疑信件內容查詢網路資訊確認真偽，記得千萬不要直接依照信件內提供電話回電，應至該信件署名公司的真實網站，確認電話正確性後詢問確認，避免直接落入詐騙圈套。而積極一點的作法，也能為企業導入「Secure Email Sign 電子郵件數位簽章」服務，在商務信件往來上多加一份保障。

歡迎轉載！請見：轉載原則。

Photo by Pixabay from pexels