利用 DomainKey 或 DKIM 邮件验证，发件人可使用公钥加密方法签署邮件。之后，可通过将已验证的域与邮件 From:（或 Sender:）中的域进行对比检测伪造。

DomainKey 和 DKIM 包括两个主要部分：签名和验证。AsyncOS 支持 DomainKey 流程的“签名”部分，支持 DKIM 的签名和验证流程。您还可以对退回和延迟邮件使用 DomainKey 和 DKIM 签名。

1. 管理员（域所有者）发布公钥到 DNS 命名空间。
2. 管理员在出站邮件传输代理 (MTA) 上加载私钥。
3. 使用各自的私钥对该域中授权用户提交的邮件进行数字签名。将签名作为 DomainKey 或 DKIM 签名信头插入到邮件中，然后传输该邮件。
4. 接收 MTA 从信头中提取 DomainKey 或 DKIM 签名，从邮件中提取声称的发送域（通过 Sender: 或 From: 信头）。从声称的签名域（从 DomainKey 或 DKIM 信头字段）提取公钥。
5. 使用公钥判断 DomainKey 或 DKIM 签名是否由相应的私钥生成。

要测试外发 DomainKey 签名，可以使用 Yahoo! 或 Gmail 地址，因为这些服务是免费的，并可验证 DomainKey 签名的传入邮件。

通过域配置文件在 AsyncOS 中实施 DomainKey 和 DKIM 签名，通过邮件流策略（通常为外发“中继”策略）启用这些签名。有关详细信息，请参阅“配置网关以接收邮件”一章。签署邮件是邮件网关在发送邮件前执行的最后一项操作。

域配置文件将域与域密钥信息（签名密钥和相关信息）关联。由于邮件通过邮件网关上的邮件流策略发送，因此，使用域配置文件中指定的签名密钥对匹配任何域配置文件的发件人邮件地址进行 DomainKey 签名。如果同时启用 DKIM 和 DomainKey 签名，使用 DKIM 签名。可通过 domainkeysconfig CLI 命令，或通过 GUI 中的“邮件策略”(Mail Policies) >“域配置文件和邮件策略”(Domain Profiles and the Mail Policies) >“签名密钥”(Signing Keys) 页面，实施 DomainKey 和 DKIM 配置文件。

DomainKey 和 DKIM 签名的工作原理为：域所有者生成两个密钥，一个存储在公共 DNS（与该域关联的 DNS 文本记录）的公钥，一个存储在邮件网关上对从该域发送（起源）的邮件进行签名的私钥。

Note	从 Async0S 10.0 和更高版本中，可以选择是否要使用 Web 界面的“DKIM 全局设置”(DKIM Global Settings) 页面中的“使用‘发件人：’信头进行 DKIM 签名”(From: header for DKIM Signing)。将“发件人：”信头与 DKIM 签名配合使用以进行正确的 DMARC 验证非常重要。

如果找不到有效的地址，则不对邮件签名，并将此事件记录到邮件日志中。

Note	如果创建 DomainKey 和 DKIM 配置文件（并在邮件流策略中启用签名），AsyncOS 将同时使用 DomainKey 和 DKIM 签名对外发邮件签名。

如果找到有效的发送地址，则将发送地址与现有的域配置文件匹配。如果找到匹配，则对邮件签名。否则，不进行签名直接发送邮件。如果邮件已经有 DomainKey（“DomainKey‑Signature:”信头），则仅当在初始签名后添加新发件人地址时才对邮件签名。如果邮件有现有的 DKIM 签名，在邮件中添加新 DKIM 签名。

AsyncOS 支持基于域对邮件签名，支持管理（创建新的输入现有）签名密钥。

本文档配置说明介绍的是最常见的签名和验证用途。此外，也可以在入站邮件的邮件流策略上启用 DomainKey 和 DKIM 签名，或者在出站邮件的邮件流策略上启用 DKIM 验证。

Note	在集群环境中配置域配置文件和签名密钥时，请注意域密钥配置文件设置和签名密钥设置是关联的。因此，如果复制、移动或删除签名密钥，系统会在相关配置文件上执行相同的操作。

签名密钥是邮件网关上存储的私钥。创建签名密钥时，需要指定密钥大小。密钥越大越安全；但是，密钥较大也可能会影响性能。邮件网关支持大小在 512 位和 2048 位之间的密钥。768 - 1024 位密钥被视为安全密钥，也是当今大部分发件人使用的密钥。较长的密钥可能会影响性能，且系统不支持超过 2048 位的密钥。有关创建签名密钥的详细信息，请参阅创建或编辑签名密钥。

如果您输入现有密钥，只需将其粘贴到表单。另一种使用现有签名密钥的方法是，将密钥导入为文本文件。有关添加现有签名密钥的详细信息，请参阅导入或输入现有签名密钥。

输入后，密钥可在域配置文件中使用，并显示在域配置文件的“签名密钥”(Signing Key) 下拉列表中。

将签名密钥与域配置文件相关联后，可以创建包含公钥的 DNS 文本记录。可通过域配置文件列表中“DNS 文本记录”(DNS Text Record) 列中的“生成”(Generate) 链接（或通过 CLI 中的 domainkeysconfig -> profiles -> dnstxt 命令）执行此操作：

有关生成 DNS 文本记录的详细信息，请参阅生成 DNS 文本记录。

您可以通过“签名密钥”(Signing Keys) 页面上的“视图”(View) 链接查看公钥:

域配置文件将发件人域与签名密钥，以及签名需要的其他信息关联。

• 域配置文件的名称。
• 域名（应添加到“d=”信头的域）。
• 选择器（选择器用于构建公钥查询。在 DNS 查询类型中，此值被添加到发送域命名空间“_domainkey.”的前面）。
• 规范化方法（准备信头和内容向签名算法演示的方法）。AsyncOS 对 DomainKey 支持“simple”和“nofws”，对 DKIM 支持“relaxed”和“simple”。
• 签名密钥（有关详细信息，请参阅签名密钥）。
• 要签名的信头和正文长度列表（仅限 DKIM）。
• 要在签名的信头中添加的标签列表（仅限 DKIM）。这些标签存储以下信息：
  • 代表其对邮件签名的用户或代理（例如，邮递列表管理器）。
  • 检索公钥使用的查询方法逗号分隔列表。
  • 创建签名的时间戳。
  • 以秒为单位表示的签名到期时间。
  • 签署邮件时显示的栏分隔的信头字段列表（即，|）。
• 要在签名中添加的标签（仅限 DKIM）。
• 配置文件用户列表（允许使用域配置文件进行签名的地址）。

Note	地址中由配置文件用户指定的域必须与“域”(Domain) 字段中指定的域匹配。

可以在现有的所有域配置文件中搜索特定术语。有关详细信息，请参阅搜索域配置文件。

此外，您还可以选择是否：

• 使用 DKIM 签名对系统生成的邮件进行签名

• 使用“发件人”信头进行 DKIM 签名

  有关说明，请参阅编辑 DKIM 全局设置。

执行 DomainKey 签名时，类似下文的行目将添加到邮件日志中：

Tue Aug 28 15:29:30 2007 Info: MID 371 DomainKeys: signing with dk-profile - matches user123@example.com
Tue Aug 28 15:34:15 2007 Info: MID 373 DomainKeys: cannot sign - no profile matches user12@example.com

执行 DKIM 签名时，类似下文的行目将添加到邮件日志中：

Tue Aug 28 15:29:54 2007 Info: MID 372 DKIM: signing with dkim-profile - matches user@example.com
Tue Aug 28 15:34:15 2007 Info: MID 373 DKIM: cannot sign - no profile matches user2@example.com

DKIM 验证配置文件是邮件网关的邮件流策略验证 DKIM 签名使用的参数列表。例如，您可以创建两个验证配置文件，一个在查询超时前留出 30 秒的时间，一个在查询超时前仅留出 3 秒的时间。您可以将第二个验证配置文件分配到受限制邮件流策略，以防止在 DDoS 情况下连接匮乏。验证配置文件包括以下信息：

• 验证配置文件的名称。
• 可接受的最小和最大公钥大小。默认密钥大小为 1024 和 4096。
• 邮件中要验证的最大签名数量。如果邮件中签名的数量超过定义的最大数量，邮件网关将跳过验证剩余的签名，并继续处理邮件。默认为 5 个签名。
• 发件人系统时间和检验器系统时间之间允许的最大时间差（以秒为单位）。例如，如果邮件签名在 05:00:00 到期，检验器的系统时间是 05:00:30，那么如果允许的时间差是 60 秒，邮件签名将继续有效，如果允许的时间差是 10 秒，签名将无效。默认值为 60 秒。
• 一个表明是否使用正文长度参数的选项。
• 在临时失败情况下执行的 SMTP 操作。
• 在永久失败情况下执行的 SMTP 操作。

可以按配置文件名称在现有的所有验证配置文件中搜索。

可以将 DKIM 验证配置文件导出为邮件网关配置目录中的文本文件。导出验证配置文件时，当前邮件网关上的所有配置文件均放入一个文本文件。有关详细信息，请参阅导出 DKIM 验证配置文件。

可以导入之前导出的 DKIM 验证配置文件。导入 DKIM 验证配置文件会替换当前设备上的所有 DKIM 验证配置文件。有关详细信息，请参阅导入 DKIM 验证配置文件。

要在邮件网关上使用 SPF 和 SIDF，请根据 RFC 4406、4408 和 7208 发布 SPF 记录。查阅 RFC 4407 了解如何确定 PRA 身份。您还可以访问以下网站，了解创建 SPF 和 SIDF 记录时的常见错误：

http://www.openspf.org/FAQ/Common_mistakes

如使用 spf-status 过滤器规则，可以使用以下语法检查 SPF/SIDF 验证结果：

if (spf-status == "Pass")

如果您希望在一个条件中检查多个状态判断，可以使用以下语法：

if (spf-status == "PermError, TempError")

此外，您还可以使用以下语法，根据 HELO、MAIL FROM 以及 PRA 身份检查验证结果：

if (spf-status("pra") == "Fail")

Note	只能使用 spf-status 邮件过滤器规则检查 HELO、MAIL FROM 和 PRA 身份验证结果。不能使用 spf-status 内容过滤器规则检查身份。spf-status 内容过滤器仅检查 PRA 身份。

您可能会收到以下任何一种验证结果。

• None - 由于缺少信息无法执行验证。
• Pass - 客户端获得使用特定身份发送邮件的授权。
• Neutral - 域所有者未表明客户端是否有权使用特定身份。
• SoftFail - 域所有者认为主机无权使用特定身份，但无意发表明确意见。
• Fail - 客户端无权使用特定身份发送邮件。
• TempError - 验证过程中出现瞬时错误。
• PermError - 验证过程中出现持久错误。

以下示例展示 spf-status 邮件过滤器的实际应用：

skip-spam-check-for-verified-senders:


if (sendergroup == "TRUSTED" and spf-status == "Pass"){

skip-spamcheck();

}

quarantine-spf-failed-mail:

if (spf-status("pra") == "Fail") {

if (spf-status("mailfrom") == "Fail"){

# completely malicious mail

quarantine("Policy");

} else {

if(spf-status("mailfrom") == "SoftFail") {

# malicious mail, but tempting

quarantine("Policy");

}

}

} else {

if(spf-status("pra") == "SoftFail"){

if (spf-status("mailfrom") == "Fail"

or spf-status("mailfrom") == "SoftFail"){

# malicious mail, but tempting

quarantine("Policy");

}

}

}

stamp-mail-with-spf-verification-error:

if (spf-status("pra") == "PermError, TempError"

or spf-status("mailfrom") == "PermError, TempError"

or spf-status("helo") == "PermError, TempError"){

# permanent error - stamp message subject

strip-header("Subject");

insert-header("Subject", "[POTENTIAL PHISHING] $Subject"); 

}

.

您还可以从 GUI 的内容过滤器中启用 spf‑status 规则。但是，使用 spf‑status 内容过滤器规则时无法检查 HELO、MAIL FROM 和 PRA 身份。

要从 GUI 添加 spf-status 内容过滤器规则，请依次点击邮件策略 (Mail Policies) > 传入内容过滤器 (Incoming Content Filters)。然后从“添加条件”(Add Condition) 对话框添加 SPF 验证过滤器规则。为该条件指定一个或多个验证结果。

添加 SPF 验证条件后，请指定基于 SPF 状态执行的操作。例如，如果 SPF状态为 SoftFail，可能需要隔离邮件。

spf-passed 规则将 SPF 验证的结果显示为布尔值。以下示例展示使用 spf-passed 规则隔离未标记为 spf-passed 的邮件：

quarantine-spf-unauthorized-mail:

if (not spf-passed) {


quarantine("Policy");

}

Note	不同于 spf‑status 规则，spf‑passed 规则将 SPF/SIDF 验证值简化为简单的布尔值。以下验证结果在 spf‑passed 规则中被视为未通过：None、Neutral、Softfail、TempError、PermError 以及 Fail。要基于更为精细的结果对邮件执行操作，请使用 spf‑status 规则。

下文介绍 AsyncOS 如何执行 DMARC 验证。

1. AsyncOS 上配置的侦听程序收到 SMTP 连接。
2. AsyncOS 对邮件进行 SPF 和 DKIM 验证。
3. AsyncOS 从 DNS 获取发件人域的 DMARC 记录。
   • 如果未找到记录，AsyncOS 将跳过 DMARC 验证并继续处理。
   • 如果 DNS 查找失败，AsyncOS 将根据指定的 DMARC 验证配置文件执行操作。

4. 根据 DKIM 和 SPF 验证结果，AsyncOS 对邮件执行 DMARC 验证。

   Note	如果 SPF 和 DKIM 验证已启用，DMARC 验证重新使用 DKIM 和 SPF 验证结果。

5. 根据 DMARC 验证结果和指定的 DMARC 验证配置文件，AsyncOS 接受、隔离或拒绝邮件。如果邮件并未因 DMARC 验证失败而被拒绝，AsyncOS 将继续处理。
6. AsyncOS 发送相应的 SMTP 响应并继续处理。

7. 如果启用发送汇总报告，AsyncOS 将收集 DMARC 验证数据，并在发送给域所有者的每日报告中添加这些数据。有关 DMARC 汇总反馈报告的详细信息，请参阅 DMARC 汇聚报告。

   Note	如果汇总报告超过 10 MB或 DMARC 记录的 RUA 标签指定的大小，AsyncOS 会向域所有者发送传送错误报告。

使用 DMARC 如何验证传入的邮件

1. 标识组织中其邮件很可能是伪造的用户（例如，管理人员）。创建新的内容字典，并将已标识用户的姓名添加到该词典。

   在创建内容字典时，

   • 输入用户名而不是电子邮件地址。例如，输入“Olivia Smith”而不是“olivia.smith@example.com”。
   • 请勿配置高级匹配和智能标识符。
   • 请勿为使用的术语选择权重。
   • 请勿使用正则表达式。

   下图显示了为伪造邮件检测创建的内容字典示例。

   
   

   

   
   

   有关配置内容字典的说明，请参见添加词典。

2. 创建传入内容或邮件过滤器以检测伪造邮件以及邮件网关对这些邮件执行的操作。使用下列内容：
   • 条件/规则：伪造邮件检测（请参阅内容过滤器条件和邮件过滤器规则）

     Note	如果要跳过针对特定发件人的邮件的伪造邮件检测过滤器，请从例外列表 (Exception List)下拉列表中选择地址列表。只能选择使用完整邮件地址创建的地址列表。有关添加例外地址列表的详细信息，请参阅为传入连接规则使用发件人地址列表。

   • 操作：基于您的要求的伪造邮件检测或任何其他操作。（请参阅内容过滤器条件和邮件过滤器规则。）
3. 将新创建的内容过滤器添加到传入邮件策略。请参阅根据每个用户执行邮件策略的方法。

要查看有关检测到的伪造邮件的数据，请参阅“伪造邮件匹配项”(Forged Email Matches) 报告页面（监控 (Monitor) > 伪造邮件匹配项 (Forged Email Matches)）。此报告页面包括以下报告：

• 伪造邮件匹配项排行榜。显示内容字典中与传入邮件中的伪造“发件人：”信头匹配的前十个用户。
• 伪造邮件匹配项: 详细信息. 显示内容词典中与传入邮件中的伪造“发件人：”信头匹配所有用户的列表，对于给定用户，还会显示匹配的邮件的数量。点击该数字可查看邮件跟踪中的邮件列表。

要在邮件跟踪中显示邮件网关检测到的伪造邮件的详细信息，请确保：

• 邮件跟踪服务已启用。请参阅邮件跟踪。
• 用于检测伪造邮件的内容或邮件过滤器可正常运行。