電子郵件驗證：SPF、DKIM 與 DMARC 的原理與重要性

電子郵件是許多企業進行商務溝通的核心工具，隨著垃圾郵件和網路釣魚攻擊不斷增多，導致許多企業和個人面臨信息洩露和安全風險。因此，電子郵件驗證變得至關重要，電子郵件的安全問題也越來越受到重視。

像是 Google 從 2024 年 2月開始，對於寄給 Gmail 的郵件，採取了更積極管理的規範。Yahoo 也宣告自 2024 第一季度開始，要求大量寄件者遵守相關規定。未來寄給 Gmail 或是 Yahoo mail 的所有郵件，只要不符合相關設定，到達率與信任度都會受到影響。

電子豹自 2024 年 2 月就開始採取與 Gmail 大量寄件者相同的規範，註冊會員可以參考保障郵件安全的必備：解析 SPF、DKIM 與 DMARC 的設定及參數說明。這篇文章主要會說明，在電子郵件驗證中，這三個主要的技術：SPF、DKIM 和 DMARC 的原理與重要性。

SPF (Sender Policy Framework) 驗證

SPF 是透過在 DNS ( Domain Name System) 記錄中指定哪些 IP 地址或是信件來源，以檢查寄件郵件伺服器有權代表該網域發送電子郵件的驗證技術。簡單的說法，就是寄件來源的 IP 或服務沒有出現在 SPF 紀錄當中，代表該信件可能沒有獲得授權獲釋是偽造的。

SPF 可以防止寄送者的來源偽造。因為在紀錄中，網域所有者可以指定哪些郵件伺服器被允許使用該網域發送郵件。接收郵件伺服器會透過這項紀錄，檢查發送郵件的伺服器是否在允許範圍內，如果不在，則標記該郵件為可疑或是垃圾信件。

SPF 的主要優點在於有效降低垃圾郵件和網路釣魚攻擊的風險。對於收件伺服器來說，通過驗證 SPF ，能夠確保接收的郵件來自合法的寄送者。而對於寄件者，通過 SPF 驗證能夠提高郵件的到達率，避免被誤判為垃圾郵件。

DKIM 是一種利用公開與私密金鑰，進行數位簽名與身份驗證的電子郵件驗證方法。數位簽名基於公開密鑰加密技術，發送郵件時，寄件伺服器會使用私鑰對郵件進行簽名，收件伺服器則使用公開密鑰來驗證簽名的有效性。可以理解成通過為郵件加入數位簽名，來確認信件真實性和完整性。

DKIM 驗證讓收件伺服器可以經由 DNS (Domain Name System) 網域名稱系統的記錄中，取得公開的金鑰來驗證收到的郵件。

透過 DKIM 驗證，可以確保該郵件內容，像是寄件者、主旨、內文、附件等，沒有偽冒或是在傳輸過程中被竄改，保護郵件內容的完整性，防止網路釣魚和中間人攻擊，提高郵件的可信度，而提高送達率。

DMARC 是一種基於 SPF 和 DKIM 的電子郵件驗證協議，主要記錄了寄件者對於身份驗證、發送報告與可疑郵件處理的指示，可以監測及防止偽造身份，避免網路釣魚或是垃圾信件。

DMARC 由網域所有者設置，告訴收件伺服器如何處理 SPF 或 DKIM 驗證失敗的郵件，並透過接收報告掌握網域郵件的驗證狀況。

協議中包含

身份驗證：DMARC 會告訴收件伺服器驗證機制，可以單純依據 SPF 或 DKIM，或是需要兩者均驗證通過。如果沒有 DMARC 紀錄，則收件伺服器將會依照預設的規則驗證郵件。
處理方式：DMARC 中，透過不同的設定值，可以讓收件伺服器知道，如果收到未通過驗證的郵件時，對郵件進行哪些處置。其中包含回報網域所有者，但不對郵件進行特殊處置、將郵件隔離或標記為垃圾信件，或是直接退回，拒絕未通過驗證的郵件。
發送報告：透過 DMARC ，可以獲得使用寄件者網域名義寄出的電子郵件報告，包含郵件的詳細資訊，是否通過驗證或被標記為垃圾郵件的原因，有效幫助寄件者監控郵件狀態與發現潛在風險。

在這三項技術中，DMARC 經常會被企業忽略，如果你不確定目前使用的網域是否完成相關設定，可以參考如何確認網域有 DMARC 驗證。

從以上說明，可以知道 SPF 能防範他人偽冒網域寄送郵件，DKIM 確保郵件內容完整不被篡改，DMARC 則是提供管理策略與相關驗證報告。

透過 DMARC 整合 SPF 和 DKIM 驗證，能提升防護機制，有效防止電子郵件詐騙和欺詐行為。網域所有者可以經由接收關於未通過驗證的郵件報告，識別和解決潛在的安全問題。

對於收件伺服器來說，通過驗證機制的整合運作，可以減少垃圾郵件和釣魚攻擊的風險。而對於寄件者，提供全面的電子郵件驗證和保護機制，能夠提升電子郵件的安全性與到達率，保護品牌聲譽。

在資訊安全與通訊保護意識抬頭的環境下，企業需要充分透過這些技術，確保電子郵件的安全和有效性，從而保護其品牌聲譽和業務營運。