郵件驗證的運作方式

郵件驗證是用來驗證電子郵件來源的真實性。

本主題探討的是 Sophos Email Security 為您提供非法郵件防護所用的郵件驗證類型。

有關在不同情況下執行檢查的順序的詳細資訊，請參閱 郵件驗證的順序。

DMARC

基於網域的訊息驗證、報告和一致性 (DMARC) 利用 DKIM 和 SPF 兩者，驗證電子郵件的真實性。

寄件者會建立 DMARC 紀錄指示收件者執行 DMARC 檢查，且包含未通過 DMARC 時應如何處理的相關資訊。

收到電子郵件後，Sophos Email Security 會執行 DNS 檢查，針對電子郵件的寄件者（標頭）地址中指定的網域，查找 DMARC 紀錄。DMARC 紀錄會告知收件者（本例中是 Sophos Email Security）應檢查 DMARC，並指明未通過 DMARC 檢查時應如何處理電子郵件。針對未通過 DMARC 檢查的訊息，Sophos Email Security 預設選項是 符合寄件者原則，即處理訊息的方式取決於 DMARC 紀錄中的定義。會根據 SPF 和 DKIM 紀錄中的資訊檢查寄件者地址中指定的網域，以驗證網域相符。若要通過 DMARC 檢查，訊息必須通過驗證及 SPF 或 DKIM 的一致性檢查：

• 針對 SPF，郵件寄件者（信封）地址中指定的網域，必須與 SPF 紀錄中的 IP 位址或子網路之一相符。接著，DMARC 會根據寄件者地址檢查郵件寄件者地址，以確認兩者一致。
• 針對 DKIM，必須驗證簽章，且寄件者地址中指定的網域必須與用來建立 DNS 紀錄中指定簽章的網域相符。

請參閱 DMARC。

SPF

寄件者原則架構 (SPF) 能讓您驗證內送電子郵件是否來自經由寄件網域管理員授權的 IP 位址或主機。

寄件者會建立 SPF 紀錄，當中指明經授權可傳送其網域郵件的主機、IP 位址和子網路。

當 Sophos Email Security 收到電子郵件時，它會將寄件郵件伺服器的地址與 SPF 記錄中的授權寄件者進行比較。如果兩者不相符，則無法通過 SPF 檢查。

請參閱 SPF。

DKIM

網域名稱金鑰識別郵件 (DKIM) 是透過驗證數位簽章的方式授權電子郵件之用，數位簽章會建立網域名稱及電子郵件之間的關聯性。

由寄件者決定想要簽署郵件的哪些部分（標頭及/或內文），然後他們會設定郵件伺服器，以建立這些部分的雜湊。接著，以私密金鑰加密雜湊。他們也會發佈 DKIM 紀錄，當中包含用來解密簽章的公開金鑰。

Sophos Email Security 發現郵件包含 DKIM 簽章時，會進行 DNS 查詢，以找尋與寄件網域有關聯的 DKIM 紀錄。會使用公開金鑰，將數位簽章解密回雜湊值。然後利用已簽章郵件的元素自建雜湊，並與解密雜湊比較。如果兩者不相符，則無法通過 DKIM 檢查。

請參閱 DKIM。