DKIM如何防止冒充？

Question

电子邮件接收者可以验证DKIM签名以验证"From:“标头。

    DKIM-Signature: v=1; a=rsa-sha1; c=relaxed; **d=example.com**; 
h=from:to:subject:content-type; **s=smtpapi**; 
bh=Qdu07jaeIipfZPkXZqzhD3HXzeo=; b=skdennE1MwDXUGfm/mox/OF8MJjaq
jrE3ETrbeE4PdvokFigU5qTuf2LJ8M9MmxCm4ji6G+CG4u7eKeCdMgAFgEwZCVhp
8UFYUwXkHFqgzKznGremWWHaXU9aIzUtWyFuOziZhqcP3Jn7/V8xyaCEIPP0dz6b
aaaI87oazVBMp8=
From: CEO <ceo@example.com>

例如，在这个电子邮件头中，DKIM-Signature说要检查用于签署电子邮件头的公钥的"smtpapi._domainkey.example.com“。

但是，攻击者不能简单地替换整个DKIM-Signature内容以指向他们控制的另一个域，并使用他们拥有的一组密钥重新生成DKIM-Signature吗？这将创建有效的DKIM签名，但将允许电子邮件欺骗。

DKIM-Signature: v=1; a=rsa-sha1; c=relaxed; **d=attackerDomain.net**; 
h=from:to:subject:content-type; **s=attackerKey**; 
bh=Qdu07jaeIipfZPkXZqzhD3HXzeo=; b=skdennE1MwDXUGfm/mox/OF8MJjaq
jrE3ETrbeE4PdvokFigU5qTuf2LJ8M9MmxCm4ji6G+CG4u7eKeCdMgAFgEwZCVhp
8UFYUwXkHFqgzKznGremWWHaXU9aIzUtWyFuOziZhqcP3Jn7/V8xyaCEIPP0dz6b
aaaI87oazVBMp8=
From: CEO <ceo@example.com>

(example.com vs attackerDomain.net)

Answer 1

如果他们创建了一个新的密钥对并将其指向他们的域，那么他们将在所述域上进行身份验证，而不是在他们试图欺骗的域上进行身份验证。

为了让他们欺骗合法的域，他们需要获得您的私钥。因此，使用私钥在他们的邮件服务器上注销。

但是，它们不会通过SPF身份验证，因为它们发送邮件的服务器未经授权。

当您的合法邮件服务器发出邮件时，它将使用您的私钥使用加密签名对邮件进行签名。接收电子邮件的服务器会查找公钥(请记住，这是您自己发布的公钥)并对其进行验证。