电子邮件认证：未来电子邮件依赖的信任层 电子邮件一直存在伪造问题。任何人都可以在电子邮件的“发件人”字段中放置任何内容。在电子邮件历史的大部分时间里，这个问题是可管理的。细心的读者可以抓住一些蛛丝马迹，比如稍微不正确的域名、不太可信的紧迫感，或者不太合适的措辞。然而，随着人工智能的使用越来越普遍，我们与电子邮件的互动方式正在发生变化。人工智能助手越来越多地在用户的授权下读取、总结并处理电子邮件。人工智能过滤器正在对什么能够到达收件箱做出重要的决定。在那样的环境中，“消息是否到达？”比“我们能否验证来源？”的重要性要小得多。这个问题的答案依赖于一套大多数电子邮件用户从未考虑过的标准，但这些标准正在悄然成为一切构建的基础。 什么是电子邮件认证？ 电子邮件认证由三个相互关联的标准组成：SPF、DKIM和DMARC。SPF 验证发送消息的服务器是否获得授权代表该域发送邮件。DKIM 在每条消息上附加加密签名，以便接收服务器确认消息在传输过程中未被更改。DMARC 将这两者结合在一起，并告知接收服务器在消息未通过这些检查时该怎么办：拒绝它、隔离它或者通过它。总的来说，它们是您的收件箱如何判断声称来自您银行或雇主的消息是否真实的机制。如果没有这些措施，伪造的消息与合法的消息在外观上是无法区分的。虽然这不是一个新问题，但随着我们与电子邮件互动的方式变化，这个问题变得更加严重。 人工智能如何发挥作用 现在，两种人工智能成为电子邮件体验的标准功能。第一种是人工智能过滤：决定哪些是垃圾邮件，哪些是钓鱼邮件，哪些值得您关注的系统。这些系统存在多年，但现代版本的能力显著增强，认证结果正日益成为它们做出决策的核心输入。第二种是人工智能助手：总结您的收件箱、提出行动项、起草回复，并在某些情况下代您采取行动的工具。值得透明介绍一下Fastmail的情况：我们并没有将人工智能集成到您的收件箱中，您的邮件并未在后台被模型处理。我们的MCP服务器仅仅是一个可以通过您的明确授权与您选择的人工智能客户端连接的API端点，如果您不使用，这一切将保持不变。但在更广泛的电子邮件环境中，自动在收件箱中独立操作的人工智能助手日益普遍。这就是认证变得至关重要的地方。一个阅读可疑电子邮件的人可能会注意到发件人的域名多了一个字符，或者请求的某些内容感觉不对劲。一个扫描您的收件箱以寻找需要采取行动的项目的人工智能助手，可能不会慢下来检查这些事情。它会读取内容，注意紧急性，并据此采取行动。如果这条信息是一个令人信服的伪造，正如现在的许多人工智能生成的钓鱼邮件一样，认证是阻止它在到达您的邮箱之前的安全措施。 认证正在成为基础设施 在2024年初，谷歌和雅虎开始要求批量发送者必须正确配置DMARC，作为可靠投递的条件。这将认证从发送者可以降低优先级的内容，转变为到达收件箱的基本前提。这一发展轨迹与HTTPS在网络上的发展相似：最初是最佳实践，然后成为期望，最后成为基础设施。即使您不理解浏览器工具栏中的锁形图标实际上意味着什么，您也可能逐渐意识到，查看网站时缺少该锁的存在是一个您无法忽视的警告信号。电子邮件认证正朝着同样的方向发展。新的标准正在这个基础上建立。BIMI允许经过验证的发件人直接在支持的收件箱中显示他们的标志，这是在内容单独识别钓鱼邮件变得越来越困难的时候，一个小但重要的视觉信任信号。DKIM的设计正在重新考虑，借鉴从实验性ARC规范中获得的一些经验教训，跟踪和归因复杂电子邮件流中的变化，以便过滤系统能够判断恶劣内容的来源，从而避免损害错误方的声誉。也就是说，认证本身并不是一个完整的解决方案。认证确认域名身份，而不是意图。一个拥有令人信服的相似域名和正确配置的DMARC记录的欺诈者仍然可以通过发件人认证检查。然而，认证显著提高了模仿的成本和复杂性，而这在电子邮件的未来变得越来越自动化时显得尤为重要。未来的收件箱将比我们今天所用的更快、更智能、更强大。认证是保持未来可信的关键，而不仅仅是Convenience.