電子郵件身份驗證或驗證是一組技術，旨在通過驗證參與傳輸和可能修改消息的任何消息傳輸代理（MTA）的域所有權，來提供有關電子郵件消息來源的可驗證信息。

Internet電子郵件的原始基礎簡單郵件傳輸協議（SMTP）沒有這種功能，因此電子郵件中的偽造發件人地址（一種稱為電子郵件欺騙的做法）已廣泛用于網絡釣魚，電子郵件垃圾郵件和各種類型的欺詐。為了解決這個問題，許多競爭電子郵件身份驗證方案已經制定，但是只有到了最近有三種被廣泛采用-?SPF，DKIM和DMARC。此類驗證的結果可以用于自動電子郵件過濾中，或者可以在選擇適當的操作時幫助收件人。

在1980年代初期，當設計簡單郵件傳輸協議（SMTP）時，它沒有提供對發送用戶或系統的真實驗證。當電子郵件系統由受信任的公司和大學運行時，這不是問題，但是自1990年代初互聯網商業化以來，垃圾郵件，網絡釣魚和其他犯罪越來越多地涉及電子郵件。

電子郵件身份驗證是識別消息來源的必要xxx步，從而使政策和法律更具可執行性。

依賴域名所有權是一種在2000年初出現的立場。考慮到域名出現在電子郵件地址的右側，在at符號之后，這意味著要進行粗粒度的身份驗證。用戶級別的細粒度身份驗證可以通過其他方式來實現，例如Pretty Good Privacy和S / MIME。當前，數字身份需要由每個人管理。

電子郵件身份驗證的杰出原理是能夠在接收服務器上自動進行電子郵件過濾。這樣，欺騙郵件可以在到達用戶的收件箱之前被拒絕。盡管協議努力設計出可靠地阻止不信任郵件的方法，但是安全指示符可以標記仍到達收件箱的未經身份驗證的郵件。一項2018年的研究表明，安全指標可以將點擊率降低十個百分點以上，占打開欺騙郵件用戶的48.9％至37.2％。

SPF允許接收者檢查聲稱來自特定域的電子郵件是否來自該域管理員授權的IP地址。通常，域管理員會授權自己的出站MTA（包括任何代理或smarthost）使用的IP地址。

發送MTA的IP地址通過傳輸控制協議保證有效，因為它通過檢查遠程主機是否可建立連接來建立連接。接收郵件服務器在建立連接后不久會收到HELO?SMTP命令，并且Mail from:在每封郵件的開頭都會收到a?。它們都可以包含一個域名。SPF驗證程序在域名系統（DNS）中查詢匹配的SPF記錄，如果存在該記錄，它將指定該域的管理員授權的IP地址。結果可能是“通過”，“失敗”或某些中間結果-系統通常會在反垃圾郵件過濾中考慮到這一點。

DKIM檢查消息內容，部署數字簽名。簽名驗證的密鑰不是使用數字證書，而是通過DNS分發。這樣，一條消息就與域名相關聯。

兼容DKIM的域管理員會生成一對或多對非對稱密鑰，然后將私鑰移交給簽名MTA，并在DNS上發布公鑰。DNS標簽的結構為selector._domainkey.example.com，其中選擇器標識密鑰對，并且_domainkey是固定關鍵字，后跟簽名域的名稱，以便在該域的ADMD的授權下進行發布。在將郵件注入SMTP傳輸系統之前，簽名MTA會創建一個數字簽名，該數字簽名覆蓋標頭和正文（或其開頭）的選定字段。簽名應包括實質性頭字段，例如From:，To:，Date:，和Subject:，然后將其作為跟蹤字段添加到消息頭本身。任意數量的中繼都可以接收和轉發消息，并且在每個躍點處，都可以通過從DNS檢索公鑰來驗證簽名。只要中間中繼不修改消息的簽名部分，其DKIM簽名將保持有效。

DMARC允許為經過身份驗證的消息指定策略。它建立在兩個現有機制（發件人策略框架（SPF）和域密鑰標識郵件（DKIM））之上。

它允許域的管理所有者在其DNS記錄中發布策略，以指定從該域發送電子郵件時采用哪種機制（DKIM，SPF或兩者）。如何檢查From:提供給最終用戶的字段；接收方應如何處理故障-以及根據這些策略執行的操作的報告機制。

已經提出了許多其他方法，但是現在已經過時或尚未獲得廣泛支持。這些包括發件人ID，認證服務器驗證，DomainKeys和以下內容：

ADSP允許為作者域簽名的消息指定策略。一條消息必須首先通過DKIM身份驗證，然后，如果該消息不是由作者域簽名的，則ADSP可能要求采取懲罰性措施（按照From:標頭字段）。

VBR向已通過身份驗證的身份添加憑證。此方法需要一些全球公認的權威機構來證明域的信譽。

發件人可以在憑證授權機構申請參考。該引用（如果被接受）將發布在該機構管理的DNS分支上。有擔保的發件人應VBR-Info:在其發送的郵件中添加標題字段。它還應添加DKIM簽名，或使用其他身份驗證方法，例如SPF。接收者在驗證了發送者的身份之后，可以VBR-Info:通過查找參考來驗證所要求的憑證。

應用程序應避免使用此方法作為身份驗證方法。盡管如此，它經常執行，并且其結果（如果有的話）Received:除了SMTP規范要求的TCP信息外，還會寫在標頭字段中。

通過查找剛剛找到的名稱的IP地址來確認IP反向，僅表示IP已在DNS中正確設置。一系列IP地址的反向解析可以委托給使用它們的ADMD，也可以由網絡提供商進行管理。在后一種情況下，無法獲得與消息有關的有用身份。

查找DNSWL（基于DNS的白名單）可能會提供對發件人的評估，可能包括其標識。