(4) 阅读 (12)

电子邮件身份验证 编辑

词条创建者 匿名用户

电子邮件身份验证

编辑

电子邮件身份验证或验证是一组技术,旨在通过验证参与传输和可能修改消息的任何消息传输代理(MTA)的域所有权,来提供有关电子邮件消息来源的可验证信息。

Internet电子邮件的原始基础简单邮件传输协议(SMTP)没有这种功能,因此电子邮件中的伪造发件人地址(一种称为电子邮件欺骗的做法)已广泛用于网络钓鱼,电子邮件垃圾邮件和各种类型的欺诈。为了解决这个问题,许多竞争电子邮件身份验证方案已经制定,但是只有到了最近有三种被广泛采用- SPF,DKIM和DMARC。此类验证的结果可以用于自动电子邮件过滤中,或者可以在选择适当的操作时帮助收件人。

电子邮件身份验证

理由

编辑

在1980年代初期,当设计简单邮件传输协议(SMTP)时,它没有提供对发送用户系统的真实验证。当电子邮件系统由受信任的公司和大学运行时,这不是问题,但是自1990年代互联网商业化以来,垃圾邮件,网络钓鱼和其他犯罪越来越多地涉及电子邮件。

电子邮件身份验证是识别消息来源的必要xxx步,从而使政策和法律更具可执行性。

依赖域名所有权是一种在2000年初出现的立场。考虑到域名出现在电子邮件地址的右侧,在at符号之后,这意味着要进行粗粒度的身份验证。用户级别的细粒度身份验证可以通过其他方式来实现,例如Pretty Good Privacy和S / MIME。当前,数字身份需要由每个人管理。

电子邮件身份验证的杰出原理是能够在接收服务器上自动进行电子邮件过滤。这样,欺骗邮件可以在到达用户的收件箱之前被拒绝。尽管协议努力设计出可靠地阻止不信任邮件的方法,但是安全指示符可以标记仍到达收件箱的未经身份验证的邮件。一项2018年的研究表明,安全指标可以将点击率降低十个百分点以上,占打开欺骗邮件用户的48.9%至37.2%。

广泛使用的认证方法

编辑

SPF

SPF允许接收者检查声称来自特定域的电子邮件是否来自该域管理员授权的IP地址。通常,域管理员会授权自己的出站MTA(包括任何代理或smarthost)使用的IP地址。

发送MTA的IP地址通过传输控制协议保证有效,因为它通过检查远程主机是否可建立连接来建立连接。接收邮件服务器在建立连接后不久会收到HELO SMTP命令,并且Mail from:在每封邮件的开头都会收到a 。它们都可以包含一个域名。SPF验证程序在域名系统(DNS)中查询匹配的SPF记录,如果存在该记录,它将指定该域的管理员授权的IP地址。结果可能是“通过”,“失败”或某些中间结果-系统通常会在反垃圾邮件过滤中考虑到这一点。

DKIM

DKIM检查消息内容,部署数字签名。签名验证的密钥不是使用数字证书,而是通过DNS分发。这样,一条消息就与域名相关联。

兼容DKIM的域管理员会生成一对或多对非对称密钥,然后将私钥移交给签名MTA,并在DNS上发布公钥。DNS标签的结构selector._domainkey.example.com,其中选择器标识密钥对,并且_domainkey是固定关键字,后跟签名域的名称,以便在该域的ADMD的授权下进行发布。在将邮件注入SMTP传输系统之前,签名MTA会创建一个数字签名,该数字签名覆盖标头和正文(或其开头)的选定字段。签名应包括实质性头字段,例如From:To:Date:,和Subject:,然后将其作为跟踪字段添加到消息头本身。任意数量的中继都可以接收和转发消息,并且在每个跃点处,都可以通过从DNS检索公钥来验证签名。只要中间中继不修改消息的签名部分,其DKIM签名将保持有效。

DMARC

DMARC允许为经过身份验证的消息指定策略。它建立在两个现有机制(发件人策略框架(SPF)和域密钥标识邮件(DKIM))之上。

它允许域的管理所有者在其DNS记录中发布策略,以指定从该域发送电子邮件时采用哪种机制(DKIM,SPF或两者)。如何检查From:提供给最终用户的字段;接收方应如何处理故障-以及根据这些策略执行的操作的报告机制。

其他方法

编辑

已经提出了许多其他方法,但是现在已经过时或尚未获得广泛支持。这些包括发件人ID,认证服务器验证,DomainKeys和以下内容:

ADSP

ADSP允许为作者域签名的消息指定策略。一条消息必须首先通过DKIM身份验证,然后,如果该消息不是由作者域签名的,则ADSP可能要求采取惩罚性措施(按照From:标头字段)。

VBR

VBR向已通过身份验证的身份添加凭证。此方法需要一些全球公认的权威机构来证明域的信誉

发件人可以在凭证授权机构申请参考。该引用(如果被接受)将发布在该机构管理的DNS分支上。有担保的发件人应VBR-Info:在其发送的邮件中添加标题字段。它还应添加DKIM签名,或使用其他身份验证方法,例如SPF。接收者在验证了发送者的身份之后,可以VBR-Info:通过查找参考来验证所要求的凭证。

iprev

应用程序应避免使用此方法作为身份验证方法。尽管如此,它经常执行,并且其结果(如果有的话)Received:除了SMTP规范要求的TCP信息外,还会写在标头字段中。

通过查找刚刚找到的名称的IP地址来确认IP反向,仅表示IP已在DNS中正确设置。一系列IP地址的反向解析可以委托给使用它们的ADMD,也可以由网络提供商进行管理。在后一种情况下,无法获得与消息有关的有用身份。

DNSWL

查找DNSWL(基于DNS的白名单)可能会提供对发件人的评估,可能包括其标识。


内容由匿名用户提供,本内容不代表vibaike.com立场,内容投诉举报请联系vibaike.com客服。如若转载,请注明出处:https://vibaike.com/112512/

发表评论

登录后才能评论

词条目录
  1. 电子邮件身份验证
  2. 理由
  3. 广泛使用的认证方法
  4. SPF
  5. DKIM
  6. DMARC
  7. 其他方法
  8. ADSP
  9. VBR
  10. iprev
  11. DNSWL

轻触这里

关闭目录

目录