专栏首页安恒信息邮箱安全第9期 | 利用协议认证手段解决邮件安全问题

邮箱安全第9期 | 利用协议认证手段解决邮件安全问题

之前我们介绍了利用商业产品解决方案解决邮箱安全问题,鉴于SMTP传统邮件的安全性不足,我们将为大家介绍利用SPF,DKIM,rDNS, DMARC等邮件协议认证的手段解决邮箱安全问题。本期分别为大家做一些简单的介绍。

1rDNS

rDNS是什么?

rDNS(Reverse DNS)指得是反向解析,就是把IP解析成域名。反向解析在邮件服务器应用中相当于对你的邮件服务器进行身份验证,这样的策略可以很好的减少垃圾邮件。

为什么需要做rDNS?

因为有些应用程序需要反向来认证对方,如SMTP,也就是为什么国外很多SMTP发往国外的邮件被退信的主要原因。做了rDNS会好很多。DNS服务器里有两个区域,即“正向查找区域”和“反向查找区域”,反向查找区域即是这里所说的IP反向解析,它的作用就是通过查询IP地址的PTR记录来得到该IP地址指向的域名,当然,要成功得到域名就必需要有该IP地址的PTR记录。

技术原理浅析

举例说,有一天,danny到拜访某用户,他递上一张名片,名片上写着他来自“杭州安恒信息有限公司”以及电话号码等信息,客户觉得应该对danny的来历做个简单调查,于是打电话到danny名片上的电话号码所属通信部门进行查实,如果通信管理部门告诉客户其电话号码不属于“安恒信息”,则客户将拒绝danny的拜访,如果其电话号码的确属于““安恒信息”,客户可能接受danny的拜访,也可能进一步查实,于是就打电话到““安恒信息”所属注册机构查询,如果得到的答复确认确有此电话号码,则客户将接受danny的拜访,否则仍将拒绝danny的拜访。例子中,danny好比是我们的邮件服务器,客户是对方邮件服务器,““安恒信息”就是我们邮件服务器与对方邮件服务器通信时所使用的HELO域名(不是邮件地址@后的域名),名片上的电话号码就是我们邮件服务器出口的公网IP地址。客户对danny进行调查的过程就相当于一个反向解析验证过程。由此看出,反向解析验证其实是对方服务器在进行的,如果我们没有做反向解析,那么对方服务器的反向解析验证就会失败,这样对方服务器就会以我们是不明发送方而拒收我们发往的邮件,这也就是我们排除其它原因后(如被对方列入黑名单、没有MX记录、使用的是动态IP地址等等)在没做反向解析时无法向163.com、126.com等发信的原因。

2

SPF

SPF是什么?

SPF(Sender Policy Framework)是以IP地址认证电子邮件发件人身份的技术,是一种通用的反垃圾技术之一。 接收邮件方会首先检查域名的SPF记录,来确定发件人的IP地址是否被包含在SPF记录里面,如果在,就认为是一封正确的邮件, 否则会认为是一封伪造的邮件进行退回。

为什么要用SPF?

SPF 出现的目的,就是为了防止随意伪造发件人。

技术原理浅析

假设邮件服务器收到了一封邮件,来自主机的 IP 是178.111.24.121,并且声称发件人为email@example.com。为了确认发件人不是伪造的,邮件服务器会去查询example.com的 SPF 记录。如果该域的 SPF 记录设置允许 IP 为178.111.24.121的主机发送邮件,则服务器就认为这封邮件是合法的;如果不允许,则通常会退信,或将其标记为垃圾/仿冒邮件。因为不怀好心的人虽然可以「声称」他的邮件来自example.com,但是他却无权操作example.com的 DNS 记录;同时他也无法伪造自己的 IP 地址。因此 SPF 是很有效的,当前基本上所有的邮件服务提供商(例如 Gmail、QQ 邮箱等)都会验证它。

3

DKIM

DKIM是什么?

DKIM(DomainKeys Identified Mail),是一种电子邮件的验证技术,使用密码学的基础提供了签名与验证的功能。

为什么要用DKIM?

邮件的接收端将会对邮件头中的签名和从DNS获取公钥进行验证, 检查邮件是否被伪造。 DKIM签名是现行通用的反垃圾技术之一,有了该配置, 邮件的到达率将会显著提升。

技术原理浅析

DKIM的基本工作原理同样是基于传统的密钥认证方式,它的具体做法是生成一对公钥和私钥,私钥由发送者保存,公钥存放在From字段指定域名的txt记录中。邮件发送时,用私钥加密邮件头的某些字段,并附上邮件内容的hash值,让用户收到邮件时,查找此原来的公钥,对加密的内容进行解密,然后比对相应的内容,整个过程如下图所示。收信的服务器,将会收到夹带在邮件头中的私钥和在DNS上自己获取公钥,然后进行比对,比较寄信者的域名是否合法,如果不合法,则判定为垃圾邮件。

图:DKIM原理

4DMARC

DMARC是什么?

DMARC 全称是 Domain-based Message Authentication, Reporting and Conformance,是一个构建在 SPF 和 DKIM 技术之上的解决方案

为什么要用DMARC?

DMARC 的核心思想是邮件的发送方通过特定方式 (DNS) 公开标明自己会用到的发件服务器 (SPF)、并对发出的邮件内容进行签名 (DKIM),而邮件的接受方则检查收到的邮件是否来自发送方授权过的服务器、并且核对签名是否有效。对于未能通过前述检查项目的邮件,接受方则按照发送方指定的策略进行处理【比如直接投入垃圾箱或者拒收】,从而有效避免伪造的钓鱼邮件进入用户的收件箱。

技术原理浅析

发件方在投递邮件之前,先申明自己所有会用到的邮局,并且对自己的邮件加上防伪签名。收件方邮局在接收到邮件时,会做两件事:

1、 检查信笺内写的发件人地址,并根据这个地址去查对应的发件人指定了哪些邮局、这封邮件是否是从那些邮局中的某一个转寄过来的;

2、检查信笺的防伪签名是否被篡改过。如果前述两项都失败了,接受方邮局则根据发送方指定的策略对伪造的邮件做相应的隔离或者拒收处理。当然实际部署的情况比这里描述的要复杂得多,我们将在之后内容中重点介绍DMARC。

本文分享自微信公众号 - 安恒信息(DBAPP2013)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-12-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 深度揭秘|你所不知道的邮件安全面临的风险

    电子邮件越来越多地应用于社会生产、生活、学习的各个方面,在不同领域发挥着举足轻重的作用,在享受电子邮件带来便利的时候,不法分子常常通过篡改邮件、病毒邮件、垃圾邮...

    安恒信息
  • 邮箱安全第8期 | 邮箱数据防泄漏系统建设

    邮件数据防泄漏主要用于明文协议解析、加密协议解析和MTA部署解决方案,而邮件采用HTTP、SMTP/S邮件协议传输。邮件数据防泄漏要达到的目标和任务是,对所有包...

    安恒信息
  • AiLPHA邮件安全审计:钓鱼邮件攻击防范成本比较

    2018年6月5日,CNCERT(国家互联网应急中心)发布了钓鱼邮件攻击防范指南,文中对如何防范钓鱼邮件攻击进行了全面的安全教育,本文作者通过思维导图整理如下:

    安恒信息
  • 如何使用 Spring Boot 开发邮件系统?

    互联网发展到现在,邮件服务已经成为互联网企业中必备功能之一,应用场景非常广泛,比较常见的有:用户注册、忘记密码、监控提醒、企业营销等。

    纯洁的微笑
  • 邮件群发时哪些因素会影响送达率

    作为平时不怎么使用邮箱发邮件的朋友们,可能很少会考虑邮件为什么会发不出去这个问题,其实只有大量的去群发邮件的做邮件营销的朋友们才会有这样的烦恼。邮件发送其实跟三...

    彼岸@花开
  • 发送邮件那些事

    世界的第一封电子邮件 1969年10月世界上的第一封电子邮件是由计算机科学家Leonard K.教授发给他的同事的一条简短消息。 据《互联网周刊》报道世界上的第...

    纯洁的微笑
  • 深度揭秘|你所不知道的邮件安全面临的风险

    电子邮件越来越多地应用于社会生产、生活、学习的各个方面,在不同领域发挥着举足轻重的作用,在享受电子邮件带来便利的时候,不法分子常常通过篡改邮件、病毒邮件、垃圾邮...

    安恒信息
  • 邮件这样写,PK 掉 99% 的同事

    工作中总免不了需要正式的邮件来沟通协调工作,有跨大团队沟通的,也有向老板汇报工作情况的。每每此时,总是小心谨慎,邮件发出后又常洋洋自得,总觉得自己的邮件条理清晰...

    张磊BARON
  • 一封伪造邮件引发的“探索”(涉及钓鱼邮件、SPF和DKIM等)

    0x00. 引言 我用swaks 发送一封以我们公司CTO为显示发件人(腾讯企业邮箱)的伪造邮件给我的一个同事,邮件的内容就是让这位同事去CTO的办公司一趟,没...

    FB客服
  • 邮箱数据防泄漏系统建设

    邮件数据防泄漏主要用于明文协议解析、加密协议解析和MTA部署解决方案,而邮件采用HTTP、SMTP/S邮件协议传输。邮件数据防泄漏要达到的目标和任务是,对所有包...

    企鹅号小编

扫码关注云+社区

领取腾讯云代金券