跳到主要內容區塊

搜尋
手機板瀏覽
::: 資安新聞 活動訊息 手機資安 法規介紹 English
我是連結

郵件驗證

2018-11-09 fb  

郵件驗證

〔一〕反向查詢技術

  以垃圾郵件的防制來說,能夠解決郵件的偽造問題,即可避免大量垃圾郵件的產生。因此欲限制偽造寄信者位址之來信,於系統接收時可利用反向查詢技術來要求驗證寄信位址,相關系統包括:反向郵件交換(RMX)、寄信者許可(SPF)、郵件識別協議(DMP) 。

  以上系統均有賴於DNS的協助,因為DNS的作用在提供網際網路服務處理 IP位址與網域名稱間的轉換,1986年後,DNS功能擴展並且提供郵件交換紀
錄,當發送郵件的時候,郵件伺服器通過查詢MX紀錄,即可對應發信者的網域
名稱。類似於MX紀錄的反向查詢技術("RMX"-RMX, "SPF"-SPF,"DMP"-
DMP),用來判斷所接收來信的發信者網域名稱與IP位址是否完全對應。

〔二〕DKIM技術

  DKIM(DomainKeys Identified Mail)為整合雅虎的DomainKeys和思科的Internet
Identified Mail的技術,在2007年5月成為RFC4871標準。
  雅虎的DomainKeys利用公共金鑰密碼驗證電子郵件的寄信者。寄出的郵件,伺服器會生成一個簽名並把該簽名插入郵件標題內,而接收的郵件伺服器會利用 DNS發布的公共金鑰密碼驗證這個簽名。
  思科的驗證技術也是利用密碼法,用它把簽名與電子郵件內容本身進行關
聯,發送伺服器為電子郵件進行簽名,並把簽名和用於產生簽名的公共金鑰插入一個新標題;在接收系統中驗證郵件簽名是否為授權這個收信地址使用的。
  DKIM把這兩個驗證系統整合起來,它和DomainKeys使用相同的方式,用DNS 發布的公共金鑰驗證簽名,也利用思科的標題簽名技術保持一致性。DKIM提供電子郵件一種驗證網域、郵件發送者和內容完整性的方法。因此如被判定為偽造,
那麼該郵件可能是垃圾郵件或是變造郵件可被丟棄;反之可以將該服務提供者評
定良好聲譽,並匯入反垃圾郵件策略系統中,直接提供給用戶。

Domain Keys的應用

〔三〕SenderID技術

  2004年,微軟總裁比爾蓋茲曾信警旦旦,預言在未來可消滅垃圾郵件,所憑藉
的就是Sender ID技術,但是由於IETF最終否決了微軟的提議而作罷。Sender ID技術主要包括兩個方面:寄信方與收信方的支持。
  寄信方需修改郵件伺服器的DNS,增加特定的SPF紀錄以表明身分,舉例來
說: "v=spfl ip4:192.168.1.0 /24-all",表示使用SPF1版本、對於192.168.1.0/24此網段是有效的,同時在外寄郵件所使用的通訊協定中新增SUBMITTER並在郵件中增加Resent-Sender 、 Resent-From、Sender等標示。收信方的郵件伺服器需採用Sender ID 的檢查技術,對於收到的郵件進行PRA或MAILFROM檢查,查詢寄信方的DNS的SPF紀錄,進以驗證寄信方身分。

SPF/SenderID的技術

〔一〕FairUCE技術

  FairUCE(Fair Use ofUnsolicited Commercial Email)由IBM所開發,該技術使用網路中的身份管理工具,通過分析過濾電子郵件網域名稱來封鎖垃圾郵件。FairUCE把收到的郵件是相同來源的IP位址進行鏈結(在郵件位址、網域和發送郵件電腦之間建立聯繫,以確定電子郵件的合法性),比如採用SPF或其他類似方法等。如能找到關聯性,那麼檢查寄信方的黑白名單、網域名稱來決定該郵件是否接收或拒絕。
FairUCE還有一個功能,就是透過回溯找到寄信的來源,並且把這些傳遞過來的垃圾郵件再回送回去,以此打擊濫發者。