基于加密的邮件认证机制
DKIM(Domainkeys Identified Mail,邮件域名密钥验证) 是由雅虎与思科公司合作发表的邮件认证技术,已被IETF发布为一种正式标准。DKIM提供基于公钥加密机制的数字签名技术来验证邮件的发送域,阻挡钓鱼邮件,并能保证邮件内容的完整性,防止邮件在投递过程中被恶意篡改。DKIM要求发件域部署一到多对公私钥。私钥存储在本域的外发邮件服务器中,用于签名邮件;公钥通过DNS或其它第三方服务器对外发布。DKIM邮件服务器发送邮件时,利用本域的私钥签名邮件,生成DKIM-Signature签名头并插入到邮件头中,签名头中包括了DKIM签名以及邮件接收方验证签名所需的属性。DKIM 收件服务器接收邮件时, 从邮件中取出DKIM-Signature头,并根据签名头中的信息获取邮件发送方的公钥,验证DKIM签名的有效性。DKIM是一种端到端的认证技术,如果邮件投递链中合法的中间邮件系统,比如邮件列表服务,对邮件内容进行了修改,会使得原始邮件发送方对邮件的签名不再有效,导致DKIM认证失败。DKIM建议合法的中间邮件系统如有需要可以重新签名转发的邮件。另外,相对于SPF与SIDF,DKIM对邮件服务器的性能要求较高。BATV
BATV(Bounce Address Tag Validation,反弹地址标记验证) 用HMAC-SHA-1签名算法来验证反弹邮件的合法性。具体工作过程是:邮件服务器生成并插入一个标记到外发邮件的Mail From地址的<local-part>中,标记中包括标记序列号、时间戳、以及对邮件原Mail From地址的数字签名;对于所有接收的反弹邮件,则检测邮件Rcpt To地址中的标记,如果地址不包含BATV标记,或标记中的签名验证失败,则会作为非法的反弹邮件被拒收。BATV利用信封地址验证反弹邮件,可以节省网络带宽,减轻服务器负荷。BATV技术也是一种轻量级的认证技术,实现该技术的邮件服务器不需要其他服务器的协作,就能对非法的反弹邮件实施过滤。BATV也存在某些缺陷。由于插入到Mail From地址中的标记与邮件的正文不存在必要的联系,因而BATV易受邮件重放攻击。BATV还会与一些邮件服务或反垃圾邮件技术(比如挑战/响应系统、灰名单技术、以及某些邮件列表服务等)产生冲突。
SRS
SRS(Sender Rewriting Scheme,发件人重写方案)主要用于对现有的邮件转寄机制进行修改,使得转寄的邮件能通过SPF验证,同时该技术也具有与BATV相似的功能和特点,可以用于验证反弹邮件。图1的架构中,邮件服务器B如果使用SRS , 邮件Mail From地址a@a.com 会被改写为SRS0=HHH=TT=a.com = a@b.com,其中:SRS0为标识符,HHH表示服务器用HMAC-SHA-1算法所生成的数字签名,TT为表示时间戳。重写了Mail From地址的邮件转寄给邮件服务器C后,能顺利通过SPF验证。另一方面,当邮件服务器B接收一封反弹邮件时,可以通过Rcpt To地址中包含SRS标记来验证反弹邮件的合法性。
页:
[1]
