《反垃圾邮件DMARC-spf-dkim》由会员分享,可在线阅读,更多相关《反垃圾邮件DMARC-spf-dkim(23页珍藏版)》请在金锄头文库上搜索。
1、Date: 2017.2反垃圾邮件DMARC技术交流andyandy目录 ContentsDMARC简介DMARC vs DKIM & SPFDMARC应用场景DMARC架构DMARC举例DMARC发展前景议题DMARC简介DMARC vs DKIM & SPFDMARC应用场景DMARC架构DMARC举例DMARC发展前景DMARC简介DMARC,全称Domain-based Message Authentication, Reporting and Conformance ,是基于现有的DKIM和SPF两大主流电子邮件安全协议发展而来的。主要目的是识别并拦截钓鱼邮件,从而确保用户的个人信息
2、安全。由邮件发送方在DNS里声明自己采用该协议,接收方收到该域发送过来的邮件时,则进行DMARC校验,从而判断当前邮件来源是否合法。DMARC简介2012/01/30,由Paypal,Google,微软,雅虎,ReturnPath等15家行业巨头,主要包括金融机构、Email服务提供商、数据分析机构等,联手成立的互联网联盟dmarc.org,致力于提交并推广DMARC新电子邮件安全协议。目前该组织的官方成员有,如下图示:DMARC简介DMARC vs DKIM & SPF1)三者都是邮件发送方在DNS里声明TXT记录,但DKIM & SPF校验结果处理策略单一(accept/reject),而
3、DMARC策略更灵活(多种组合策略,支持百分比等)。2)DMARC支持report的功能,邮件发送方在DNS除了可以声明策略外,还可以声明自己用于接收report的URI。3)DKIM & SPF 可以严格限制某个域名的来源合法性,但无法限制该域名的子域名,即子域名将无法得到保护。DMARC vs DKIM & SPF4)当一个站点的邮件服务器数量多或IP更换频繁时,这个域通常不设置SPF或仅设置为软失败。5)有些允许合法使用多个域名的邮箱服务器(如企业邮箱提供商),所有在同一家服务商上注册企业邮服务的域名(如和),它们的SPF记录都指向相同的IP列表,这种情况下仅仅靠SPF是阻止不了发送一封
4、谎称发自的伪造邮件。DMARC vs DKIM & SPF6)DMARC可以在DNS记录里明确地声明一封验证失败邮件的处理策略,是reject或进垃圾箱,相当于授权给邮件接收方,那邮件接收方就可以非常果断地(因为是依据邮件发送方的授权和策略),不带一丝犹豫(担心误判)地处理这类邮件了。DMARC应用场景1)对于邮件发送方,有这么一类特别的域名,它们经常被spammer利用于伪造各种钓鱼/诈骗邮件,如银行、保险等金融企业,支付宝、Paypal等支付商,知名网站、政府网站等,依靠DMARC会更好的降低他们的域名被利用于伪造的可能性。2)对于一些普通域名,中小企业、不知名网站等依靠DKIM & SP
5、F就足够保护自己的域名了,不再需要多一个DMARC,否则效果不明显还反倒加大了维护成本。DMARC应用场景3)对于邮件接收方,无论是专业邮箱提供商(网易、Gmail等),还是个人架设的邮箱服务器(单位邮箱等),他们都非常希望拦截掉所有类型的垃圾邮件和伪造邮件。所以只要条件允许,他们都会支持越多的安全检查手段(SPF/DKIM/DMARC等)。4)普通用户是DMARC的间接受益,他们只需要选择优秀的已支持DMARC协议的邮箱服务商(网易、Gmail等)来注册,就可以确保自己的个人信息安全。DMARC架构DMARC架构业务处理流程说明:1)用户将信发送到寄信服务器2)寄信服务器在邮件头中添加DKI
6、M签名后,将信发给收信服务器3)收信服务器收到信后,先做一些常规验证,然后进行DKIM & SPF验证,最后进行DMARC验证4)验证成功将信投递给接收者,验证失败或者需要隔离,则根据策略产生一报告反馈给邮件发送者DMARC架构DMARC校验的核心过程:1)从信头提取From字段的domain,称域名A。此字段只存在一个域名。2)查询DNS,获取域名A的DMARC记录。若该域无设置DMARC记录,忽略本次DMARC校验。3)校验DKIM,若验证成功,则获取DKIM签名中的“d=”字段值,称域名B。信头中如果有多个DKIM签名验证通过,则域名B会存在多个。4)校验SPF,若验证成功,则获取本次S
7、MTP会话中MAIL FROM字段的domain,称域名C。此字段只存在一个域名。DMARC架构5)校验DMARC,将域名B及域名C中的每一个域名和域名A进行DMARC比较,若当中有至少一个域名一致,则认为DMARC检查通过,否则认为DMARC检查失败。6)DMARC有2种比较模式,relaxed模式下,所比较的域名和域名A完全一致,或为域名A的父域名,则认为检查通过。strict模式下,所比较的域名和域名A完全一致,才认为检查通过。7)一旦整个DMARC校验结果失败,将执行DMARC策略。DMARC架构DMARC策略:DNS策略查询方法,命令行如下: dig +short txt _ dig
8、 +short txt _策略标签(p/sp)选项说明: none - 仅做测试,收信方应忽略DMARC检查结果,进入后续的反垃圾流程,但不影响report的发送。 quarantine - 收信方应认为这是一封可疑邮件,可以投递到垃圾箱或做特殊标记。 reject - 收信方应直接拒绝本次SMTP会话请求。DMARC举例一个DMARC拦截钓鱼邮件的例子:下面伪造一封自称发自的邮件,发往网易邮箱,看的MX机器是否会拒收这封邮件。1)首先查询一下的DMARC记录,命令行如下:dig +short txt _2)连接到的MX机器,发送一封paypal伪造邮件,命令行操作过程如下:DMARC举例te
9、lnet 220.181.12.55 25helo 250 OKmail from: 本次会话的域名C250 Mail OKrcpt to:250 Mail OK data354 End data with .DMARC举例from: 本次会话的域名Ato:testsubject:test test.550 MI:DMA mx5, N8CowEAZAEUGc2JQkC6HBg-.6679S2 1348629370 http:/ quit221 ByeDMARC举例3)测试说明:上面这封伪造邮件,域名B及域名C中没有一个域名和域名A能匹配上,即DMARC校验不通过。那么根据的DMARC策略要求,
10、的MX服务器拒收了这封邮件(返回了550 MI:DMA)。在反馈url中查询550 MI:DMA错误,获取退信原因如下: 550 MI:DMA 该邮件未被发信域的DMARC许可。请参考http:/dmarc.org/关于DMARC规范的定义;DMARC发展前景DMARC识别效果明显,是一款低开销+高效应+诸多优势的电子邮件安全工具。DMARC协议还不够成熟,还处在不断完善当中。使用范围不大,目前国内只有163邮箱提供DMARC验证服务。DMARC也不是无所不能的,目前只能识别出针对信头From字段域名的伪造,还无法识别其他的伪造手段,如伪造信头Sender字段等。Thanks2017/0223 以上有不当之处,请大家给与批评指正,谢谢大家!以上有不当之处,请大家给与批评指正,谢谢大家!
