DoSECU解析:电子邮件验证

DoSECU 安全分析 4月7日消息:电子邮件验证会要求发送电子邮件的企业承担相关的责任;电子邮件验证要对发件人的身份进行验证,每个被验证的信息都会经过收件人的确认。你可以将这种身份验证视为司机的驾驶执照;能提供可靠的身份指示。承担责任的发件人企业可能不是电子邮件的作者。有时这些发件人可能是电子邮件服务提供商或者负责传递信息的转发企业。

如果电子邮件是安全的,那么这种执行身份验证的能力就不会发挥作用,但是不幸的是,在我们的脑海里电子邮件的设计并不安全。为了避免对现有电子邮件配置造成影响,电子邮件验证被作为现有电子邮件的一种补充进行设计和执行。这也给了不同配置自由升级到新能力的空间。

安全领域有两种基本方式来实现电子邮件验证(这两种方式有其共性,但适用的协议有所不同)Sender Policy Framework (SPF)和Sender ID 使用的是以路径为基础的方法,这种方法主要依靠的是对传递邮件给收件人的邮件服务器的验证。域密钥验证邮件(DKIM)和其前身DomainKeys使用的都是端到端的加密。

这两种方法都是利用域名服务(DNS)现有的网络基础架构提供公共验证数据。这种方式能发挥作用是因为域名服务互动已经是电子邮件传输和交付过程中不可或缺的组成部分。

基本的电子邮件验证流程

基本的电子邮件验证流程对于发件人身份验证和域密钥验证邮件(DKIM)来说都是一样的,细微的差异主要集中在步骤2,3,4:

步骤1:发件人编辑邮件然后点击发送,这种行为会将邮件从邮件客户端传输到发件人邮件服务器。

步骤2:发件人邮件服务器对收件人进行验证,处理邮件,执行必要的验证,创建邮件信头,然后将邮件信息传输到收件人邮件服务器。

步骤3:收件人邮件服务器处理即将进入的邮件信息。然后对发件人域名服务的任何相关验证信息进行质询。

步骤4:收件人邮件服务器利用验证信息来验证即将进入的邮件内容。

步骤5:收件人后端处理流程会将验证结果和任何相关的授信数据以及内容过滤关联起来,由此来判断邮件内容是传递到收件人的收件箱,垃圾文件夹还是直接阻止。

步骤6:最后如果邮件没有被阻止,收件人就可以访问邮件内容,下次邮件的状态也得到了更新。

从电子邮件验证中受益

每个人对于电子邮件验证这个话题都有着自己的看法,但是底线是这种方法对于每一个将电子邮件作为合法沟通媒介的公民来说都是有好处的。这种方式对发件人有好处,因为电子邮件验证可以要求他们对自己发送的电子邮件承担明确的责任,这种方法还可以甄别那些自称来自所在域的假冒电子邮件。从发件人的角度来说,目前电子邮件验证立竿见影的优势在于它能减少某些伪造邮件的发生率,在电子邮件中维护客户对发件人的信任

电子邮件验证对收件人也有好处,因为它能对行为数据或者发件人信誉进行验证。对收件人来说也能更加容易的判断假冒电子邮件,这些假冒电子邮件通常都是网络诈骗或者钓鱼程序的诱饵。对于那些成功验证的电子邮件,收件人就可以根据所收集的垃圾邮件地址和来自用户的投诉邮件,为经过证实的发件人身份建立信誉等级。收件人也可以通过咨询对其他收件人行为实施监控的第三方授信引擎来充实他们的私人授信数据。

如果电子邮件验证就是司机的驾驶证,那么信誉就好比司机的驾驶记录:互联网服务提供商和其他电子邮件收件人通过电子邮件验证来判断邮件内容的传输–这和保险公司查证司机的驾驶记录来决定保险费率是异曲同工。信誉数据能提供发件人行为的模型,随着时间的推移,这也成为未来行为的可靠预警。因此尽管垃圾邮件也能验证他们邮件的身份,但是他们糟糕的信誉度对他们将来的传输会造成负面的影响。

电子邮件验证对收件人有好处,还有个原因就是它能让收件人对收件箱中来自指定发件人的已验证电子邮件产生足够的信任。收件人也能少收到那些非法的邮件内容和垃圾邮件,因为他们很多已经被垃圾邮件过滤器过滤掉了。

电子邮件验证对整个行业都有好处。电子邮件发件人和提供商联盟要求要求他们的成员(这些成员都是主要的电子邮件提供商)都能支持电子邮件验证。2008年3月,信息反滥用工作联盟(MAAWG)出版了名为"电子邮件诚信始于验证"的白皮书,Sender Best Communications Practices也强烈推荐发件人接受"对所有类型的电子邮件都进行验证"的提议。

很多发件人也想知道已验证电子邮件如何为他们提供帮助。这是一个很难回答的问题。因为已验证电子邮件能帮助收件人过滤掉假冒电子邮件,从而阻止某些网络诈骗和钓鱼程序的攻击。一些收件人已经对成功验证的电子邮件提供了积极的过滤机制。目前这种影响还非常微弱,但是多数主要的互联网服务提供商都已经开始支持一种或多重验证类型。随着电子邮件验证更加普及,收件人为已验证发件人完善信誉数据库,这种验证的比重还会有所增长。

结论

需要提醒的重要一点是,电子邮件验证本身并非万能钥匙。因为你要通过验证来发送特殊域的邮件并不会自动意味着你正在发送得到许可的电子邮件或者你不会遭到来自收件人的投诉。电子邮件验证真正的长期优势在于它能对收件人收到的信誉数据提供身份证明。经过时间考验的真实行为会帮助收件人阻断如洪水般泛滥的垃圾邮件,还能让绝大多数合法的电子邮件安全的传递到目的收件人。