ORF反垃圾邮件系统

邮件服务器-邮件系统-邮件技术论坛(BBS)

 找回密码
 会员注册
查看: 2926|回复: 0
打印 上一主题 下一主题

[转帖] 基于加密的邮件认证机制

[复制链接]
跳转到指定楼层
顶楼
发表于 2013-8-14 11:18:47 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
DKIM
DKIM(Domainkeys Identified Mail,邮件域名密钥验证) 是由雅虎与思科公司合作发表的邮件认证技术,已被IETF发布为一种正式标准。DKIM提供基于公钥加密机制的数字签名技术来验证邮件的发送域,阻挡钓鱼邮件,并能保证邮件内容的完整性,防止邮件在投递过程中被恶意篡改。DKIM要求发件域部署一到多对公私钥。私钥存储在本域的外发邮件服务器中,用于签名邮件;公钥通过DNS或其它第三方服务器对外发布。DKIM邮件服务器发送邮件时,利用本域的私钥签名邮件,生成DKIM-Signature签名头并插入到邮件头中,签名头中包括了DKIM签名以及邮件接收方验证签名所需的属性。DKIM 收件服务器接收邮件时, 从邮件中取出DKIM-Signature头,并根据签名头中的信息获取邮件发送方的公钥,验证DKIM签名的有效性。DKIM是一种端到端的认证技术,如果邮件投递链中合法的中间邮件系统,比如邮件列表服务,对邮件内容进行了修改,会使得原始邮件发送方对邮件的签名不再有效,导致DKIM认证失败。DKIM建议合法的中间邮件系统如有需要可以重新签名转发的邮件。另外,相对于SPF与SIDF,DKIM对邮件服务器的性能要求较高。
BATV
BATV(Bounce Address Tag Validation,反弹地址标记验证) 用HMAC-SHA-1签名算法来验证反弹邮件的合法性。具体工作过程是:邮件服务器生成并插入一个标记到外发邮件的Mail From地址的<local-part>中,标记中包括标记序列号、时间戳、以及对邮件原Mail From地址的数字签名;对于所有接收的反弹邮件,则检测邮件Rcpt To地址中的标记,如果地址不包含BATV标记,或标记中的签名验证失败,则会作为非法的反弹邮件被拒收。BATV利用信封地址验证反弹邮件,可以节省网络带宽,减轻服务器负荷。BATV技术也是一种轻量级的认证技术,实现该技术的邮件服务器不需要其他服务器的协作,就能对非法的反弹邮件实施过滤。BATV也存在某些缺陷。由于插入到Mail From地址中的标记与邮件的正文不存在必要的联系,因而BATV易受邮件重放攻击。BATV还会与一些邮件服务或反垃圾邮件技术(比如挑战/响应系统、灰名单技术、以及某些邮件列表服务等)产生冲突。
SRS
SRS(Sender Rewriting Scheme,发件人重写方案)主要用于对现有的邮件转寄机制进行修改,使得转寄的邮件能通过SPF验证,同时该技术也具有与BATV相似的功能和特点,可以用于验证反弹邮件。图1的架构中,邮件服务器B如果使用SRS , 邮件Mail From地址a@a.com 会被改写为SRS0=HHH=TT=a.com = a@b.com,其中:SRS0为标识符,HHH表示服务器用HMAC-SHA-1算法所生成的数字签名,TT为表示时间戳。重写了Mail From地址的邮件转寄给邮件服务器C后,能顺利通过SPF验证。另一方面,当邮件服务器B接收一封反弹邮件时,可以通过Rcpt To地址中包含SRS标记来验证反弹邮件的合法性。
您需要登录后才可以回帖 登录 | 会员注册

本版积分规则

小黑屋|手机版|Archiver|邮件技术资讯网

GMT+8, 2024-12-29 04:38

Powered by Discuz! X3.2

© 2001-2016 Comsenz Inc.

本论坛为非盈利中立机构,所有言论属发表者个人意见,不代表本论坛立场。内容所涉及版权和法律相关事宜请参考各自所有者的条款。
如认定侵犯了您权利,请联系我们。本论坛原创内容请联系后再行转载并务必保留我站信息。此声明修改不另行通知,保留最终解释权。
*本论坛会员专属QQ群:邮件技术资讯网会员QQ群
*本论坛会员备用QQ群:邮件技术资讯网备用群

快速回复 返回顶部 返回列表