反垃圾郵件DMARC_spf_dkim.ppt

Date 2017 2 反垃圾郵件DMARC技術(shù)交流 andy 目錄Contents DMARC簡(jiǎn)介DMARCvsDKIM SPFDMARC應(yīng)用場(chǎng)景DMARC架構(gòu)DMARC舉例DMARC發(fā)展前景 議題 DMARC簡(jiǎn)介DMARCvsDKIM SPFDMARC應(yīng)用場(chǎng)景DMARC架構(gòu)DMARC舉例DMARC發(fā)展前景 DMARC簡(jiǎn)介 DMARC 全稱(chēng)Domain basedMessageAuthentication ReportingandConformance 是基于現(xiàn)有的DKIM和SPF兩大主流電子郵件安全協(xié)議發(fā)展而來(lái)的 主要目的是識(shí)別并攔截釣魚(yú)郵件 從而確保用戶的個(gè)人信息安全 由郵件發(fā)送方在DNS里聲明自己采用該協(xié)議 接收方收到該域發(fā)送過(guò)來(lái)的郵件時(shí) 則進(jìn)行DMARC校驗(yàn) 從而判斷當(dāng)前郵件來(lái)源是否合法 DMARC簡(jiǎn)介 2012 01 30 由Paypal Google 微軟 雅虎 ReturnPath等15家行業(yè)巨頭 主要包括金融機(jī)構(gòu) Email服務(wù)提供商 數(shù)據(jù)分析機(jī)構(gòu)等 聯(lián)手成立的互聯(lián)網(wǎng)聯(lián)盟dmarc org 致力于提交并推廣DMARC新電子郵件安全協(xié)議 目前該組織的官方成員有 如下圖示 DMARC簡(jiǎn)介 DMARCvsDKIM SPF 1 三者都是郵件發(fā)送方在DNS里聲明TXT記錄 但DKIM SPF校驗(yàn)結(jié)果處理策略單一 accept reject 而DMARC策略更靈活 多種組合策略 支持百分比等 2 DMARC支持report的功能 郵件發(fā)送方在DNS除了可以聲明策略外 還可以聲明自己用于接收report的URI 3 DKIM SPF可以嚴(yán)格限制某個(gè)域名的來(lái)源合法性 但無(wú)法限制該域名的子域名 即子域名將無(wú)法得到保護(hù) DMARCvsDKIM SPF 4 當(dāng)一個(gè)站點(diǎn)的郵件服務(wù)器數(shù)量多或IP更換頻繁時(shí) 這個(gè)域通常不設(shè)置SPF或僅設(shè)置為軟失敗 5 有些允許合法使用多個(gè)域名的郵箱服務(wù)器 如企業(yè)郵箱提供商 所有在同一家服務(wù)商上注冊(cè)企業(yè)郵服務(wù)的域名 如和 它們的SPF記錄都指向相同的IP列表 這種情況下僅僅靠SPF是阻止不了發(fā)送一封謊稱(chēng)發(fā)自的偽造郵件 DMARCvsDKIM SPF 6 DMARC可以在DNS記錄里明確地聲明一封驗(yàn)證失敗郵件的處理策略 是reject或進(jìn)垃圾箱 相當(dāng)于授權(quán)給郵件接收方 那郵件接收方就可以非常果斷地 因?yàn)槭且罁?jù)郵件發(fā)送方的授權(quán)和策略 不帶一絲猶豫 擔(dān)心誤判 地處理這類(lèi)郵件了 DMARC應(yīng)用場(chǎng)景 1 對(duì)于郵件發(fā)送方 有這么一類(lèi)特別的域名 它們經(jīng)常被spammer利用于偽造各種釣魚(yú) 詐騙郵件 如銀行 保險(xiǎn)等金融企業(yè) 支付寶 Paypal等支付商 知名網(wǎng)站 政府網(wǎng)站等 依靠DMARC會(huì)更好的降低他們的域名被利用于偽造的可能性 2 對(duì)于一些普通域名 中小企業(yè) 不知名網(wǎng)站等依靠DKIM SPF就足夠保護(hù)自己的域名了 不再需要多一個(gè)DMARC 否則效果不明顯還反倒加大了維護(hù)成本 DMARC應(yīng)用場(chǎng)景 3 對(duì)于郵件接收方 無(wú)論是專(zhuān)業(yè)郵箱提供商 網(wǎng)易 Gmail等 還是個(gè)人架設(shè)的郵箱服務(wù)器 單位郵箱等 他們都非常希望攔截掉所有類(lèi)型的垃圾郵件和偽造郵件 所以只要條件允許 他們都會(huì)支持越多的安全檢查手段 SPF DKIM DMARC等 4 普通用戶是DMARC的間接受益 他們只需要選擇優(yōu)秀的已支持DMARC協(xié)議的郵箱服務(wù)商 網(wǎng)易 Gmail等 來(lái)注冊(cè) 就可以確保自己的個(gè)人信息安全 DMARC架構(gòu) DMARC架構(gòu) 業(yè)務(wù)處理流程說(shuō)明 1 用戶將信發(fā)送到寄信服務(wù)器2 寄信服務(wù)器在郵件頭中添加DKIM簽名后 將信發(fā)給收信服務(wù)器3 收信服務(wù)器收到信后 先做一些常規(guī)驗(yàn)證 然后進(jìn)行DKIM SPF驗(yàn)證 最后進(jìn)行DMARC驗(yàn)證4 驗(yàn)證成功將信投遞給接收者 驗(yàn)證失敗或者需要隔離 則根據(jù)策略產(chǎn)生一報(bào)告反饋給郵件發(fā)送者 DMARC架構(gòu) DMARC校驗(yàn)的核心過(guò)程 1 從信頭提取From字段的domain 稱(chēng)域名A 此字段只存在一個(gè)域名 2 查詢DNS 獲取域名A的DMARC記錄 若該域無(wú)設(shè)置DMARC記錄 忽略本次DMARC校驗(yàn) 3 校驗(yàn)DKIM 若驗(yàn)證成功 則獲取DKIM簽名中的 d 字段值 稱(chēng)域名B 信頭中如果有多個(gè)DKIM簽名驗(yàn)證通過(guò) 則域名B會(huì)存在多個(gè) 4 校驗(yàn)SPF 若驗(yàn)證成功 則獲取本次SMTP會(huì)話中MAILFROM字段的domain 稱(chēng)域名C 此字段只存在一個(gè)域名 DMARC架構(gòu) 5 校驗(yàn)DMARC 將域名B及域名C中的每一個(gè)域名和域名A進(jìn)行DMARC比較 若當(dāng)中有至少一個(gè)域名一致 則認(rèn)為DMARC檢查通過(guò) 否則認(rèn)為DMARC檢查失敗 6 DMARC有2種比較模式 relaxed模式下 所比較的域名和域名A完全一致 或?yàn)橛蛎鸄的父域名 則認(rèn)為檢查通過(guò) strict模式下 所比較的域名和域名A完全一致 才認(rèn)為檢查通過(guò) 7 一旦整個(gè)DMARC校驗(yàn)結(jié)果失敗 將執(zhí)行DMARC策略 DMARC架構(gòu) DMARC策略 DNS策略查詢方法 命令行如下 dig shorttxt dig shorttxt 策略標(biāo)簽 p sp 選項(xiàng)說(shuō)明 none 僅做測(cè)試 收信方應(yīng)忽略DMARC檢查結(jié)果 進(jìn)入后續(xù)的反垃圾流程 但不影響report的發(fā)送 quarantine 收信方應(yīng)認(rèn)為這是一封可疑郵件 可以投遞到垃圾箱或做特殊標(biāo)記 reject 收信方應(yīng)直接拒絕本次SMTP會(huì)話請(qǐng)求 DMARC舉例 一個(gè)DMARC攔截釣魚(yú)郵件的例子 下面?zhèn)卧煲环庾苑Q(chēng)發(fā)自security 的郵件 發(fā)往網(wǎng)易郵箱 看的MX機(jī)器是否會(huì)拒收這封郵件 1 首先查詢一下的DMARC記錄 命令行如下 dig shorttxt 2 連接到的MX機(jī)器 發(fā)送一封paypal偽造郵件 命令行操作過(guò)程如下 DMARC舉例 telnet220 181 12 5525 250OKmailfrom 本次會(huì)話的域名C250MailOKrcptto 250MailOKdata354Enddatawith DMARC舉例 from 本次會(huì)話的域名Ato testsubject testtest 550MI DMAmx5 N8CowEAZAEUGc2JQkC6HBg 6679S21348629370quit221Bye DMARC舉例 3 測(cè)試說(shuō)明 上面這封偽造郵件 域名B及域名C中沒(méi)有一個(gè)域名和域名A能匹配上 即DMARC校驗(yàn)不通過(guò) 那么根據(jù)的DMARC策略要求 的MX服務(wù)器拒收了這封郵件 返回了550MI DMA 在反饋url中查詢550MI DMA錯(cuò)誤 獲取退信原因如下 550MI DMA該郵件未被發(fā)信域的DMARC許可 請(qǐng)參考http dmarc org 關(guān)于DMARC規(guī)范的定義 DMARC發(fā)展前景 DMARC識(shí)別效果明顯 是一款低開(kāi)銷(xiāo) 高效應(yīng)