技术园地

TECHNOLOGY

你应该了解的电邮安全协议SPF/DKIM/DMARC!

发布时间：2018-11-01 / 浏览次数：17,512次

近2年来，诈骗邮件及钓鱼邮件开始大爆发，屡屡出现企业的邮件账号被盗，财务诈骗事件时有发生。现在还没有哪家反垃圾网关能一定杜绝这类邮件，但是我们还是通过一些简单的设置可以大幅提高邮件安全，减少大量的诈骗邮件，降低可能的安全风险。

那就看看我们怎么做吧！

当前 Email 通信，还是在使用 SMTP 这个协议。SMTP 实际上是一个简单的传输协议，本身并没有很好的安全措施。根据 SMTP 的规则，发件人的邮箱地址是可以由发信方任意声明的。在 SMTP 协议制定的时候也许还好，但在垃圾和诈骗邮件横行的今天，这显然是极不安全的。

SPF的设置，就是为了防止随意伪造发件人。DKIM策略和DMARC策略也是如此。下面就SPF/DKIM/DMARC做下介绍。

SPF 原理
SPF 记录实际上是服务器的一个 DNS 记录，原理其实很简单：

假设邮件服务器收到了一封邮件，来自主机的 IP 是173.194.72.103，并且声称发件人为email@example.com。为了确认发件人不是伪造的，邮件服务器会去查询example.com的 SPF 记录。如果该域的 SPF 记录设置允许 IP 为173.194.72.103的主机发送邮件，则服务器就认为这封邮件是合法的；如果不允许，则通常会退信，或将其标记为垃圾/仿冒邮件。

因为不怀好心的人虽然可以「声称」他的邮件来自example.com，但是他却无权操作example.com的 DNS 记录；同时他也无法伪造自己的 IP 地址。因此 SPF 是很有效的，当前基本上所有的邮件服务提供商（例如 Gmail、QQ邮箱等）都会验证它。

DKIM介绍：
是一种用于检查电子邮件欺骗的电子邮件身份验证方法。它允许接收方检查声称来自特定域的电子邮件是否确实由该域的所有者授权。旨在防止电子邮件中伪造的发件人地址，这是一种常用于网络钓鱼和垃圾邮件的技术。

在技术方面，DKIM允许域名通过在其上附加数字签名将其名称与电子邮件相关联。使用DNS中发布的签名者公钥进行验证。有效签名可确保自签名签名后电子邮件的某些部分（可能包括附件）未被修改。通常，DKIM签名对用户不可见，并且由基础设施而不是消息的作者和收件人加贴或验证。在这方面，DKIM与端到端数字签名不同。

一个典型的DKIM签名头如下:

DKIM-Signature: v=1; a=rsa-sha256; d=example.net; s=brisbane; c=relaxed/simple; q=dns/txt; l=1234; t=1117574938; x=1118006938; h=from:to:subject:date:keywords:keywords; bh=MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI=; b=dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZ VoG4ZHRNiYzR

当收到一封邮件后，支持dkim的服务商就会查询brisbane._domainkey.example.net的txt记录，从中找到公钥，一个保存dkim公钥的txt记录如下:
v=DKIM1\;k=rsa\;p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDRDG9+KjIHtJXilSxHtbS92dsEuKZ1mSWBu/e9L3ZpkDpYlOYsqiD8grXafNoIuwrxBpXW2lg2LbwkvugNDjJtQ7SQTPpP6b5hL23i8ezCYKeMTA8XM1618BtO2ZWHmWBOEvlEC11vmCZuuQc0RAxXa1H6hz0C13W+Qg/Qz+xYNQIDAQAB

DMARC介绍：
DMARC代表“基于域的消息身份验证，报告和一致性”，是一种电子邮件身份验证，策略和报告协议。它建立在广泛部署的SPF和DKIM协议的基础上，增加了与作者（发件人）域名的联系，为收件人处理身份验证失败的已发布策略，以及从接收者到发件人的报告，以改进和监控域的保护。

设置DMARCK记录,示例：