反垃圾郵件DMARC_spf_dkim.ppt

Date 2017 2 反垃圾郵件DMARC技術(shù)交流 andy 目錄Contents DMARC簡介DMARCvsDKIM SPFDMARC應(yīng)用場景DMARC架構(gòu)DMARC舉例DMARC發(fā)展前景 議題 DMARC簡介DMARCvsDKIM SPFDMARC應(yīng)用場景DMARC架構(gòu)DMARC舉例DMARC發(fā)展前景 DMARC簡介 DMARC 全稱Domain basedMessageAuthentication ReportingandConformance 是基于現(xiàn)有的DKIM和SPF兩大主流電子郵件安全協(xié)議發(fā)展而來的 主要目的是識別并攔截釣魚郵件 從而確保用戶的個人信息安全 由郵件發(fā)送方在DNS里聲明自己采用該協(xié)議 接收方收到該域發(fā)送過來的郵件時 則進(jìn)行DMARC校驗(yàn) 從而判斷當(dāng)前郵件來源是否合法 DMARC簡介 2012 01 30 由Paypal Google 微軟 雅虎 ReturnPath等15家行業(yè)巨頭 主要包括金融機(jī)構(gòu) Email服務(wù)提供商 數(shù)據(jù)分析機(jī)構(gòu)等 聯(lián)手成立的互聯(lián)網(wǎng)聯(lián)盟dmarc org 致力于提交并推廣DMARC新電子郵件安全協(xié)議 目前該組織的官方成員有 如下圖示 DMARC簡介 DMARCvsDKIM SPF 1 三者都是郵件發(fā)送方在DNS里聲明TXT記錄 但DKIM SPF校驗(yàn)結(jié)果處理策略單一 accept reject 而DMARC策略更靈活 多種組合策略 支持百分比等 2 DMARC支持report的功能 郵件發(fā)送方在DNS除了可以聲明策略外 還可以聲明自己用于接收report的URI 3 DKIM SPF可以嚴(yán)格限制某個域名的來源合法性 但無法限制該域名的子域名 即子域名將無法得到保護(hù) DMARCvsDKIM SPF 4 當(dāng)一個站點(diǎn)的郵件服務(wù)器數(shù)量多或IP更換頻繁時 這個域通常不設(shè)置SPF或僅設(shè)置為軟失敗 5 有些允許合法使用多個域名的郵箱服務(wù)器 如企業(yè)郵箱提供商 所有在同一家服務(wù)商上注冊企業(yè)郵服務(wù)的域名 如和 它們的SPF記錄都指向相同的IP列表 這種情況下僅僅靠SPF是阻止不了發(fā)送一封謊稱發(fā)自的偽造郵件 DMARCvsDKIM SPF 6 DMARC可以在DNS記錄里明確地聲明一封驗(yàn)證失敗郵件的處理策略 是reject或進(jìn)垃圾箱 相當(dāng)于授權(quán)給郵件接收方 那郵件接收方就可以非常果斷地 因?yàn)槭且罁?jù)郵件發(fā)送方的授權(quán)和策略 不帶一絲猶豫 擔(dān)心誤判 地處理這類郵件了 DMARC應(yīng)用場景 1 對于郵件發(fā)送方 有這么一類特別的域名 它們經(jīng)常被spammer利用于偽造各種釣魚 詐騙郵件 如銀行 保險等金融企業(yè) 支付寶 Paypal等支付商 知名網(wǎng)站 政府網(wǎng)站等 依靠DMARC會更好的降低他們的域名被利用于偽造的可能性 2 對于一些普通域名 中小企業(yè) 不知名網(wǎng)站等依靠DKIM SPF就足夠保護(hù)自己的域名了 不再需要多一個DMARC 否則效果不明顯還反倒加大了維護(hù)成本 DMARC應(yīng)用場景 3 對于郵件接收方 無論是專業(yè)郵箱提供商 網(wǎng)易 Gmail等 還是個人架設(shè)的郵箱服務(wù)器 單位郵箱等 他們都非常希望攔截掉所有類型的垃圾郵件和偽造郵件 所以只要條件允許 他們都會支持越多的安全檢查手段 SPF DKIM DMARC等 4 普通用戶是DMARC的間接受益 他們只需要選擇優(yōu)秀的已支持DMARC協(xié)議的郵箱服務(wù)商 網(wǎng)易 Gmail等 來注冊 就可以確保自己的個人信息安全 DMARC架構(gòu) DMARC架構(gòu) 業(yè)務(wù)處理流程說明 1 用戶將信發(fā)送到寄信服務(wù)器2 寄信服務(wù)器在郵件頭中添加DKIM簽名后 將信發(fā)給收信服務(wù)器3 收信服務(wù)器收到信后 先做一些常規(guī)驗(yàn)證 然后進(jìn)行DKIM SPF驗(yàn)證 最后進(jìn)行DMARC驗(yàn)證4 驗(yàn)證成功將信投遞給接收者 驗(yàn)證失敗或者需要隔離 則根據(jù)策略產(chǎn)生一報告反饋給郵件發(fā)送者 DMARC架構(gòu) DMARC校驗(yàn)的核心過程 1 從信頭提取From字段的domain 稱域名A 此字段只存在一個域名 2 查詢DNS 獲取域名A的DMARC記錄 若該域無設(shè)置DMARC記錄 忽略本次DMARC校驗(yàn) 3 校驗(yàn)DKIM 若驗(yàn)證成功 則獲取DKIM簽名中的 d 字段值 稱域名B 信頭中如果有多個DKIM簽名驗(yàn)證通過 則域名B會存在多個 4 校驗(yàn)SPF 若驗(yàn)證成功 則獲取本次SMTP會話中MAILFROM字段的domain 稱域名C 此字段只存在一個域名 DMARC架構(gòu) 5 校驗(yàn)DMARC 將域名B及域名C中的每一個域名和域名A進(jìn)行DMARC比較 若當(dāng)中有至少一個域名一致 則認(rèn)為DMARC檢查通過 否則認(rèn)為DMARC檢查失敗 6 DMARC有2種比較模式 relaxed模式下 所比較的域名和域名A完全一致 或?yàn)橛蛎鸄的父域名 則認(rèn)為檢查通過 strict模式下 所比較的域名和域名A完全一致 才認(rèn)為檢查通過 7 一旦整個DMARC校驗(yàn)結(jié)果失敗 將執(zhí)行DMARC策略 DMARC架構(gòu) DMARC策略 DNS策略查詢方法 命令行如下 dig shorttxt dig shorttxt 策略標(biāo)簽 p sp 選項(xiàng)說明 none 僅做測試 收信方應(yīng)忽略DMARC檢查結(jié)果 進(jìn)入后續(xù)的反垃圾流程 但不影響report的發(fā)送 quarantine 收信方應(yīng)認(rèn)為這是一封可疑郵件 可以投遞到垃圾箱或做特殊標(biāo)記 reject 收信方應(yīng)直接拒絕本次SMTP會話請求 DMARC舉例 一個DMARC攔截釣魚郵件的例子 下面?zhèn)卧煲环庾苑Q發(fā)自security 的郵件 發(fā)往網(wǎng)易郵箱 看的MX機(jī)器是否會拒收這封郵件 1 首先查詢一下的DMARC記錄 命令行如下 dig shorttxt 2 連接到的MX機(jī)器 發(fā)送一封paypal偽造郵件 命令行操作過程如下 DMARC舉例 telnet220 181 12 5525 250OKmailfrom 本次會話的域名C250MailOKrcptto 250MailOKdata354Enddatawith DMARC舉例 from 本次會話的域名Ato testsubject testtest 550MI DMAmx5 N8CowEAZAEUGc2JQkC6HBg 6679S21348629370quit221Bye DMARC舉例 3 測試說明 上面這封偽造郵件 域名B及域名C中沒有一個域名和域名A能匹配上 即DMARC校驗(yàn)不通過 那么根據(jù)的DMARC策略要求 的MX服務(wù)器拒收了這封郵件 返回了550MI DMA 在反饋url中查詢550MI DMA錯誤 獲取退信原因如下 550MI DMA該郵件未被發(fā)信域的DMARC許可 請參考http dmarc org 關(guān)于DMARC規(guī)范的定義 DMARC發(fā)展前景 DMARC識別效果明顯 是一款低開銷 高效應(yīng)