反垃圾邮件DMARC_spf_dkim.ppt

Date 2017 2 反垃圾邮件DMARC技术交流 andy 目录Contents DMARC简介DMARCvsDKIM SPFDMARC应用场景DMARC架构DMARC举例DMARC发展前景 议题 DMARC简介DMARCvsDKIM SPFDMARC应用场景DMARC架构DMARC举例DMARC发展前景 DMARC简介 DMARC 全称Domain basedMessageAuthentication ReportingandConformance 是基于现有的DKIM和SPF两大主流电子邮件安全协议发展而来的 主要目的是识别并拦截钓鱼邮件 从而确保用户的个人信息安全 由邮件发送方在DNS里声明自己采用该协议 接收方收到该域发送过来的邮件时 则进行DMARC校验 从而判断当前邮件来源是否合法 DMARC简介 2012 01 30 由Paypal Google 微软 雅虎 ReturnPath等15家行业巨头 主要包括金融机构 Email服务提供商 数据分析机构等 联手成立的互联网联盟dmarc org 致力于提交并推广DMARC新电子邮件安全协议 目前该组织的官方成员有 如下图示 DMARC简介 DMARCvsDKIM SPF 1 三者都是邮件发送方在DNS里声明TXT记录 但DKIM SPF校验结果处理策略单一 accept reject 而DMARC策略更灵活 多种组合策略 支持百分比等 2 DMARC支持report的功能 邮件发送方在DNS除了可以声明策略外 还可以声明自己用于接收report的URI 3 DKIM SPF可以严格限制某个域名的来源合法性 但无法限制该域名的子域名 即子域名将无法得到保护 DMARCvsDKIM SPF 4 当一个站点的邮件服务器数量多或IP更换频繁时 这个域通常不设置SPF或仅设置为软失败 5 有些允许合法使用多个域名的邮箱服务器 如企业邮箱提供商 所有在同一家服务商上注册企业邮服务的域名 如和 它们的SPF记录都指向相同的IP列表 这种情况下仅仅靠SPF是阻止不了发送一封谎称发自的伪造邮件 DMARCvsDKIM SPF 6 DMARC可以在DNS记录里明确地声明一封验证失败邮件的处理策略 是reject或进垃圾箱 相当于授权给邮件接收方 那邮件接收方就可以非常果断地 因为是依据邮件发送方的授权和策略 不带一丝犹豫 担心误判 地处理这类邮件了 DMARC应用场景 1 对于邮件发送方 有这么一类特别的域名 它们经常被spammer利用于伪造各种钓鱼 诈骗邮件 如银行 保险等金融企业 支付宝 Paypal等支付商 知名网站 政府网站等 依靠DMARC会更好的降低他们的域名被利用于伪造的可能性 2 对于一些普通域名 中小企业 不知名网站等依靠DKIM SPF就足够保护自己的域名了 不再需要多一个DMARC 否则效果不明显还反倒加大了维护成本 DMARC应用场景 3 对于邮件接收方 无论是专业邮箱提供商 网易 Gmail等 还是个人架设的邮箱服务器 单位邮箱等 他们都非常希望拦截掉所有类型的垃圾邮件和伪造邮件 所以只要条件允许 他们都会支持越多的安全检查手段 SPF DKIM DMARC等 4 普通用户是DMARC的间接受益 他们只需要选择优秀的已支持DMARC协议的邮箱服务商 网易 Gmail等 来注册 就可以确保自己的个人信息安全 DMARC架构 DMARC架构 业务处理流程说明 1 用户将信发送到寄信服务器2 寄信服务器在邮件头中添加DKIM签名后 将信发给收信服务器3 收信服务器收到信后 先做一些常规验证 然后进行DKIM SPF验证 最后进行DMARC验证4 验证成功将信投递给接收者 验证失败或者需要隔离 则根据策略产生一报告反馈给邮件发送者 DMARC架构 DMARC校验的核心过程 1 从信头提取From字段的domain 称域名A 此字段只存在一个域名 2 查询DNS 获取域名A的DMARC记录 若该域无设置DMARC记录 忽略本次DMARC校验 3 校验DKIM 若验证成功 则获取DKIM签名中的 d 字段值 称域名B 信头中如果有多个DKIM签名验证通过 则域名B会存在多个 4 校验SPF 若验证成功 则获取本次SMTP会话中MAILFROM字段的domain 称域名C 此字段只存在一个域名 DMARC架构 5 校验DMARC 将域名B及域名C中的每一个域名和域名A进行DMARC比较 若当中有至少一个域名一致 则认为DMARC检查通过 否则认为DMARC检查失败 6 DMARC有2种比较模式 relaxed模式下 所比较的域名和域名A完全一致 或为域名A的父域名 则认为检查通过 strict模式下 所比较的域名和域名A完全一致 才认为检查通过 7 一旦整个DMARC校验结果失败 将执行DMARC策略 DMARC架构 DMARC策略 DNS策略查询方法 命令行如下 dig shorttxt dig shorttxt 策略标签 p sp 选项说明 none 仅做测试 收信方应忽略DMARC检查结果 进入后续的反垃圾流程 但不影响report的发送 quarantine 收信方应认为这是一封可疑邮件 可以投递到垃圾箱或做特殊标记 reject 收信方应直接拒绝本次SMTP会话请求 DMARC举例 一个DMARC拦截钓鱼邮件的例子 下面伪造一封自称发自security 的邮件 发往网易邮箱 看的MX机器是否会拒收这封邮件 1 首先查询一下的DMARC记录 命令行如下 dig shorttxt 2 连接到的MX机器 发送一封paypal伪造邮件 命令行操作过程如下 DMARC举例 telnet220 181 12 5525 250OKmailfrom 本次会话的域名C250MailOKrcptto 250MailOKdata354Enddatawith DMARC举例 from 本次会话的域名Ato testsubject testtest 550MI DMAmx5 N8CowEAZAEUGc2JQkC6HBg 6679S21348629370quit221Bye DMARC举例 3 测试说明 上面这封伪造邮件 域名B及域名C中没有一个域名和域名A能匹配上 即DMARC校验不通过 那么根据的DMARC策略要求 的MX服务器拒收了这封邮件 返回了550MI DMA 在反馈url中查询550MI DMA错误 获取退信原因如下 550MI DMA该邮件未被发信域的DMARC许可 请参考http dmarc org 关于DMARC规范的定义 DMARC发展前景 DMARC识别效果明显 是一款低开销 高效应