反垃圾邮件DMARC_spf_dkim

1、date: 2017.2,反垃圾邮件dmarc技术交流,andy,目录 contents,dmarc简介 dmarc vs dkim & spf dmarc应用场景 dmarc架构 dmarc举例 dmarc发展前景,议题,dmarc简介 dmarc vs dkim & spf dmarc应用场景 dmarc架构 dmarc举例 dmarc发展前景,dmarc简介,dmarc，全称domain-based message authentication, reporting and conformance ，是基于现有的dkim和spf两大主流电子邮件安全协议发展而来的。 主要目的是识别并拦截钓

2、鱼邮件，从而确保用户的个人信息安全。 由邮件发送方在dns里声明自己采用该协议，接收方收到该域发送过来的邮件时，则进行dmarc校验，从而判断当前邮件来源是否合法,dmarc简介,2012/01/30，由paypal，google，微软，雅虎，returnpath等15家行业巨头，主要包括金融机构、email服务提供商、数据分析机构等，联手成立的互联网联盟，致力于提交并推广dmarc新电子邮件安全协议。 目前该组织的官方成员有，如下图示,dmarc简介,dmarc vs dkim & spf,1）三者都是邮件发送方在dns里声明txt记录，但dkim & spf校验结果处理策

3、略单一（accept/reject），而dmarc策略更灵活（多种组合策略，支持百分比等）。 2）dmarc支持report的功能，邮件发送方在dns除了可以声明策略外，还可以声明自己用于接收report的uri。 3）dkim & spf 可以严格限制某个域名的来源合法性，但无法限制该域名的子域名，即子域名将无法得到保护,dmarc vs dkim & spf,4）当一个站点的邮件服务器数量多或ip更换频繁时，这个域通常不设置spf或仅设置为软失败。 5）有些允许合法使用多个域名的邮箱服务器（如企业邮箱提供商），所有在同一家服务商上注册企业邮服务的域名（如和），它们的spf记录都指向相同的i

4、p列表，这种情况下仅仅靠spf是阻止不了发送一封谎称发自的伪造邮件,dmarc vs dkim & spf,6）dmarc可以在dns记录里明确地声明一封验证失败邮件的处理策略，是reject或进垃圾箱，相当于授权给邮件接收方，那邮件接收方就可以非常果断地（因为是依据邮件发送方的授权和策略），不带一丝犹豫（担心误判）地处理这类邮件了,dmarc应用场景,1）对于邮件发送方，有这么一类特别的域名，它们经常被spammer利用于伪造各种钓鱼/诈骗邮件，如银行、保险等金融企业，支付宝、paypal等支付商，知名网站、政府网站等，依靠dmarc会更好的降低他们的域名被利用于伪造的可能性。 2）对于一些

5、普通域名，中小企业、不知名网站等依靠dkim & spf就足够保护自己的域名了，不再需要多一个dmarc，否则效果不明显还反倒加大了维护成本,dmarc应用场景,3）对于邮件接收方，无论是专业邮箱提供商（网易、gmail等），还是个人架设的邮箱服务器（单位邮箱等），他们都非常希望拦截掉所有类型的垃圾邮件和伪造邮件。所以只要条件允许，他们都会支持越多的安全检查手段（spf/dkim/dmarc等）。 4）普通用户是dmarc的间接受益，他们只需要选择优秀的已支持dmarc协议的邮箱服务商（网易、gmail等）来注册，就可以确保自己的个人信息安全,dmarc架构,dmarc架构,业务处理流程说明：

6、 1）用户将信发送到寄信服务器 2）寄信服务器在邮件头中添加dkim签名后，将信发给收信服务器 3）收信服务器收到信后，先做一些常规验证，然后进行dkim & spf验证，最后进行dmarc验证 4）验证成功将信投递给接收者，验证失败或者需要隔离，则根据策略产生一报告反馈给邮件发送者,dmarc架构,dmarc校验的核心过程： 1）从信头提取from字段的domain，称域名a。此字段只存在一个域名。 2）查询dns，获取域名a的dmarc记录。若该域无设置dmarc记录，忽略本次dmarc校验。 3）校验dkim，若验证成功，则获取dkim签名中的“d=”字段值，称域名b。信头中如果有多个d

7、kim签名验证通过，则域名b会存在多个。 4）校验spf，若验证成功，则获取本次smtp会话中mail from字段的domain，称域名c。此字段只存在一个域名,dmarc架构,5）校验dmarc，将域名b及域名c中的每一个域名和域名a进行dmarc比较，若当中有至少一个域名一致，则认为dmarc检查通过，否则认为dmarc检查失败。 6）dmarc有2种比较模式，relaxed模式下，所比较的域名和域名a完全一致，或为域名a的父域名，则认为检查通过。strict模式下，所比较的域名和域名a完全一致，才认为检查通过。 7）一旦整个dmarc校验结果失败，将执行dmarc策略,dmarc架构,

8、dmarc策略： dns策略查询方法，命令行如下： dig +short txt _ dig +short txt _ 策略标签（p/sp）选项说明： none - 仅做测试，收信方应忽略dmarc检查结果，进入后续的反垃圾流程，但不影响report的发送。 quarantine - 收信方应认为这是一封可疑邮件，可以投递到垃圾箱或做特殊标记。 reject - 收信方应直接拒绝本次smtp会话请求,dmarc举例,一个dmarc拦截钓鱼邮件的例子： 下面伪造一封自称发自的邮件，发往网易邮箱，看的mx机器是否会拒收这封邮件。 1）首先查询一下的dmarc记录，命令行如下： dig +short

9、 txt _ 2）连接到的mx机器，发送一封paypal伪造邮件，命令行操作过程如下,dmarc举例,telnet 5 25 helo 250 ok mail from: 本次会话的域名c 250 mail ok rcpt to: 250 mail ok data 354 end data with,dmarc举例,from: 本次会话的域名a to:test subject:test test . 550 mi:dma mx5, n8coweazaeugc2jqkc6hbg-.6679s2 1348629370 http:/ quit 221 bye,dmarc举例,3）测试说明： 上面这封伪造邮件，域名b及域名c中没有一个域名和域名a能匹配上，即dmarc校验不通过。 那么根据的dmarc策略要求，的mx服务器拒收了这封邮件（返回了550 mi:dma）。 在反馈url中查询550 mi:dma错误，获取退信原因如下： 550 mi:dma 该邮件未被发信域的dmarc许可。请参考/关于dmarc规范的定义,dmarc发展前景,dmarc识别效果明显，是一款低开销