反垃圾邮件DMARC技术交流.ppt

1、反垃圾邮件DMARC技术交流，2012年9月，廖诚，议题，DMARC概要DMARC vs DKIM SPF DMARC应用场景DMARC体系结构DMARC示例DMARC发展前景，DMARC概要，DMARC，全称域-域报告主要目的是识别并拦截钓鱼邮件，确保用户的私人信息安全。 如果邮件发件人在DNS中声明自己将采用此连接协议，并且收件人收到来自此结构域的邮件，则进行DMARC检查，以确定当前邮件源是否合法。DMARC个人资料、2012/01/30、Paypal、Google、微软、Yahoo、ReturnPath等15个行业巨头，主要是金融机构、Email手机网络锁、数据分析机机构等合作设立的目

2、前，该组织的正式成员为DMARC DMARC vs DKIM SPF，1 )三者都是邮件发件人在DNS上声明TXT查询密码，但DKIM SPF验证结果处理策略是单个(接受/拒绝)，dmm 2)DMARC通讯端口报告功能，而邮件发件人在DNS上声明策略3)DKIM SPF可以严格限制网络域名源的有效性，但不能限制网络域名的子域名名称。 也就是说，子域名名称不受保护。 DMARC vs DKIM SPF，4 )如果您的站点有很多邮件服务器，或者经常进行IP交换，则此结构域通常不设置SPF或仅设置软错误。 5 )邮箱服务器(例如，企业邮箱提供商)，网络域名向同一提供商注册企业邮箱服务(例如，求和)，

3、并且这些SPF电子查询密码都指向相同的IP列表。 在这种情况下，仅使用SPF无法阻止伪造邮件的发送。 DMARC vs DKIM SPF，6)DMARC可以向DNS电子查询密码明确声明验证失败邮件的处理策略，相当于在reject或垃圾箱中授权给邮件收件人，邮件收件人非常坚决(根据邮件发件人的授权和策略) DMARC应用场景，1 )在邮件发送方，有银行和保险等金融企业，支付宝，Paypal等支付业者，有名的网站，政府网站等伪造，依靠dmarrer的特别的网络域名2 )对于一些一般网络域名，中小公司，不知道的网站等否则，效果不明显，反而增加了维护成本。 DMARC应用程序，3 )对于邮件收件人，无

4、论是专业的邮箱提供者(网际网络或Gmail等)，还是个人设置的邮箱服务器(单位邮箱等)，都想监听所有种类的垃圾邮件或伪造邮件。 因此，只要条件允许，我们将通讯端口更多的安全检查手段(SPF/DKIM/DMARC等)。 4 )一般用户是DMARC的间接利益，所以只要他们选择通讯端口优秀DMARC连接协议的邮箱服务商(网际网络公司、Gmail等)进行注册，就能够确保自己的私人信息安全。DMARC体系结构、DMARC体系结构、业务处理流程说明：1)用户将信发送给信服务器；2 )信服务器在邮件标头上附加DKIM签名后，将信发送给接收服务器；3 )接收服务器在收到信后，通常进行验证，并进行DKIM签名。

5、 最后，基于执行DMARC验证的4个策略而生成的报告通讯端口从电子邮件发送者、DMARC体系结构、DMARC验证核心进程：1)报头中提取From字段的域、网络域名a。 此字段中只存在一个网络域名。 2 )调查DNS，取得网络域名a的DMARC记录查询密码。 如果此结构域未设置DMARC报告查询密码，则将忽略此DMARC检查。 3 )对dkim进行验证，如果验证成功，则取得dkim签名中的“d=”字段值、网络域名b。如果报头中的多个DKIM签名验证通过，则存在多个网络域名b。 4 )对SPF进行验证，如果验证成功，则获得此次SMTP会话中的邮件自字段的域，网络域名c； 此字段中只存在一个网络域名

6、。 DMARC体系结构，5 )验证DMARC，将网络域名b和网络域名c中的每一个与网络域名a进行DMARC比较，如果其中至少一个网络域名匹配，则认为DMARC检查通过，否则认为DMARC检查失败。 6 )在6)DMARC中有两种比较模式，在relaxed模式中，如果比较的网络域名和网络域名a完全一致、或者是网络域名a的父网络域名，则认为检查合格。 严格模式下，比较的网络域名和网络域名a完全一致，检查合格。 7 )如果整个dmarc验证结果失败，则执行dmarc策略。DMARC模式、DMARC策略： DNS策略查询方法、命令行： dig short txt _ dig short txt _策略

7、标签条(p/sp )选项说明：仅测试，收件人必须忽略DNS reject -接收方必须直接拒绝此SMTP会话请求。 DMARC的一个例子是DMARC截获钓鱼邮件。 下面伪造自愿邮件，发送到网际网络邮箱，看看MX设备是否拒绝该邮件。 1 )首先查看下一个DMARC记录查询密码，命令行为： dig short txt _ 2)发送连接的MX机器、paypal伪造邮件，命令行操作步骤如下： DMARC示例telnet 525 helo 250 ok邮件自：此次会话的关网络域名字c 250邮件rcpt to 3360250邮件数据354结束数据with .DMARC示例。 from:本次对话的网络域名ATO :测试主题3360测试测试. 550 mi 3360直接存储器访问在MX，n8coweazaeugc2jqkc 6h BG-.6679 s 21348629370 quit 2220中的DMARC策略在回种子文件url中询问法550 mi :直接存储器访问错误，回复原因如下： 550 mi :直接存储器访问此邮件未行政许可到发送结构域的DMARC。 请参阅/dmarc规格的定义。 DMARC的发展前景、DMARC的识别效果明显，是一种低成本、有效的多种优势电子邮件安全工具。 DMAR