郵箱安全第10期 | DMARC-識別並攔截釣魚郵件 發布時間:2018-12-28 00:00:00 來源:


DMARC全稱是Domain-based Message Authentication, Reporting and Conformance,他基于現有的DKIM和SPF兩大主流電子郵件安全協議,由Mail Sender方(域名擁有者Domain Owner)在DNS裏聲明自己采用該協議。當Mail Receiver方(其MTA需支持DMARC協議)收到該域發送過來的郵件時,則進行DMARC校驗,若校驗失敗還需發送一封report到指定URI(常是一個郵箱地址)。本期我們將重點介紹一下郵件認證安全的主角DMARC。

 

 

01 DMARC的背景

 

電子郵件認證技術SPF和DKIM是十多年前開發的,目的是爲了更好地保證郵件發送者的身份。這些技術的使用量穩步增加,欺詐性和欺騙性電子郵件的問題並沒有減少。看起來,如果發件人使用這些技術,那麽電子郵件接收者就可以輕易地將欺騙性消息與經過適當驗證的消息區分開來。不幸的是,由于多種原因,這種方式並沒有解決。

 

許多發件人都有複雜的電子郵件環境,許多系統發送電子郵件,通常包括第三方服務提供商。確保使用SPF或DKIM驗證每個消息是一項複雜的任務,特別是考慮到這些環境處于永久狀態。

如果域所有者發送混合消息,其中一些消息可以被認證,而另一些消息不能被認證,那麽電子郵件接收者將被迫在未經過認證的合法消息和欺詐消息之間辨別。就本質而言,垃圾郵件算法很容易出錯,需要不斷改進,以應對垃圾郵件發送者不斷變化的策略。其結果是,一些欺詐消息將不可避免地進入最終用戶的收件箱。

發件人對郵件身份驗證部署的反饋非常差。除非郵件退回發件人,否則無法確定有多少合法郵件無法通過身份驗證,甚至無法確定欺騙郵件的範圍。這使得解決郵件身份驗證問題非常困難,特別是在複雜的郵件環境中。

即使發件人已經按下了他們的郵件驗證基礎設施,並且他們的所有合法郵件都可以被驗證,但是電子郵件接收者對于拒絕未經驗證的郵件是謹慎的,因爲他們不能確定沒有簽名的合法郵件。

 

可以解決這些問題的唯一方式是發送者和接收者彼此分享信息。接收者向發件人提供關于他們的郵件驗證基礎設施的信息,而發件人告訴接收者當收到沒有驗證的郵件時該怎麽做。PayPal在2007年開創了這種方法,並制定了一個與雅虎的系統。Mail和更高版本的Gmail以這種方式進行協作。結果是非常有效的,導致懷疑欺詐電子郵件從PayPal接受這些接收器顯著減少。DMARC的目標是建立在這個發送者和接收者系統上,協作改善發送者的郵件驗證實踐,並使接收者能夠拒絕未經驗證的消息。

 

02   DMARC和電郵認證過程

 

 

DMARC旨在適應組織的現有入站電子郵件驗證過程。它的工作方式是幫助電子郵件接收者確定聲稱的消息是否與接收者知道發件人的信息“一致”。如果不是的話,DMARC將包含有關如何處理“不對齊”消息的指導。例如,假設接收者部署了SPF和DKIM以及自己的垃圾郵件過濾器,流程可能如下所示:

在上面的例子中,根據DMARC的測試對比應用于ADSP在流程中應用的同一點。所有其他測試不受影響。

 

DMARC被設計爲滿足以下“高標准”要求:

最大限度地減少誤報。

提供健壯的認證報告。

在接收者處斷言發件人政策。

減少成功的網絡釣魚交付。

在互聯網規模工作。

最小化複雜性。

 

需要注意的是,DMARC建立在IETF目前正在開發的DomainKeys Identified Mail(DKIM)和Sender Policy Framework(SPF)規範上。DMARC旨在通過增加對以下方面的支持來取代ADSP:

通配符或子域策略,

不存在的子域,

緩慢推出(例如百分比實驗)

SPF

隔離郵件

 

03   DNS中的DMARC資源記錄

 

 

DMARC策略作爲文本(TXT)資源記錄(RR)發布在DNS中,並通告電子郵件接收方應該如何處理收到的不對齊郵件。

 

考慮一個示例DMARC TXT RR爲域名“sender.dmarcdomain.com”讀取:

 

"v=DMARC1;p=reject;pct=100;rua=mailto:postmaster@dmarcdomain.com"

 

在這個例子中,發送者請求接收者完全拒絕所有未對齊的消息,並且以指定的聚合格式向指定的地址發送拒絕的報告。如果發送者正在測試它的配置,它可以用“quarantine”代替“reject”,告訴接收者他們不一定拒絕該消息,但考慮隔離它。

 

DMARC記錄遵循DKIM中定義的基于DNS的密鑰記錄的可擴展“標簽值”語法。下面的圖表說明了一些可用的標簽:

注:這個圖表中的例子僅供說明

 

DMARC的設計基于全球最大的部署SPF和DKIM的郵件發送器和接收器的實際經驗。考慮到了這樣一個事實,即組織幾乎不可能將業務環境切換到生産。有許多內置的方法可以“調節”DMARC處理,從而使各方都能夠隨著時間的推移而全面部署。

部署DKIM和SPF。首先,您必須介紹基本知識。

確保您的郵件正確對齊正確的標識符。

發布一個DMARC記錄,其中爲請求數據報告的策略設置“none”標記。

分析數據並根據需要修改您的郵件流。

修改您的DMARC策略標志從“none”到“quarantine”到“reject”,因爲您獲得了經驗。