邮件安全之邮件认证技术

随着互联网的高速发展,企业信息化建设不断深入,邮箱作为商务沟通、信息存储的载体,在企业发展中扮演着越来越重要的角色,邮箱安全的重要性不言而喻。

然而近年来,网络中的钓鱼邮件无孔不入,新型骗术防不胜防,邮箱被钓鱼事件时有发生,一旦中招,给企业造成巨大损失的同时,也让企业的诚信形象大打折扣。

钓鱼邮件指利用伪装的电邮,欺骗收件人将帐号密码、口令等信息回复给指定的接收者;或引导收件人连接到特制的网页(这些网页通常会伪装成和真实网站一样,令登录者信以为真),输入帐号密码等信息从而盗取接收者信息邮件协议在设计之初是没有考虑过这些问题的,所以也没有对应的防治手段,不过随着各种邮件安全事件的频频爆发,专家们也随之出台了一些补救的办法。

SPF是为了防范垃圾邮件而提出来的一种DNS记录类型,它是一种TXT类型的记录,它用于登记某个域名拥有的用来外发邮件的所有IP地址。按照SPF的格式在DNS记录中增加一条TXT类型的记录,将提高该域名的信誉度,同时可以防止垃圾邮件伪造该域的发件人发送垃圾邮件。

SPF是跟DNS相关的一项技术,它的内容写在DNS的txt类型的记录里面。mx记录的作用是给寄信者指明某个域名的邮件服务器有哪些。SPF的作用跟mx相反,它向收信者表明,哪些邮件服务器是经过某个域名认可会发送邮件的。
由定义可以看出,SPF的作用主要是反垃圾邮件,主要针对那些发信人伪造域名的垃圾邮件。

Sender ID是曾经加入发件人策略框架(SPF)和Caller ID的前MARID IETF工作组的一项反欺骗协议。 Sender ID主要定义在实验性RFC 4406,而其余部分在RFC 4405、RFC 4407和RFC 4408中定义

Sender ID脱胎于SPF,只增加了部分内容。Sender ID试图改进SPF中的主要缺陷:SPF不验证表示发送方的电子邮件头地址。此类地址通常是显示给用户并作为回复地址,因而,此类报头地址可以与SPF尝试验证的地址不同。也就是说,SPF仅验证了邮件来自(MAIL FROM)地址,也称邮件发送人。
然而,还有许多类似的电子邮件报头字段包含发送方的信息。因此,在RFC 4407中定义的Sender ID定义了一个“声称负责地址”(Purported Responsible Address,缩写PRA)以及一组启发式规则,用于从电子邮件的许多典型报头中创建此地址。

DKIM (DomainKeys Identified Mail,域名密钥识别邮件)是一种部署在服务器上使用公钥和私钥对电子邮件进行数字签名和验证的方法。启用 DKIM 机制后,服务器发出的邮件就可以被确切地确认来源从而防止别人伪造冒用自己的域名发送电子邮件。这也可以减少所发邮件被识别为垃圾邮件的情况。

Sender ID提案也是一个涉及知识产权授权的话题:微软持有Sender ID关键部分的专利,并以不兼容GNU通用公共许可证的条款许可这些专利,这在一些自由软件实现中被认为是有问题的。2006年10月23日,微软将这些专利放置到开放标准承诺下,这与自由和开源许可证兼容,但与GPL许可证3.x版本不兼容。

DKIM由互联网工程任务组(IETF)开发而成;针对的目标是互联网最严重的威胁之一:电子邮件欺诈。

一般来说,发送方会在电子邮件的标头插入DKIM-Signature及电子签名资讯。而接收方则透过DNS查询得到公开金钥後进行验证。

1.DKIM是一项完全免费的开放源码标准;而微软则要求使用标准的组织必须签署一项许可协议。
2.在使用DNS服务器方面DKIM与Sender ID一样进行发信人认证,但DKIM加入了密钥数字签名,因此更加可靠。

以上都是公开的一些技术处理手段,如果在平时使用中得到应用那么当然可以规避大量的风险。除此之外,现在也有一些开源的防垃圾软件,一般都会和邮件服务器配合使用,虽然可以规避大量垃圾邮件信息,但是总有漏网之鱼,要不然也不会出现一些邮件门事件。

所以在邮件安全领域,防范策略已经不能满足人们对邮件安全的需求,邮件内容安全已经慢慢被人们所重视,这样一来,即使用户的邮件或者账号信息被窃取,还能让用户的邮件信息不泄露。要想实现这些首先就是“邮件内容加密”技术,另外需要附加一些二次认证手段。单纯的加密技术现在也是有的,比如PGP在邮件中的使用,不过这些基本都是点对点的使用,而且需要自己管理密钥,而且很难成规模使用,除此之外就是一些付费的服务或者购买整套的服务设备,对个人用户和企业来说都需要不小的费用和成本,不过随着邮件内容加密的发展,现在已经有一些免费的公开平台了,比如说隐秘邮,用户不用自己管理密钥,安全性也高,是以邮件加密网关的形式存在的,使用的是基于身份标识的加密方法,企业级用户也可以使用,并且不用改造现有的邮件架构,我相信慢慢的会有更多的免费开源系统雨后春笋般的出现。

原文地址:https://blog.51cto.com/14206878/2355136

时间: 2024-08-29 21:54:41

邮件安全之邮件认证技术的相关文章

邮件沟通的艺术和技术

最近因为工作的原因,我每天都要处理数量可观的邮件和简历.许多优秀的学生简历其实很漂亮,内容充实,过往表现可圈可点,但简历的精彩无法遮掩他/她邮件的丑陋"外表".如果是一个"外貌"协会的会员来处理这个邮件,最可能执行的操作就是"批量已读",甚至是"标记为垃圾邮件". 一封邮件的"外表"都包括些什么呢?什么样的外表会让人眼前一亮,让人有继续阅读的兴趣呢?下面让我从写一封邮件的正常流程来逐步谈谈我的一些体会. 发

exchange系列(三)exchange邮件服务器的邮件传输管理

博主QQ:819594300 博客地址:http://zpf666.blog.51cto.com/ 有什么疑问的朋友可以联系博主,博主会帮你们解答,谢谢支持! 前言:我们前面安装好了exchange2010,但是只能在公司内部发送邮件,如果要给qq邮箱.新浪邮箱,或者其他公司发送电子邮件就要经过internet.但并不是有网就可以,必须要做一系列的设置才能发送internet邮件.主要配置有以下几点: 1)发送连接器和接收连接器: 2)新建权威域: 3)购买域名并新建mx邮件交换记录,实验环境还

Powershell管理系列(十)邮件联系人及邮件用户的管理

鉴于有些用户不太熟悉邮件联系人.邮件用户的区别,博文首先介绍下用户邮箱.邮件联系人.邮件用户的概念,以下介绍部分博文摘自winos微软中文技术论坛. ----------------------------------------------------------------------------------------------------- a)        用户邮箱:最最常见的应该就是这种.我们给一个域账号启用了邮箱,那么这个用户邮箱就是一个典型的收件人.用户邮箱通常包含邮件.日历

邮件服务器垃圾邮件防范术

从互联网诞生之日起,垃圾邮件就相伴相随,尤其是随着网购的普及,垃圾邮件更呈“遍地开花” 蔓延之势,防不胜防的垃圾邮件轻则令人占用邮箱容量浪费用户时间,重则造成财产损失,因此对垃圾邮件的“严防死守”一直是邮件系统服务商的头等大事之一, 也是衡量一款邮件服务器是否足够优秀的指标之一. 我国素来是垃圾邮件的“重灾区”,但近年来这种状况却有所改善,据新华社报道:中国互联网协 会8月25日在京通报,我国互联网用户收到垃圾邮件占其邮件总量比例从2006年初的63.97%下降到2014年一季度的38.2%:中

邮件安全之邮件加密初探

邮件加密一直是人们十分关心的问题.在我们还只能使用信纸进行通讯的时代,人们就发明了信封和火漆来防止信件被偷窥.在互联网时代,我们的信息安全面临着越来越多的挑战,除了需要国家出台相应的法律(我国已于2016年06月01日起正式实施中华人民共和国网络安全法)来保护我们个人的信息安全之外,还需要从我们自身做起才能有效的保护个人信息,防止被非法获取.当然,邮件加密绝不仅仅是设置更加复杂的密码,邮件传输信道的加密和邮件内容的加密以及我们自身对各种秘钥的管理——各个环节都需要我们的关注.这几天我主要了解了电

转载:校园网接入认证技术对比与分析

原文作者: 沙捷 费青松 王雁 作者单位:首都体育学院 信息网络中心 北京市海淀区北三环西路 11号 100088 1 概述 Internet网络是一个自助网络,免费使用,一个用户终端配置IP地址即可接入网络.IP网络规模的扩大使得管理问题凸现,而不管是运营商的IP城域网还是校园网都有运营收费的需求,但是 在校园网中引入用户认证技术,有两个目的,一是可以有效的识别上网用户身份,第二是便于对用户的接入权限.业务权限.用户行为等进行有效的控制和管理,包括提供灵活的计费手段.基于IP地址的用户管理显然

热点认证技术实现

热点认证技术实现 代码可以在https://github.com/zhouyelihua/wifidog-yaha下载 背景 ???当用户靠近路由器时候,打开App时候,会自动连接上金猪酒店提供的网络,当用户离开路由器的时候,或者关闭app之后会断开相关的网络连接. 方案一: 目前的技术调研 IOS的局限性 ?apple公司关于wifi的相关api很少其中开放的api只有以下的代码可以实现扫描周边的wifi列表 objectivee-c - (id)fetchSSIDInfo { NSArray

软考之路(5)——计算机组成原理之加密技术和认证技术

在软考的题目中总会出现一两道关于加密技术和认证技术的题目.比如:2012年11月的上午题的第(8)和第(9)题: 用户B收到用户A带数字签名的消息M,为了验证M的真实性,首先须要从CA获取用户A的数字验证书,并利用( 8 )验证该证书的真伪,然后利用( 9 )验证M的真实性. (8)A.CA的公钥   B.B的私钥   C.A的公钥   D.B的公钥 (9)A.CA的公钥   B.B的私钥   C.A的公钥   D.B的公钥 这类题目绝对不难.仅仅要你弄清楚了加密技术与认证技术,这样的题目应该是

哈希表 之 接入与身份认证技术概述

1 概述 随着信息化的高速发展,对国家.组织.公司或个人来说至关重要的信息越来越多的通过网络来进行存储.传输和处理,为获取这些关键信息的各种网络犯罪也对应急剧上升. 当前,网络安全在某种意义上已经成为一个事关国家安全.社会经济稳定的重大问题.得到越来越多的重视. 在网络安全中.身份认证技术作为第一道,甚至是最重要的一道防线.有着重要地位,可靠的身份认证技术能够确保信息仅仅被正确的"人"所訪问.身份认证技术提供了关于某个人或某个事物身份的保证.这意味着当某人(或某事)声称具有一个特别的身

信息认证技术

这个章节会介绍一些比较有意思的东西,例如哈希函数,数字签名,身份认证等! 1.一个安全的认证 系统应满足什么样的条件? 合法的接受者能够检验所接受消息的合法性和真实性 合法的发送方对所发送的消息无法进行否认 除了合法的发送方之外,任何人都无法伪造和篡改消息 2.消息验证:验证消息的完整性和不可抵赖性 身份认证:鉴别用户身份 哈希函数 1.哈希函数必须具有哪些性质? 给定M ,很容易计算h 给定h,根据H(M) = h 推导出M很难,这个性质称为单向性 给定M,通过同一个H(`),计算出不同的h是