【计世网独家】进行电子邮件欺诈、发送垃圾邮件及从事网络钓鱼的人要当心了,目前出现了一件新武器——域名密钥识别邮件标准(DKIM),它让企业可通过密码对进出站的电子邮件进行签名,证实所发送邮件的真实性。这样,企业可用来打击屡禁不止的电子邮件欺诈活动。目前,网络界的几家重量级公司:包括雅虎、谷歌、贝宝、美国在线和思科等开始运用这件武器。
这项新兴的电子邮件验证标
准——域名密钥识别邮件标准(DKIM),由互联网工程任务组(IETF)开发而成。针对的目标是互联网最严重的威胁之一:电子邮件欺诈。据验证和网上信任联盟(AOTA)在1月底发布的报告显示,来自各大知名公司、银行和互联网服务提供商(ISP)的电子邮件中,80%以上是欺诈邮件。 AOTA分析了五个月内从《财富》500强公司发出来的1亿多封电子邮件后得出了上述结论。
AOTA的主席Craig Spiezle说:“IT专业人士不但需要把电子邮件验证看成是保护员工避免进入到公司网络上的欺诈或者伪造性电子邮件的手段,更要看成是一种竞争优势,用来保护自身品牌和客户避免这些漏洞。”
DKIM的支持者表示,这项标准是消费者对电子邮件重新树立信心的一个重要步骤。
思科公司的知名工程师Jim Fenton是这项标准的起草者之一,他说:“DKIM增强了人们对收到电子邮件的信任程度。DKIM无法消除网络钓鱼行为,但有望加大实施网络钓鱼攻击的难度,对此我充满信心。”
DKIM自2004年以来就开始开发,如今终于达到了预期效果。预计会在今年得到广泛部署,尤其是在金融服务和电子商务公司当中。早期采用者包括美国银行、美国礼品公司(American Greetings)和思科。
Sendmail在去年11月就开始交付符合DKIM标准的电子邮件设备,该公司负责产品管理的主管Greg Olson预测:“我认为,《财富》1000强公司中恐怕有一半会在2008年使用DKIM对电子邮件进行签名。”
Patrick Peterson是支持DKIM的电子邮件设备厂商IronPort公司的技术副总裁,他说:“我确实认为,就DKIM而言,各种条件会在2008年开始成熟,我们拥有互联网标准,我们还得到了厂商的大力支持……DKIM稳若磐石。”
DKIM的工作原理
DKIM让企业可以把加密签名插入到出站的电子邮件中,然后把该签名与域名关联起来。签名随电子邮件一起传送,而不管是沿着网络上的哪条路径传送。电子邮件收件人则可以使用签名来证实邮件确实来自该企业。
Olson解释:“眼下,邮件收件人无法确认收到的邮件就是对方发过来的邮件。DKIM的这种方法却可以让邮件收件人证实,邮件确实是对方发送过来的。”
DKIM不会完全消除电子邮件欺诈,但可以帮助被网络钓鱼者盯上的公司为客户提供一种安全的方法,确保邮件确实是它们发过来的。
Olson说:“如果收件人确信,声称美国银行发过来的某封电子邮件确实来自美国银行,那么他们就用不着担心有人企图窃取自己的社会保障号码了。”
DKIM结合了两种协议:雅虎开发的域名密钥(DomainKeys)协议和思科开发的互联网邮件识别(Identified Internet Mail)协议。这两家公司携手其他邮件服务厂商和ISP,与IETF的DKIM工作组一起制订技术规范,这些规范差不多已经完成了。
Fenton说:“DKIM是一项稳定的规范,该规范得到了非常明确而全面的定义,它阐明了如何对邮件进行签名、如何证实签名的真伪。它非常确定。”
IETF下设的DKIM工作组仍在修改发件人签名实践(Sender Signing Practices,SSP),这种文档将描述发件人如何在DKIM记录中提供信息,以便收件人可以用来决定对发件人发过来的邮件采取什么措施。
Olson解释:“如果我对自己的所有邮件进行签名,你收到了一封邮件声称是我发过来的,但未签名,那么你可以认定该邮件不是我发过来的。该策略将放在与发件人有关的DNS记录里头。眼下SSP草案有了第10个版本……我希望最终版本很快就会出台。”
网络厂商们声称,业界已经准备好了部署DKIM。去年11月,20家ISP和邮件服务厂商对部署的DKIM进行了互操作性测试。参与这次DKIM互操作性测试的厂商们表示,这项标准确实可行,目前没有发现任何技术障碍。
Olson说:“我们确实发现在某些情况下,需求建议书(RFC)需要作一些阐明。但测试表明,独立开发的多家厂商能够在DKIM上做到协同工作。”
目前,许多厂商提供了符合DKIM的软件和设备,其中包括Sendmail、IronPort、Alt-N Technologies、Message Systems、Port25 Solutions、StrongMail Systems等公司。
Fenton说:“企业部署DKIM相当容易,因为现在有足够多的商用产品在支持DKIM。”
应用如火如荼
目前,国际上一些企业正在加快采用DKIM的步伐,银行、抵押公司和保险公司更是如此。
认证电子邮件服务商Goodmail会在今年5月份支持DKIM,该公司的全球业务开发主管Charles Stiles说:“我认为,DKIM会得到迅速采用。事实证明,该标准非常成功。世界上的一流人才都致力于此。它为我们提供了一种十分安全、防止欺诈的邮件验证方式。”
美国100大金融机构组成的BITS组织去年建议:其成员应当在2008年10月之前全部采用DKIM。BITS还建议采用另外两项标准来保护电子邮件的安全:一是传输层安全(TLS),用于对服务器之间传输的电子邮件进行加密;二是发件人身份框架(SIDF)或者发件人策略框架(SPF),用于证实收到的电子邮件确实来自某个域里面的授权邮件服务器。
Peterson说:“BITS在这方面的作为,所有成员一致的步调,都具有巨大的影响力,让人们对DKIM充满了信心。我们之前从未见过这股强大的动力。”
ISP们也在采用DKIM,原因是它们希望保护客户远离间谍邮件和网络钓鱼骗局。电子邮件发件人正在设法保护各自的品牌、身份,让自己的客户远离网络钓鱼骗局。
贝宝和eBay已联合雅虎,运用DKIM共同打击网络钓鱼攻击。贝宝和eBay正用DKIM对自己的邮件进行签名,而Yahoo Mail则将阻挡那些号称由eBay和贝宝发过来、却没有通过DKIM进行签名的电子邮件。
贝宝(隶属eBay)的账户保护主管Mike Vergara说:“eBay和贝宝一直在被诈骗犯和网络钓鱼者等各色各样的人注意。我们的客户看到,其实有太多电子邮件不是由我们发过来的。DKIM采用了一种好办法:基于整个行业统一的标准。我们为自己的电子邮件添加了强验证机制,那样客户就能确信邮件确实是我们发过来的。而我们需要促使ISP采用这项标准,以便可以向他们表明:如果该邮件不是我们发过来的,请不要转送。”
贝宝之前已部署了发件人策略框架(SPF),得到微软支持的这项互补性标准是简单邮件传输协议(SMTP)的一种扩展。贝宝现正在部署DKIM。SPF让软件可以拒绝接收伪造地址发过来的电子邮件。
Vergara说,部署DKIM方面最困难的地方是,必须要搞清楚企业的电子邮件基础设施,以便查明向客户发送电子邮件的所有系统和域名。
他说:“eBay或者贝宝没有什么邮政局长,因此,需要大量时间才能弄清楚我们在发送的所有电子邮件,包括交易型电子邮件、营销型电子邮件、客户支持型电子邮件等;另外还要弄清楚这些邮件是从地球上的哪个角落发过来的。我们花了12个月才搞清楚这个问题。而部署电子邮件设备、升级到DKIM只用了几周时间。”
他说,DKIM发挥了作用。他表示,雅虎每天阻止的据称来自eBay或者贝宝、但由于未采用DKIM签名而属于非法的邮件多达几十万封,有时多达上百万封。
如今,贝宝正与其他ISP进行探讨,说服对方禁止eBay或者贝宝发过来、但未采用DKIM签名的邮件。
Vergara说:“我们靠自身的力量解决不了这个电子邮件欺诈问题。我们正在竭力催促ISP行动起来,帮助我们为使用服务的那些客户解决这个问题。”
DKIM也有其局限性。用DKIM对出站邮件进行签名的公司只有一小部分;而检查入站邮件上的DKIM签名的公司更是寥寥无几。但这项技术的支持者希望,随着各大ISP和银行采用DKIM,这个问题会得到解决。
“如果我对自己的所有邮件进行签名以保护自身品牌,可是收到邮件的人或者其ISP并未检查签名,那么这对收件人来说没什么两样。我充满信心地认为,今后一年,30%的公司会对邮件进行签名。雅虎和Gmail已经采用DKIM。美国银行和贝宝也一直非常支持。”Vergara说。