1、反垃圾郵件DMARC技術(shù)交流，2012年9月，廖誠(chéng)，議題，DMARC概要DMARC vs DKIM SPF DMARC應(yīng)用場(chǎng)景DMARC體系結(jié)構(gòu)DMARC示例DMARC發(fā)展前景，DMARC概要，DMARC，全稱(chēng)域-域報(bào)告主要目的是識(shí)別并攔截釣魚(yú)郵件，確保用戶(hù)的私人信息安全。 如果郵件發(fā)件人在DNS中聲明自己將采用此連接協(xié)議，并且收件人收到來(lái)自此結(jié)構(gòu)域的郵件，則進(jìn)行DMARC檢查，以確定當(dāng)前郵件源是否合法。DMARC個(gè)人資料、2012/01/30、Paypal、Google、微軟、Yahoo、ReturnPath等15個(gè)行業(yè)巨頭，主要是金融機(jī)構(gòu)、Email手機(jī)網(wǎng)絡(luò)鎖、數(shù)據(jù)分析機(jī)機(jī)構(gòu)等合作設(shè)立的目

2、前，該組織的正式成員為DMARC DMARC vs DKIM SPF，1 )三者都是郵件發(fā)件人在DNS上聲明TXT查詢(xún)密碼，但DKIM SPF驗(yàn)證結(jié)果處理策略是單個(gè)(接受/拒絕)，dmm 2)DMARC通訊端口報(bào)告功能，而郵件發(fā)件人在DNS上聲明策略3)DKIM SPF可以嚴(yán)格限制網(wǎng)絡(luò)域名源的有效性，但不能限制網(wǎng)絡(luò)域名的子域名名稱(chēng)。 也就是說(shuō)，子域名名稱(chēng)不受保護(hù)。 DMARC vs DKIM SPF，4 )如果您的站點(diǎn)有很多郵件服務(wù)器，或者經(jīng)常進(jìn)行IP交換，則此結(jié)構(gòu)域通常不設(shè)置SPF或僅設(shè)置軟錯(cuò)誤。 5 )郵箱服務(wù)器(例如，企業(yè)郵箱提供商)，網(wǎng)絡(luò)域名向同一提供商注冊(cè)企業(yè)郵箱服務(wù)(例如，求和)，

3、并且這些SPF電子查詢(xún)密碼都指向相同的IP列表。 在這種情況下，僅使用SPF無(wú)法阻止偽造郵件的發(fā)送。 DMARC vs DKIM SPF，6)DMARC可以向DNS電子查詢(xún)密碼明確聲明驗(yàn)證失敗郵件的處理策略，相當(dāng)于在reject或垃圾箱中授權(quán)給郵件收件人，郵件收件人非常堅(jiān)決(根據(jù)郵件發(fā)件人的授權(quán)和策略) DMARC應(yīng)用場(chǎng)景，1 )在郵件發(fā)送方，有銀行和保險(xiǎn)等金融企業(yè)，支付寶，Paypal等支付業(yè)者，有名的網(wǎng)站，政府網(wǎng)站等偽造，依靠dmarrer的特別的網(wǎng)絡(luò)域名2 )對(duì)于一些一般網(wǎng)絡(luò)域名，中小公司，不知道的網(wǎng)站等否則，效果不明顯，反而增加了維護(hù)成本。 DMARC應(yīng)用程序，3 )對(duì)于郵件收件人，無(wú)

4、論是專(zhuān)業(yè)的郵箱提供者(網(wǎng)際網(wǎng)絡(luò)或Gmail等)，還是個(gè)人設(shè)置的郵箱服務(wù)器(單位郵箱等)，都想監(jiān)聽(tīng)所有種類(lèi)的垃圾郵件或偽造郵件。 因此，只要條件允許，我們將通訊端口更多的安全檢查手段(SPF/DKIM/DMARC等)。 4 )一般用戶(hù)是DMARC的間接利益，所以只要他們選擇通訊端口優(yōu)秀DMARC連接協(xié)議的郵箱服務(wù)商(網(wǎng)際網(wǎng)絡(luò)公司、Gmail等)進(jìn)行注冊(cè)，就能夠確保自己的私人信息安全。DMARC體系結(jié)構(gòu)、DMARC體系結(jié)構(gòu)、業(yè)務(wù)處理流程說(shuō)明：1)用戶(hù)將信發(fā)送給信服務(wù)器；2 )信服務(wù)器在郵件標(biāo)頭上附加DKIM簽名后，將信發(fā)送給接收服務(wù)器；3 )接收服務(wù)器在收到信后，通常進(jìn)行驗(yàn)證，并進(jìn)行DKIM簽名。

5、 最后，基于執(zhí)行DMARC驗(yàn)證的4個(gè)策略而生成的報(bào)告通訊端口從電子郵件發(fā)送者、DMARC體系結(jié)構(gòu)、DMARC驗(yàn)證核心進(jìn)程：1)報(bào)頭中提取From字段的域、網(wǎng)絡(luò)域名a。 此字段中只存在一個(gè)網(wǎng)絡(luò)域名。 2 )調(diào)查DNS，取得網(wǎng)絡(luò)域名a的DMARC記錄查詢(xún)密碼。 如果此結(jié)構(gòu)域未設(shè)置DMARC報(bào)告查詢(xún)密碼，則將忽略此DMARC檢查。 3 )對(duì)dkim進(jìn)行驗(yàn)證，如果驗(yàn)證成功，則取得dkim簽名中的“d=”字段值、網(wǎng)絡(luò)域名b。如果報(bào)頭中的多個(gè)DKIM簽名驗(yàn)證通過(guò)，則存在多個(gè)網(wǎng)絡(luò)域名b。 4 )對(duì)SPF進(jìn)行驗(yàn)證，如果驗(yàn)證成功，則獲得此次SMTP會(huì)話(huà)中的郵件自字段的域，網(wǎng)絡(luò)域名c； 此字段中只存在一個(gè)網(wǎng)絡(luò)域名

6、。 DMARC體系結(jié)構(gòu)，5 )驗(yàn)證DMARC，將網(wǎng)絡(luò)域名b和網(wǎng)絡(luò)域名c中的每一個(gè)與網(wǎng)絡(luò)域名a進(jìn)行DMARC比較，如果其中至少一個(gè)網(wǎng)絡(luò)域名匹配，則認(rèn)為DMARC檢查通過(guò)，否則認(rèn)為DMARC檢查失敗。 6 )在6)DMARC中有兩種比較模式，在relaxed模式中，如果比較的網(wǎng)絡(luò)域名和網(wǎng)絡(luò)域名a完全一致、或者是網(wǎng)絡(luò)域名a的父網(wǎng)絡(luò)域名，則認(rèn)為檢查合格。 嚴(yán)格模式下，比較的網(wǎng)絡(luò)域名和網(wǎng)絡(luò)域名a完全一致，檢查合格。 7 )如果整個(gè)dmarc驗(yàn)證結(jié)果失敗，則執(zhí)行dmarc策略。DMARC模式、DMARC策略： DNS策略查詢(xún)方法、命令行： dig short txt _ dig short txt _策略

7、標(biāo)簽條(p/sp )選項(xiàng)說(shuō)明：僅測(cè)試，收件人必須忽略DNS reject -接收方必須直接拒絕此SMTP會(huì)話(huà)請(qǐng)求。 DMARC的一個(gè)例子是DMARC截獲釣魚(yú)郵件。 下面?zhèn)卧熳栽膏]件，發(fā)送到網(wǎng)際網(wǎng)絡(luò)郵箱，看看MX設(shè)備是否拒絕該郵件。 1 )首先查看下一個(gè)DMARC記錄查詢(xún)密碼，命令行為： dig short txt _ 2)發(fā)送連接的MX機(jī)器、paypal偽造郵件，命令行操作步驟如下： DMARC示例telnet 525 helo 250 ok郵件自：此次會(huì)話(huà)的關(guān)網(wǎng)絡(luò)域名字c 250郵件rcpt to 3360250郵件數(shù)據(jù)354結(jié)束數(shù)據(jù)with .DMARC示例。 from:本次對(duì)話(huà)的網(wǎng)絡(luò)域名ATO :測(cè)試主題3360測(cè)試測(cè)試. 550 mi 3360直接存儲(chǔ)器訪(fǎng)問(wèn)在MX，n8coweazaeugc2jqkc 6h BG-.6679 s 21348629370 quit 2220中的DMARC策略在回種子文件url中詢(xún)問(wèn)法550 mi :直接存儲(chǔ)器訪(fǎng)問(wèn)錯(cuò)誤，回復(fù)原因如下： 550 mi :直接存儲(chǔ)器訪(fǎng)問(wèn)此郵件未行政許可到發(fā)送結(jié)構(gòu)域的DMARC。 請(qǐng)參閱/dmarc規(guī)格的定義。 DMARC的發(fā)展前景、DMARC的識(shí)別效果明顯，是一種低成本、有效的多種優(yōu)勢(shì)電子郵件安全工具。 DMAR