域名密鑰識別郵件

域名密鑰識別郵件

域名密鑰識別郵件(DomainKeys Identified Mail,DKIM)是一套電子郵件認證機制,使用公開金鑰加密的基礎提供了數位簽章與身份驗證的功能,以檢測寄件者、主旨、內文、附件等部分有否被偽冒或竄改。

一般來說,發送方會在電子郵件的標頭插入DKIM-Signature及電子簽名資訊。而接收方則透過DNS查詢得到公開金鑰後進行驗證。

簡介


一直以來,許多知名廠商均在建立電子郵件驗證技術。其中最著名的包括 Yahoo的 DomainKeys技術、微軟SenderID技術與思科系統的 identifiedinternetmail技術。其中, DomainKeys技術受到 SBC英國電信GoogleGmail的支持;而 MSNHotmail、AOL、美國銀行eBay皆響應 SenderID技術。微軟曾一度打算說服 IETF工作小組通過 SenderID技術成為業界標準,最後卻因為各家擔心全球通用的技術為一家完全壟斷而使微軟的願望落空。如今,由 Yahoo與思科系統合作發表的DKIM技術,既結合兩家各自的技術,也不會有壟斷於一家的爭議。 DKIM技術是現階段在 IETF內部討論的方案,並且有望在今後成為國際標準。
域名密鑰識別郵件定義了一種機制,通過對郵件信息加密並簽名,從而允許實施簽名的域名對將該郵件引入郵件傳輸流負責。郵件接收者可以通過直接查詢簽名者的域名得到相應的公共密鑰,進而校驗郵件的簽名,以此驗證郵件是否屬於擁有簽名域名的私有密鑰的一方。 DKIM允許一個機構對郵件負責。這個負責的機構是一個郵件傳輸過程中的處理者,可以是郵件的發起者或中介。負責的機構在郵件中添加一個數字簽名,並把這個簽名與機構的一個域名相關聯。通常,簽名會由一個服務代理在郵件發起人的行政管理域 (ADMD)的授權下,由這個環境中的任何一個功能組件來執行,包括郵件客戶端 (MUA)、郵件提交代理 (MSA)、網界郵件傳輸代(MTA)。 DKIM也允許簽名由授權第三方來進行。郵件簽名后,在郵件傳輸途徑中的任何代理均可被選擇用來執行對簽名的驗證。通常驗證會由郵件接收者的行政管理域代理完成。與簽名時相同,可以由這個環境中的任何功能組件來完成。特別地,這樣意味著簽名可以由郵件接收者的行政管理域的過濾軟體來處理,而不是要求郵件接收者的用戶終端來進行判斷。用來進行數字簽名的域名所有者是以其信譽為基礎的。接收者成功驗證簽名后可以利用簽名者的身份信息作為限制垃圾郵件、欺騙、釣魚網站或其他不受歡迎行為的軟體的一部分。

歷史


DKIM是2004年在雅虎的DomainKeys和思科系統的Identified Internet Mail兩套相近的基礎上合併並改進而來的協定,大多數的運作方式與DomainKeys相同。在2007年2月時,DKIM被列入網際網路工程工作小組(IETF)的標準提案(Proposed Standard),並於同年5月成為正式標準(Standards Track)並得到主要的電子郵件服務供應商如雅虎、Gmail美國在線、FastMail率先支持。

優點


DKIM的主要優點是可以讓寄件者有效地表明身份,讓收件者可憑藉公鑰確認寄件者並非偽冒、內文未經竄改,提高電子郵件的可信度。郵件過濾器可使用白名單及黑名單機制更可靠地檢測網路釣魚或垃圾電郵。

DKIM面臨的威脅和發展前景


DKIM面臨的威脅和發展前景就像其他任何試圖阻止垃圾郵件傳播的機制一樣,DKIM也會受到各種攻擊。一方面有針對 DKIM協議本身的攻擊,比如錯誤的郵件長度限制 (l屬性 )、錯誤的私有密鑰、DKIM簽名頭部域格式錯誤等無意或有意的屬性賦值錯誤,均可能造成的認證失敗;另一方面, DKIM機制所依賴的DNS服務本身也具
有很多不安全的因素。各種針對 DNS的攻擊均有可能使得 DKIM簽名失效甚至被偽造。對於這些可能的攻擊, DKIM工作組發表了針對各種攻擊行為的分析。如何完善 DKIM協議以應對對於協議本身的攻擊也是 DKIM今後改進的重要內容。對於通過 DNS服務所進行的攻擊,已經超出了 DKIM本身所考慮的範疇。因此 DKIM一方面寄希望於 DNSSEC的出現和使用解決現有的一部分問題;另一方面 DKIM的設計初衷認為各種通過 DNS的針對 DKIM的攻擊行為相對於攻擊建立在 DNS基礎上的其他應用成本高且回報很少。想要系統性地威脅 DKIM的設計目標,攻擊者必須在 DNS服務的多個部分進行長時間高成本的攻擊。這種行為的非經濟性會在某種程度上阻止對 DKIM的攻擊。
DKIM只是為了實現一定程度上足夠的認證,而並不是為了提供一種強大的加密認證機制。這種在安全性上的不完全可靠,對於網路釣魚等涉及隱私程度高可能造成巨大損失的欺騙行為,DKIM所得出的結論是具有風險和不可信賴的。因此 DKIM的主要應用前景是在即使被攻擊或認證失敗也不會有很大損失的反垃圾郵件等低危險性領域。在反垃圾郵件方面, DKIM能夠有效地限制垃圾郵件發送者盜用其他機構或域名的名義,為郵件過濾提供鑒別手段,並且能夠在現有郵件體系下快速進行低成本的部署。 IETFDKIM工作組正在致力於完善 DKIM協議,積極推動 DKIM草案成為正式的 RFC標準,並且已經取得了階段性的成果。在開發部署上面,已經有SendmailPostfix、Apache等多家公司和組織參與開發了可用的穩定版本,並且正在繼續進行改進和標準化工作。