反垃圾邮件DMARC技术交流.ppt

* 中文大标题:28-36pt 颜色: R0 G50 B150 字体:黑体(加粗+阴影)英文大标题:32-36pt 颜色: R0 G50 B150 字体 : Arial (加粗+阴影) 正文子目录(1级) 颜色:R25 G100 B180 R255 G150 B0 中文字号：28—18pt 英文字号：32—20pt 中文字体:黑体(加粗) 英文字体:Helvetica(加粗) 正文(2-4级):12--24pt 颜色:黑色 灰色(60-70%黑) 中文字体:华文细黑 英文字体:Times New Roman 目录页---浅色/深色系(自选) 目录中文标题:18-28pt 颜色: 反白 字体:黑体(阴影) 目录英文标题:20-30pt 颜色: 反白 字体 : Arial(斜体+阴影) 反垃圾邮件DMARC技术交流 议题 DMARC简介 DMARC vs DKIM SPF DMARC应用场景 DMARC架构 DMARC举例 DMARC发展前景 DMARC简介 DMARC，全称Domain-based Message Authentication, Reporting and Conformance ，是基于现有的DKIM和SPF两大主流电子邮件安全协议发展而来的。 主要目的是识别并拦截钓鱼邮件，从而确保用户的个人信息安全。 由邮件发送方在DNS里声明自己采用该协议，接收方收到该域发送过来的邮件时，则进行DMARC校验，从而判断当前邮件来源是否合法。 DMARC简介 2012/01/30，由Paypal，Google，微软，雅虎，ReturnPath等15家行业巨头，主要包括金融机构、Email服务提供商、数据分析机构等，联手成立的互联网联盟，致力于提交并推广DMARC新电子邮件安全协议。 目前该组织的官方成员有，如下图示： DMARC简介 DMARC vs DKIM SPF 1）三者都是邮件发送方在DNS里声明TXT记录，但DKIM SPF校验结果处理策略单一（accept/reject…），而DMARC策略更灵活（多种组合策略，支持百分比等）。 2）DMARC支持report的功能，邮件发送方在DNS除了可以声明策略外，还可以声明自己用于接收report的URI。 3）DKIM SPF 可以严格限制某个域名的来源合法性，但无法限制该域名的子域名，即子域名将无法得到保护。 DMARC vs DKIM SPF 4）当一个站点的邮件服务器数量多或IP更换频繁时，这个域通常不设置SPF或仅设置为软失败。 5）有些允许合法使用多个域名的邮箱服务器（如企业邮箱提供商），所有在同一家服务商上注册企业邮服务的域名（如和），它们的SPF记录都指向相同的IP列表，这种情况下仅仅靠SPF是阻止不了发送一封谎称发自的伪造邮件。 DMARC vs DKIM SPF 6）DMARC可以在DNS记录里明确地声明一封验证失败邮件的处理策略，是reject或进垃圾箱，相当于授权给邮件接收方，那邮件接收方就可以非常果断地（因为是依据邮件发送方的授权和策略），不带一丝犹豫（担心误判）地处理这类邮件了。 DMARC应用场景 1）对于邮件发送方，有这么一类特别的域名，它们经常被spammer利用于伪造各种钓鱼/诈骗邮件，如银行、保险等金融企业，支付宝、Paypal等支付商，知名网站、政府网站等，依靠DMARC会更好的降低他们的域名被利用于伪造的可能性。 2）对于一些普通域名，中小企业、不知名网站等依靠DKIM SPF就足够保护自己的域名了，不再需要多一个DMARC，否则效果不明显还反倒加大了维护成本。 DMARC应用场景 3）对于邮件接收方，无论是专业邮箱提供商（网易、Gmail等），还是个人架设的邮箱服务器（单位邮箱等），他们都非常希望拦截掉所有类型的垃圾邮件和伪造邮件。所以只要条件允许，他们都会支持越多的安全检查手段（SPF/DKIM/DMARC等）。 4）普通用户是DMARC的间接受益，他们只需要选择优秀的已支持DMARC协议的邮箱服务商（网易、Gmail等）来注册，就可以确保自己的个人信息安全。 DMARC架构 DMARC架构 业务处理流程说明： 1）用户将信发送到寄信服务器 2）寄信服务器在邮件头中添加DKIM签名后，将信发给收信服务器 3）收信服务器收到信后，先做一些常规验证，然后进行DKIM SPF验证，最后进行DMARC验证 4）验证成功将信投递给接收者，验证失败或者需要隔离，则根据策略产生一报告反馈给邮件发送者 DMARC架构 DMARC校验的核心过程： 1）从信头提取From字段的domain，称域名A。此字段只存在一个域名。 2）查询DNS，获取域名A的DMARC记录。若该域