反垃圾来源认证之(二) DKIM(domainkey)
发布时间:2013-12-30 17:22:42
电子邮件验证标准——域名密钥识别邮件标准。DomainKeys Identified Mail的缩写。
DKIM由互联网工程任务组(IETF)开发而成;针对的目标是互联网最严重的威胁之一:电子邮件欺诈。
一般来说,发送方会在电子邮件的标头插入DKIM-Signature及电子签名资讯。而接收方则透过DNS查询得到公开金钥後进行验证。
发送端所做的事情
1.生成一对密钥,即公钥和私钥
2.通过DNS发送domainkey的公钥
3.发送邮件时,用私钥加密该邮件,并将加密后的密文附加到邮件中
接收端所做的事情
1.提取信头中dkim信头,并查询该发件域的公钥。
2.利用该公钥,对信头中的密文进行验证。
3.查询该域名的_adsp._domainkey记录,可按该策略进行处理。
DKIM的工作原理
DKIM让企业可以把加密签名插入到发送的电子邮件中,然后把该签名与域名关联起来。签名随电子邮件一起传送,而不管是沿着网络上的哪条路径传送,[1]电子邮件收件人则可以使用签名来证实邮件确实来自该企业。
DKIM 的基本工作原理同样是基于传统的密钥认证方式,他会产生两组钥匙,公钥(public key)和私钥(private key),公钥将会存放在 DNS 中,而私钥会存放在寄信服务器中。数字签名会自动产生,并依附在邮件头中,发送到寄信者的服务器里。公钥则放在DNS服务器上,供自动获得。收信的服务器,将会收到夹带在邮件头中的签名和在DNS上自己获取公钥,然后进行比对,比较寄信者的域名是否合法,如果不合法,则判定为垃圾邮件。 由于数字签名是无法仿造的,因此这项技术对于伪造域名的垃圾邮件制造者将是一次致命的打击,他们很难再像过去一样,通过盗用发件人姓名、改变附件属性等小伎俩达到目的。在此之前,垃圾邮件制造者通过把文本转换为图像等方式逃避邮件过滤,并且使得一度逐渐下降的垃圾邮件数目再度抬头。
DKIM的设置方法
1. 使用DKIM功能首先要确定你的域名提供商,能支持txt记录添加公钥的服务;
2. 使用openssl工具生产一对公钥和密钥;
3. 登录域名管理添加txt记录;
4. 登录turobmail管理员
客户配置使用该功能后,发送邮件时在每封电子邮件上增加加密的数字标志,以支持接收方与合法的互联网地址数据库中的记录进行比较。由于GMAIL、YAHOO、SINA、QQ等大型邮箱系统会对收件进行DKIM验证,因此配置此功能后,能大大提高客户们发邮件至这些大型邮箱系统的成功率。
DKIM与竞争者的对比
由微软推出的Sender ID是DKIM唯一的竞争对手,不过在过去的两年多时间内,DKIM显然已经走在前面并获得了更多的支持者,它们之间的区别在于:
1.DKIM是一项完全免费的开放源码标准;而微软则要求使用标准的组织必须签署一项许可协议。
2.在使用DNS服务器方面DKIM与Sender ID一样进行发信人认证,但DKIM加入了密钥数字签名,因此更加可靠。
DKIM结合了两种协议
雅虎开发的域名密钥(DomainKeys)协议和思科开发的互联网邮件识别(Identified Internet Mail)协议。这两家公司携手其他邮件服务厂商和ISP,与IETF的DKIM工作组一起制订技术规范,这些规范差不多已经完成了。
本文由163企业邮箱首选网易品牌(http://www.hb-163.com/)原创编辑,转发请注明来源及版权归属。
原文分享地址:http://www.hb-163.com/news/antispam/1044.html
上一篇:反垃圾来源认证之(三)DMARC
下一篇:反垃圾来源认证之(一) SPF--Sender Policy Framework
Tags:反垃圾邮箱
相关文章
- 反垃圾来源认证之(一) SPF--Sender Policy Framework2013-12-30
- 反垃圾来源认证之(二) DKIM(domainkey)2013-12-30
- 反垃圾来源认证之(三)DMARC2013-12-30
- 国外发垃圾邮件省份2013排行榜 河北成为垃圾邮件国内最大源头2013-12-30
- 网易邮箱反垃圾十六年2013-12-30
- 国家计算机病毒应急处理中心发布恶意邮件预警通告2013-12-30
- 《加强网络信息保护的决定》规定未经用户许可不得向其手机或电子邮箱发送商业信息2013-12-30
- 如何架设一个简易的实时黑名单服务器2013-12-30