|
垃圾邮件、欺骗和网络钓鱼仍再继续破坏电子邮件的完整性,而消费者也开始对使用电子邮件和开展在线商务失去信心。去年,Pew Research Center 报告说,63% 的消费者信任电子邮件而有 30% 的用户在使用它,与前年相比,这些数字均有所降低。如果这些趋势不加改变,情况很可能由于日渐增加的欺诈性邮件及其在线利用而变得更加糟糕。
幸运的是,行业已经通过一系列创新技术,借助规范性指南、有效的立法和执法以及行业协作在这方面取得了一些进展。迄今为止,最值得称道的努力(已经看到了真实的效果)是电子邮件的身份验证。
本文将概括介绍有助于保护邮件完整性的新方法和新规范:
| • |
什么是垃圾邮件、伪造和网络钓鱼? |
| • |
邮件身份验证有何新进展? |
| • |
什么是发件人 ID? |
| • |
发件人 ID 有何作用? |
| • |
应该怎样实现发件人 ID? |
| • |
如何能学习到更多知识? |
什么是垃圾邮件、欺骗和网络钓鱼?
垃圾邮件是一些不请自来的商业邮件,也称为宣传邮件。伪造是修改电子邮件“发件人”地址使其看上去来自一个合法地址的一种常见方法。网络钓鱼是试图欺骗电子邮件的收件人透露其个人信息(如信用卡号码或帐户密码)的一种方法,这些电子邮件假装来自一个合法来源,例如银行、信用卡公司或网络商店。大多数钓鱼攻击通过电子邮件发起,邮件的“发件人”一行的发送人姓名经过了伪装或伪造。
邮件身份验证有何新进展?
在过去的 18 个月中,邮件身份验证已经飞快地从概念讨论和争论阶段演化到了实际应用阶段。已经出现了两种主要的验证方法。Sender ID Framework (SIDF) 是一个 Internet 协议 (IP),它通过合并以下两个提议开发而成:Sender Policy Framework (SPF) 和 Microsoft Caller ID for E-mail。对 SIDF 进行了补充的是称作 DKIM 的新出现的签名提议,它综合了 Yahoo! 的DomainKeys 和 Cisco 的 Identified Internet Mail (IIM) 规范。在这些解决方案之中,发件人 ID (Sender ID)——利用了 SPF 记录格式——已经在全球范围开始实施,它是免版税的,并且易于被 Internet 服务提供商 (ISP) 和各种规模的企业电子邮件环境实现。
目前,行业的电子邮件领导者(如 MSN Hotmail)以及 120 多万个域已经通过发布 SPF 记录和完成发件人 ID 检查,兑现了对基于 IP 的解决方案的承诺。尽早实施的好处包括:得到改进的垃圾邮件检测、得到增强的发件人声誉评分功能,以及可减少由于误报而导致的邮件发件人的抱怨。
什么是发件人 ID?
SIDF 有助于减少电子邮件域的伪造现象,并可更好地防范网络钓鱼阴谋。发件人 ID 检查并验证发送服务器的 IP 地址,校验发送域是否得到了授权以便代表它自己发送邮件。减少域的伪造现象有助于合法发信人保护他们的域名和声誉,并且帮助收件人更有效地识别和筛选垃圾邮件以及钓鱼攻击。
发件人 ID 允许用户选择以下两种检查机制之一:Purported Responsible Address (声称的负责地址,PRA) 或“Mail From”(邮件来源)。通过使用上述机制检查 SPF 记录的有效性并结合现有防垃圾邮件启发算法的结果,可以大大提高电子邮件的可交付性并减少垃圾邮件和降低误报现象。
发件人 ID 有何作用?
您的域管理员或托管公司仅需在域名系统 (DNS) 中发布 SPF 记录。这些简单的文本记录标识了经过授权的电子邮件发送服务器(通过列出这些服务器的 IP 地址)。电子邮件接收系统会检查邮件是否来自经过正确授权的电子邮件发送服务器。检查步骤如下:
|
1. |
发送人向接收方发送一封电子邮件。 |
|
2. |
邮件接收服务器接收电子邮件并执行如下操作:
| • |
检查哪一个域声称发送了该邮件并检查该域的 SPF 记录的 DNS。 |
| • |
确定发送服务器的 IP 地址是否与 SPF 记录中的某个已发布 IP 地址相匹配。 |
| • |
对电子邮件进行打分:如果 IP 地址匹配,则邮件通过身份验证并获得一个正分。如果 IP 地址不匹配,则邮件无法通过身份验证并获得一个负分。然后,对现有的防垃圾邮件筛选策略和启发式筛选应用这些结果。 | |
怎样实现发件人 ID?
若要实现发件人 ID,首选需要创建并发布您的 SPF 记录,它是一份包含了域中所有用来发送邮件的 IP 地址的完整清单。确定其包含了向您发送邮件的所有第三方的 IP 地址。
请访问跨行业网站:www.emailauthentication.org/resources.html,它提供了电子邮件身份验证工具和其他资源,为 IT 和商务社区提供帮助。在该站点上,您还可以访问 Sender ID Framework SPF Record(发件人 ID 框架 SPF 记录),它通过一个分步指导过程来介绍如何创建您的 SPF 记录。通过使用该工具,可以自动为域中已发布的 IP 地址创建清单并创建记录。
如何能学习到更多知识?
由于实现身份验证解决方案具有显著的长期收益,一个由 30 多家公司组成的行业联盟(包括 Microsoft)已经组织了 Email Authentication Implementation Summit 2005(电子邮件身份验证实施论坛 2005)。该论坛于 2005 年 7 月 12 日在纽约举行,此次活动搭建了一个得到最广泛参与的行业平台,有助于确保合法电子邮件的完整性和名誉。
论坛由 Esther Dyson(CNET Networks 1.0 版的编辑)主持,参加这个为期一天的会议的与会者从来自 Cisco、IronPort、Microsoft、MSN Hotmail、Sendmail、Symantec、Tumbleweed 和 Yahoo! 的诸多安全问题专家学习到了顶尖电子商务站点和金融机构(如 eBay、Amazon、Bank of America 和 Paypal)所采用的各项最佳实践。此外,市场推广和品牌官员们将从 DMA、ESPC、Bigfoot Interactive、Digital Impact 和 DoubleClick 以及其他人那里了解到域的持有人应如何加入到这场与垃圾邮件和网络钓鱼进行的艰巨斗争中。此次活动包括了针对 IT 专业人员、业务决策制定者和电子邮件市场推广官员的分类讲座,为他们提供了可操作的说明性信息。欢迎立刻报名参加 Email Authentication Implementation Summit 2005 !
Email Authentication Implementation Summit 2005 的承办人已经推出了一个网站:www.emailauthentification.org ,该网站提供了与电子邮件身份验证标准和解决方案的部署和实施有关的最新信息、工具和资源。
Craig Spiezle
主管,Microsoft Technology Care and Safety
| 