Аутентификация электронной почты , или валидация , — это набор методов, направленных на предоставление проверяемой информации о происхождении сообщений электронной почты путем проверки владения доменом любых агентов передачи сообщений (MTA), которые участвовали в передаче и, возможно, изменении сообщения.
Исходная основа электронной почты в Интернете, Simple Mail Transfer Protocol (SMTP), не имеет такой функции, поэтому поддельные адреса отправителей в электронных письмах (практика, известная как подмена электронной почты ) широко используются при фишинге , спаме в электронной почте и различных видах мошенничества. Для борьбы с этим было разработано множество конкурирующих предложений по аутентификации электронной почты, но лишь сравнительно недавно три получили широкое распространение — SPF , DKIM и DMARC . [1] [2] Результаты такой проверки могут быть использованы при автоматической фильтрации электронной почты или могут помочь получателям при выборе подходящего действия.
В этой статье не рассматривается аутентификация пользователей при отправке и получении электронной почты.
В начале 1980-х годов, когда был разработан простой протокол передачи почты (SMTP), он не предусматривал реальной проверки отправителя пользователя или системы. Это не было проблемой, пока системы электронной почты управлялись доверенными корпорациями и университетами, но с момента коммерциализации Интернета в начале 1990-х годов выяснилось, что спам , фишинг и другие преступления все чаще связаны с электронной почтой.
Аутентификация электронной почты является необходимым первым шагом на пути к определению происхождения сообщений и, таким образом, к повышению эффективности политики и законов.
Зависимость от владения доменом — это позиция, появившаяся в начале 2000 года. [3] [4] Она подразумевает грубую аутентификацию, учитывая, что домены появляются в правой части адресов электронной почты после знака at . Точная аутентификация на уровне пользователя может быть достигнута другими способами, такими как Pretty Good Privacy и S/MIME . В настоящее время цифровая идентичность должна управляться каждым человеком.
Важным обоснованием аутентификации электронной почты является возможность автоматизировать фильтрацию электронной почты на принимающих серверах. Таким образом, поддельные сообщения могут быть отклонены до того, как они попадут в папку «Входящие» пользователя. В то время как протоколы стремятся разработать способы надежной блокировки ненадежной почты, индикаторы безопасности могут помечать неаутентифицированные сообщения, которые все еще попадают в папку «Входящие». Исследование 2018 года показывает, что индикаторы безопасности могут снизить рейтинг кликов более чем на десять пунктов: от 48,9% до 37,2% пользователей, открывающих поддельные сообщения. [5]
SMTP определяет транспорт сообщений , а не их содержимое . Таким образом, он определяет почтовый конверт и его параметры, такие как отправитель конверта , но не заголовок (кроме информации трассировки ) и не тело самого сообщения. STD 10 и RFC 5321 определяют SMTP (конверт), а STD 11 и RFC 5322 определяют сообщение (заголовок и тело), формально называемое форматом интернет-сообщения .
SMTP определяет информацию трассировки сообщения, которая сохраняется в заголовке с использованием следующих двух полей: [6]
Почтовый агент пользователя (MUA) знает SMTP-сервер исходящей почты из своей конфигурации. MTA (или сервер ретрансляции) обычно определяет, к какому серверу подключиться, просматривая DNS- запись ресурса MX (Mail eXchange) для доменного имени каждого получателя .
Путь, изображенный ниже, можно реконструировать на основе полей заголовка трассировки , которые каждый хост добавляет в начало заголовка при получении сообщения: [6]
Путь возврата: <[email protected]> Получено: от D.example.org от E.example.org с помощью SMTP ; Вт, 05 февраля 2013 г., 11:45:02 -0500 Получено: от C.example.net от D.example.org с SMTP ; Вт, 5 февраля 2013 г., 11:45:02 -0500 Получено: от B.example.com ( b.example.com [ 192.0.2.1 ]) от C.example.net (это я ) с идентификатором ESMTP 936ADB8838C для <различное [email protected]> ; Вт, 5 февраля 2013 г., 08:44:50 -08:00 (тихоокеанское стандартное время) Получено: от A.example.com пользователем B.example.com по SMTP ; Вт, 05 февраля 2013 г. 17:44:47 +0100 Получено: от [ 192.0.2.27 ] от A.example.com с SMTP ; Вт, 05 фев 2013 17:44:42 +0100
Важно понимать, что получатель обычно доверяет первым нескольким строкам в верхней части заголовка. Фактически, эти строки пишутся машинами в домене административного управления ( ADMD ) получателя , которые действуют в соответствии со своими явными полномочиями. Напротив, строки , доказывающие причастность A и B , а также MUA предполагаемого автора , могут быть подделкой, созданной C. Поле Received:
, показанное выше, представляет собой эпохальную часть заголовка. Сообщение Return-Path:
пишется E , агентом доставки почты (MDA), на основе конверта сообщения . Дополнительные поля трассировки, предназначенные для аутентификации электронной почты, могут заполняться в верхней части заголовка.
Обычно сообщения, отправленные ADMD автора, попадают непосредственно в MX адресата (то есть B → D на рисунках). ADMD отправителя может добавлять токены аутентификации только в том случае, если сообщение проходит через его ящики. Наиболее распространенные случаи можно схематично представить следующим образом:
Поставщики доступа НЕ ДОЛЖНЫ блокировать пользователям доступ к внешнему Интернету с использованием порта ПОДАЧИ 587.
SPF позволяет получателю проверить, что электронное письмо, якобы полученное из определенного домена, исходит с IP-адреса, авторизованного администраторами этого домена. Обычно администратор домена авторизует IP-адреса, используемые его собственными исходящими MTA, включая любые прокси-серверы или смарт-хосты. [7] [8]
IP-адрес отправляющего MTA гарантированно действителен согласно протоколу управления передачей , поскольку он устанавливает соединение, проверяя доступность удаленного хоста. [9] Принимающий почтовый сервер получает команду HELO
SMTP вскоре после установки соединения и значок Mail from:
в начале каждого сообщения. Оба они могут содержать доменное имя. Средство проверки SPF запрашивает систему доменных имен (DNS) на наличие соответствующей записи SPF, которая, если она существует, будет указывать IP-адреса, авторизованные администратором этого домена. Результатом может быть «пройдено», «не пройдено» или какой-либо промежуточный результат, и системы обычно учитывают это при фильтрации спама. [10]
DKIM проверяет содержимое сообщения , применяя цифровые подписи . Вместо использования цифровых сертификатов ключи для проверки подписи распространяются через DNS. Таким образом, сообщение будет связано с доменным именем. [11]
Администратор домена, совместимый с DKIM, генерирует одну или несколько пар асимметричных ключей , затем передает закрытые ключи подписывающему MTA и публикует открытые ключи в DNS. Метки DNS имеют структуру selector._domainkey.example.com
, где селектор идентифицирует пару ключей и _domainkey
представляет собой фиксированное ключевое слово, за которым следует имя подписывающего домена, чтобы публикация происходила под управлением ADMD этого домена. Непосредственно перед внедрением сообщения в транспортную систему SMTP подписывающий MTA создает цифровую подпись, которая охватывает выбранные поля заголовка и тела (или только его начало). Подпись должна охватывать основные поля заголовка, такие как From:
, To:
, Date:
и Subject:
, а затем добавляется к самому заголовку сообщения в качестве поля трассировки. Любое количество ретрансляторов может получать и пересылать сообщение, и на каждом прыжке подпись может быть проверена путем получения открытого ключа из DNS. [12] Пока промежуточные ретрансляторы не изменяют подписанные части сообщения, его DKIM-подписи остаются действительными.
DMARC позволяет указать политику для аутентифицированных сообщений. Он построен на основе двух существующих механизмов: инфраструктуры политики отправителей (SPF) и почты, идентифицированной с помощью DomainKeys (DKIM).
Это позволяет администратору домена публиковать политику в своих записях DNS , чтобы указать, какой механизм (DKIM, SPF или оба) используется при отправке электронной почты из этого домена; как проверить From:
поле, представленное конечным пользователям; как получатель должен реагировать на сбои, а также механизм отчетности о действиях, выполненных в соответствии с этими политиками.
Был предложен ряд других методов, но сейчас они либо устарели, либо еще не получили широкой поддержки. К ним относятся идентификатор отправителя , проверка сертифицированного сервера , ключи домена и перечисленные ниже:
ADSP позволил указать политику для сообщений, подписанных доменом автора. Сообщение должно было сначала пройти аутентификацию DKIM, после чего ADSP мог потребовать применения наказания, если сообщение не было подписано доменом(ами) автора — согласно полю заголовка From:
. [13]
ADSP был понижен в звании до исторического уровня в ноябре 2013 года .
VBR добавляет подтверждение к уже аутентифицированному удостоверению. Этот метод требует наличия всемирно признанных органов, подтверждающих репутацию доменов.
Отправитель может подать заявление на получение справки в выдающий орган. Ссылка, если она принята, публикуется в ветке DNS, управляемой этим органом. Поручившийся отправитель должен добавлять VBR-Info:
поле заголовка к отправляемым сообщениям. Также следует добавить подпись DKIM или использовать какой-либо другой метод аутентификации, например SPF. Получатель, после проверки личности отправителя, может проверить заявленное подтверждение, VBR-Info:
найдя ссылку. [15]
Приложениям следует избегать использования этого метода в качестве средства аутентификации. [16] Тем не менее, это часто выполняется, и его результаты, если таковые имеются, записываются в Received:
поле заголовка помимо информации TCP, требуемой спецификацией SMTP.
Обратный IP-адрес, подтвержденный поиском IP-адреса только что найденного имени, является всего лишь показателем того, что IP-адрес был правильно настроен в DNS. Обратное разрешение диапазона IP-адресов может быть делегировано ADMD, который их использует, [17] или может оставаться под управлением сетевого провайдера. В последнем случае невозможно получить никакой полезной идентификационной информации, связанной с сообщением.
Поиск DNSWL (белого списка на основе DNS) может дать оценку отправителю, возможно, включая его идентификацию.
RFC 8601 определяет поле заголовка трассировки Authentication-Results:
, в котором получатель может записывать результаты выполненных им проверок аутентификации электронной почты. [16] В одном поле можно указать несколько результатов для нескольких методов , разделив их точкой с запятой и завернув соответствующим образом.
Например, следующее поле предположительно написано receiver.example.org
и сообщает результаты SPF и DKIM :
Результаты аутентификации: получатель.example.org ; spf=pass smtp.mailfrom = example.com ; dkim=pass [email protected]
Первый токен после имени поля receiver.example.org
— это идентификатор сервера аутентификации, токен, известный как authserv-id . Получатель, поддерживающий RFC 8601, несет ответственность за удаление (или переименование) любого ложного заголовка, утверждающего, что он принадлежит его домену, чтобы нисходящие фильтры не могли запутаться. Однако эти фильтры все равно необходимо настроить, поскольку они должны знать, какие идентификаторы может использовать домен.
Для почтового пользовательского агента (MUA) немного сложнее узнать, каким идентификаторам он может доверять. Поскольку пользователи могут получать электронную почту с нескольких доменов (например, если у них есть несколько адресов электронной почты), любой из этих доменов может пропускать Authentication-Results:
поля, поскольку они выглядят нейтральными. Таким образом, злонамеренный отправитель может подделать идентификатор authserv , которому пользователь будет доверять, если сообщение пришло из другого домена. Легитимное сообщение Authentication-Results:
обычно появляется над Received:
полем того же домена, из которого было ретранслировано сообщение. Received:
Между ним и верхней частью заголовка могут появиться дополнительные поля, поскольку сообщение передавалось внутри между серверами, принадлежащими одному и тому же доверенному ADMD.
Управление по присвоению номеров в Интернете ведет реестр параметров аутентификации электронной почты. Однако не все параметры необходимо регистрировать. Например, могут существовать локальные значения «политики», предназначенные только для внутреннего использования сайта, которые соответствуют локальной конфигурации и не требуют регистрации.
Однако в отчете аутентификация на уровне домена названа многообещающей технологической разработкой.
{{cite web}}
: CS1 maint: неподходящий URL ( ссылка ){{cite book}}
: |work=
игнорируется ( помощь )Когда SMTP-сервер принимает сообщение либо для ретрансляции, либо для окончательной доставки, он вставляет запись трассировки (также называемую взаимозаменяемо «строкой отметки времени» или «строкой получения») вверху почтовых данных. Эта запись трассировки указывает идентификатор узла, отправившего сообщение, идентификатор узла, получившего сообщение (и вставляющего эту отметку времени), а также дату и время получения сообщения. Ретранслируемые сообщения будут иметь несколько строк отметок времени.
Есть три места, где можно использовать методы для устранения непреднамеренных сбоев SPF с помощью медиаторов.
Я думаю, что в целом это нормально, если вы предлагаете механизм внесения в белый список серверов пересылки, не относящихся к SRS.
DomainKeys Identified Mail (DKIM) позволяет человеку, роли или организации брать на себя некоторую ответственность за сообщение, связывая с сообщением доменное имя, которое им разрешено использовать.