認證
在郵件認證的這個項目裡,所使用的方法是利用DNS檢查郵件傳送端的網域,去確認郵件是否來自合法的郵件伺服器。它不同於郵件內容過濾或是寄件者電子簽章。 我們僅簡短的介紹,電子郵件會有哪些驗證的規則,讓使用者有足夠的了解去把這些認證的規則應用到電子郵件裡。而細節部分可參閱相關規範的標準文件。
最簡單被用來識別郵件的規則,是利用DNS反向查詢方式加上正向查詢,來驗證寄出郵件的IP位址是否符合在這些網域裡面。然而,這個方式比較沒有彈性,因為這個方式原本就不是設計用來驗證郵件的;這也是為什麼這種驗證的方式被用在SMTP以及常見的郵件偽造,在假的網域上被寄出。因此,真正的郵件識別方式與規則就這樣被提出來以解決如此的問題。
傳送端規則架構(Sender Policy Framework, SPF)、傳送端識別(SenderID, SID)、網域簽章(DomainKey) 以及網域簽章郵件識別(DomainKeys Identified Mail, DKIM) 都是用來驗證傳送端的網域是否合法。
DomainKeys和DKIM的操作
DomainKeys和DKIM的工作原理是類似的。DomainKey最初是由Yahoo提出的。後來,人們吸收了該觀念並提出了DKIM。它的概念是:生成一對公共密鑰和私有密鑰。“寄件者的郵件伺服器”運用私有密鑰,在外送的郵件上附上一個簽名;當這些郵件抵達“收件者的郵件伺服器”時,收件者的郵件伺服器則使用公共密鑰,自DNS伺服器發出一個查詢去驗證簽名的合法性。
該機制的原理是:公共密鑰用來“驗證”簽名,私有密鑰則用來“簽署”簽名。而且,人們無法自“公共密鑰”猜測出“私有密鑰”。所以,當簽名無法通過驗證時,這即暗示了此封電子郵件在寄出時並沒有經過正確的簽名程式,它可能是一封偽造的郵件。
以下是一對私有密鑰和公共密鑰的範例:
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC+2og5sex8zeXAZonl2/vnz
VjsUHLKUv0DSoZeWgpQrB5FQgf7Ttd18w1FTjAmv8hK4GtYOSRtoBZFUCVMwmB
B9Tkx60EHckp+Fb494OZYbenL8hJL7XLuS5ux4tokwGW//3dBUxIHnTxIRt+aJ7I
k96GIr90lUt0oqe3FbAE6/wIDAQAB
-----END PUBLIC KEY-----
公共密鑰應在DNS中予以公佈。在DNS的TXT記錄中,它擁有如下格式:
selector._domainkey.example.com. IN TXT "g=*; k=rsa; p=MIGf...DAQAB"
“selector”是DKIM或DomainKeys在外寄郵件的簽名中指示的簽證選擇器。“_domainkey”部分則照實填寫。通常,如您在DNS記錄中添加功能變數名稱時使用了完全名,那您則需要加一個結束符號“.”。公共密鑰被置於“p=…. ”處。此記錄顯示它使用的是RSA運算法則。如果您僅僅想要做測試,您可以在記錄中添加“t=y”。
當一封郵件抵達某接收主機時,需要知道使用哪個公共密鑰。例如,如果您的每台機器在簽署外寄郵件時都使用不同的密鑰,那在DNS上您可能有若干個公共密鑰。通過指定不同的簽證選擇器(selector),接收主機就會知道要從DNS伺服器上查詢哪個公共密鑰。
beta1._domainkey.example.com. IN TXT "g=*; k=rsa; p=MIGf...DAQAB "
beta2._domainkey.example.com. IN TXT "g=*; k=rsa; p=MIGf...FAFAB "
如果您在某接收主機上查看郵件標頭,您可能會發現標頭包含“DKIM-Signature”或“DomainKey-Signature”部分。這意味著該郵件是由“DKIM”或“DomainKey”簽署的。
驗證結果也會被標示在“Authentication-Results”區域。
SPF和SID的操作
SPF和SID是不同的標準。SID最初是由微軟提出的,後來它遵從網際網路工程任務小組 (Internet Engineer Task Force, IETF)的建議而從屬於SPF。所以,從安全上來說,我們建議在DNS中配置SPF即可。SPF記錄看起來應是這樣:
mydomain.com. IN TXT "v=spf1 a +mx +ip4:130.207.0.0/16 -all"
請注意此處的“a”或“mx”是指在DNS中對應的“一個記錄”和“MX記錄”。至於那些“+”和“-”,它們已被作為“合格者”提交給SPF。它們有如下含義:
- + : 通過,它可被省略,+mx等同於mx
- ? : 中立, 類似於NONE (no policy)的說明
- ~ : 輕微失敗,介於中立和失敗之間
- - : 失敗,應拒絕此郵件
每一列都應被從左至右地讀取;如果前面部分匹配,後續部分則會被忽略。
SID比SPF有一些添加,“v=spf1”被替換為以下的每行:
1. spf2.0/mfrom
2. spf2.0/mfrom,pra
3. spf2.0/pra,mfrom
4. spf2.0/pra
然而,當看見“v=spf1”時,需要退回至SPF.
上圖涵蓋了SPF和SID的操作方法。與該網域名稱相關聯的DNS伺服器上的某DNS記錄,指示了哪台機器作為該網域名稱的合法代表,是被允許寄出郵件的。當一封郵件抵達某機器時,接收機器會向DNS伺服器發出詢問,以便瞭解此IP地址是否被允許自此網域名稱往外寄送郵件。如果它與DNS記錄中規定的規則不符,那意味著它是一封偽造的郵件。
此後的內容與前文類似,我們開始將它們運用於實際。
產生認證鑰
在產生認證鑰的這個頁面裡,按下‘創建’按鈕,系統即開始為使用DKIM或DomainKey而隨機產生一對公共密鑰(public key)和私有密鑰(private key)。基於安全的考量,私有密鑰不會顯示在Web用戶介面上。
利用畫面右上角的‘檢視’按鈕,即會出現整個公共密鑰的內容。將公共密鑰的內容全部複製起來,記錄到DNS裡,便可完成DimaunKey的一部份了。
DKIM & DK
DKIM 或 DK(DomainKey) 的簽章是用於驗證一個郵件主機的真實性。
私有密鑰是用於簽證寄出的郵件,而從網域名稱(DNS)主機查詢得到的公共密鑰將被用於驗證收到的郵件;這樣,能有效地判斷寄件者的網域(Domain)是否是偽造的,以及寄出信件是不是來自於偽造的網域。因此,將公共密鑰置入網域名稱服務(DNS)主機是必要的,如此才可讓其他郵件主機驗證收到的郵件是由正確的主機送出。
想要標記外送郵件或驗證進入郵件,在DomainKey或DKIM簽證和驗證的這個地方,我們應事先做如下設置:
通過 Email >> 認證 >> DKIM & DK 來操作,簽證選擇器(Selector)和想要簽證的網域名稱清單應填入相對應的參數。郵件系統會將簽證選擇器(Selector)的名稱置於DKIM和DomainKey簽名上,以便在其他的地方可驗證收到的郵件。
用於簽證寄出郵件的 Selector名稱: az1
將要簽證的域名清單: azblink.com.tw
請注意,系統只會為那些在列表中的網域名稱做DKIM/DK的簽名標記,這些網域名稱都應帶有此處填入的簽證選擇器(selector)標籤。換句話說,系統不會為那些不在此列表中的網域名稱做標記。所以,如果您有時候必須用不同的網域名稱發送郵件,您就應該選擇您想要標記的網域名稱,並將它們填入“將要簽證的域名清單”區域,以“,”來間隔。
如果您想要標記外送郵件,在填入相關的DNS記錄之前,不要開啟“啟始 DKIM 和 DomainKey 的處理”。就算您已填好了相應的DNS記錄,它也不會馬上生效。所以,由於在DNS中沒有記錄,您可以預知到在另一端會出現幾種失敗的驗證結果。當DNS記錄在其他DNS伺服器上生效的時候,那些簽名就可被正確驗證了。
您也可以選擇不去標記那些外送郵件,而讓系統僅驗證那些進入的郵件。點選“只驗證收到的郵件,不對寄出郵件的簽證”此核取方塊即可。當您點選了該核取方塊後,其他部分的選項設定即會被忽略。系統只會驗證進入的郵件,而不會標記外送郵件。
依照預設的規則,對進入的郵件,系統會驗證其DKIM和DomainKey簽名,但針對外送的郵件,卻只會為之標記上DKIM簽名。要改變此規則,您需要在此配置頁面上點選那些選項。
例如,要增加DomainKey簽名,您需要點選“除 DKIM-Signature(簽章)外,另加上 DomainKey-Signature 到寄出郵件的郵件標頭上 ”的選項。
如果您打算為外送郵件做標記,不要忘記增加相關的DNS記錄。我們以後會提到這一點,假使您的DNS伺服器也是建構在同一台機器上的狀況。
SPF & SID
SPF記錄允許網域擁有者代表他們的網域,去指定哪些主機可以傳送電子郵件,可以保障網域擁有者,是避免被 spammers 冒充發信的一種機制。做法是在DNS 內的網域名稱中加入 SPF 紀錄,說明這個網域名稱只會透過那些主機發送郵件,以避免有偽造或虛設寄件者網域地址的情況。
正如我們此前提及的,郵件伺服器上將會為SID和SPF執行驗證過程。其他地方的伺服器如想知道您網域名稱上的哪個IP位址可以外送郵件,那麼您需要將相關的記錄置於DNS伺服器上。
在DNS裡面的資訊,是涵蓋了與網域名稱相關的紀錄,包含了代表主機是合法的寄送郵件的宣告。當郵件抵達接收端郵件伺服器,這邊的郵件伺服器可能會去利用DNS,去查詢這封信件裡已知的IP位址是否是真的由這個網域之郵件伺服器所寄出的。如果經由DNS記錄所查詢到的資訊不是的話,那麼這封郵件就會被當成是封偽造郵件來處理。
至 Email >> 認證 >> SPF & SID 處核取並送出請求,即可開啟SPF和SID驗證。
SPF, DKIM以及DomainKey的相對應DNS記錄
如果您是使用Azblink系統軟體中的DNS功能建構系統,您可按照以下指示的步驟操作。
由 Dns >> 網路區域 >> 區域管理,點選您創建的網域名稱,您會發現有不同的DNS進階選項。按“SPF”,您會看到如下的頁面。
通過點選核取方塊,選擇您想要的SPF機制, SPF記錄即會生成。如果您打算以更準確的方式來操作,您可按“文字記錄”,直接以TXT記錄來處理。
針對DKIM和DomainKey,我們亦直接使用了TXT記錄來處理。
記住,“az1”必須與您使用於郵件伺服器的那個簽證選擇器(selector)一模一樣,在此處公共密鑰也需要複製一份。
|
已擁有固定IP的情況下設定的方式。如固接式網路或是原網路中有DHCP主機的存在。