進(jìn)行電子郵件欺詐、發(fā)送垃圾郵件及從事網(wǎng)絡(luò)釣魚(yú)的人要當(dāng)心了，目前出現(xiàn)了一件新武器：域名密鑰識(shí)別郵件標(biāo)準(zhǔn)（DKIM），它讓企業(yè)可通過(guò)密碼對(duì)進(jìn)出站的電子郵件進(jìn)行簽名，證實(shí)所發(fā)送郵件的真實(shí)性。這樣，企業(yè)可用來(lái)打擊屢禁不止的電子郵件欺詐活動(dòng)。目前，網(wǎng)絡(luò)界的幾家重量級(jí)公司：包括雅虎、谷歌、貝寶、美國(guó)在線和思科等開(kāi)始運(yùn)用這件武器。

這項(xiàng)新興的電子郵件驗(yàn)證標(biāo)

域名密鑰識(shí)別郵件標(biāo)準(zhǔn)（DKIM），由互聯(lián)網(wǎng)工程任務(wù)組（IETF）開(kāi)發(fā)而成。針對(duì)的目標(biāo)是互聯(lián)網(wǎng)最嚴(yán)重的威脅之一：電子郵件欺詐。據(jù)驗(yàn)證和網(wǎng)上信任聯(lián)盟（AOTA）在1月底發(fā)布的報(bào)告顯示，來(lái)自各大知名公司、銀行和互聯(lián)網(wǎng)服務(wù)提供商（ISP）的電子郵件中，80%以上是欺詐郵件。AOTA分析了五個(gè)月內(nèi)從《財(cái)富》500強(qiáng)公司發(fā)出來(lái)的1億多封電子郵件后得出了上述結(jié)論。

AOTA的主席Craig Spiezle說(shuō)：“IT專(zhuān)業(yè)人士不但需要把電子郵件驗(yàn)證看成是保護(hù)員工避免進(jìn)入到公司網(wǎng)絡(luò)上的欺詐或者偽造性電子郵件的手段，更要看成是一種競(jìng)爭(zhēng)優(yōu)勢(shì)，用來(lái)保護(hù)自身品牌和客戶(hù)避免這些漏洞。”

DKIM的支持者表示，這項(xiàng)標(biāo)準(zhǔn)是消費(fèi)者對(duì)電子郵件重新樹(shù)立信心的一個(gè)重要步驟。

思科公司的知名工程師Jim Fenton是這項(xiàng)標(biāo)準(zhǔn)的起草者之一，他說(shuō)：“DKIM增強(qiáng)了人們對(duì)收到電子郵件的信任程度。DKIM無(wú)法消除網(wǎng)絡(luò)釣魚(yú)行為，但有望加大實(shí)施網(wǎng)絡(luò)釣魚(yú)攻擊的難度，對(duì)此我充滿(mǎn)信心。”

DKIM自2004年以來(lái)就開(kāi)始開(kāi)發(fā)，如今終于達(dá)到了預(yù)期效果。預(yù)計(jì)會(huì)在今年得到廣泛部署，尤其是在金融服務(wù)和電子商務(wù)公司當(dāng)中。早期采用者包括美國(guó)銀行、美國(guó)禮品公司（American Greetings）和思科。

Sendmail在去年11月就開(kāi)始交付符合DKIM標(biāo)準(zhǔn)的電子郵件設(shè)備，該公司負(fù)責(zé)產(chǎn)品管理的主管Greg Olson預(yù)測(cè)：“我認(rèn)為，《財(cái)富》1000強(qiáng)公司中恐怕有一半會(huì)在2008年使用DKIM對(duì)電子郵件進(jìn)行簽名。”

Patrick Peterson是支持DKIM的電子郵件設(shè)備廠商IronPort公司的技術(shù)副總裁，他說(shuō)：“我確實(shí)認(rèn)為，就DKIM而言，各種條件會(huì)在2008年開(kāi)始成熟，我們擁有互聯(lián)網(wǎng)標(biāo)準(zhǔn)，我們還得到了廠商的大力支持……DKIM穩(wěn)若磐石。”

DKIM的工作原理

DKIM讓企業(yè)可以把加密簽名插入到出站的電子郵件中，然后把該簽名與域名關(guān)聯(lián)起來(lái)。簽名隨電子郵件一起傳送，而不管是沿著網(wǎng)絡(luò)上的哪條路徑傳送。電子郵件收件人則可以使用簽名來(lái)證實(shí)郵件確實(shí)來(lái)自該企業(yè)。

Olson解釋?zhuān)骸把巯拢]件收件人無(wú)法確認(rèn)收到的郵件就是對(duì)方發(fā)過(guò)來(lái)的郵件。DKIM的這種方法卻可以讓郵件收件人證實(shí)，郵件確實(shí)是對(duì)方發(fā)送過(guò)來(lái)的。”

DKIM不會(huì)完全消除電子郵件欺詐，但可以幫助被網(wǎng)絡(luò)釣魚(yú)者盯上的公司為客戶(hù)提供一種安全的方法，確保郵件確實(shí)是它們發(fā)過(guò)來(lái)的。

Olson說(shuō)：“如果收件人確信，聲稱(chēng)美國(guó)銀行發(fā)過(guò)來(lái)的某封電子郵件確實(shí)來(lái)自美國(guó)銀行，那么他們就用不著擔(dān)心有人企圖竊取自己的社會(huì)保障號(hào)碼了。”

DKIM結(jié)合了兩種協(xié)議：雅虎開(kāi)發(fā)的域名密鑰（DomainKeys）協(xié)議和思科開(kāi)發(fā)的互聯(lián)網(wǎng)郵件識(shí)別（Identified Internet Mail）協(xié)議。這兩家公司攜手其他郵件服務(wù)廠商和ISP，與IETF的DKIM工作組一起制訂技術(shù)規(guī)范，這些規(guī)范差不多已經(jīng)完成了。

Fenton說(shuō)：“DKIM是一項(xiàng)穩(wěn)定的規(guī)范，該規(guī)范得到了非常明確而全面的定義，它闡明了如何對(duì)郵件進(jìn)行簽名、如何證實(shí)簽名的真?zhèn)巍Ｋ浅４_定。”

IETF下設(shè)的DKIM工作組仍在修改發(fā)件人簽名實(shí)踐（Sender Signing Practices，SSP），這種文檔將描述發(fā)件人如何在DKIM記錄中提供信息，以便收件人可以用來(lái)決定對(duì)發(fā)件人發(fā)過(guò)來(lái)的郵件采取什么措施。

Olson解釋?zhuān)骸叭绻覍?duì)自己的所有郵件進(jìn)行簽名，你收到了一封郵件聲稱(chēng)是我發(fā)過(guò)來(lái)的，但未簽名，那么你可以認(rèn)定該郵件不是我發(fā)過(guò)來(lái)的。該策略將放在與發(fā)件人有關(guān)的DNS記錄里頭。眼下SSP草案有了第10個(gè)版本……我希望最終版本很快就會(huì)出臺(tái)。”

網(wǎng)絡(luò)廠商們聲稱(chēng)，業(yè)界已經(jīng)準(zhǔn)備好了部署DKIM。去年11月，20家ISP和郵件服務(wù)廠商對(duì)部署的DKIM進(jìn)行了互操作性測(cè)試。參與這次DKIM互操作性測(cè)試的廠商們表示，這項(xiàng)標(biāo)準(zhǔn)確實(shí)可行，目前沒(méi)有發(fā)現(xiàn)任何技術(shù)障礙。

Olson說(shuō)：“我們確實(shí)發(fā)現(xiàn)在某些情況下，需求建議書(shū)（RFC）需要作一些闡明。但測(cè)試表明，獨(dú)立開(kāi)發(fā)的多家廠商能夠在DKIM上做到協(xié)同工作。”

目前，許多廠商提供了符合DKIM的軟件和設(shè)備，其中包括Sendmail、IronPort、Alt-N Technologies、Message Systems、Port25 Solutions、StrongMail Systems等公司。

Fenton說(shuō)：“企業(yè)部署DKIM相當(dāng)容易，因?yàn)楝F(xiàn)在有足夠多的商用產(chǎn)品在支持DKIM。”

應(yīng)用如火如荼

目前，國(guó)際上一些企業(yè)正在加快采用DKIM的步伐，銀行、抵押公司和保險(xiǎn)公司更是如此。

認(rèn)證電子郵件服務(wù)商Goodmail會(huì)在今年5月份支持DKIM，該公司的全球業(yè)務(wù)開(kāi)發(fā)

主管Charles Stiles說(shuō)：“我認(rèn)為，DKIM會(huì)得到迅速采用。事實(shí)證明，該標(biāo)準(zhǔn)非常成功。世界上的一流人才都致力于此。它為我們提供了一種十分安全、防止欺詐的郵件驗(yàn)證方式。”

美國(guó)100大金融機(jī)構(gòu)組成的BITS組織去年建議：其成員應(yīng)當(dāng)在2008年10月之前全部采用DKIM。BITS還建議采用另外兩項(xiàng)標(biāo)準(zhǔn)來(lái)保護(hù)電子郵件的安全：一是傳輸層安全（TLS），用于對(duì)服務(wù)器之間傳輸?shù)碾娮余]件進(jìn)行加密；二是發(fā)件人身份框架（SIDF）或者發(fā)件人策略框架（SPF），用于證實(shí)收到的電子郵件確實(shí)來(lái)自某個(gè)域里面的授權(quán)郵件服務(wù)器。

Peterson說(shuō)：“BITS在這方面的作為，所有成員一致的步調(diào)，都具有巨大的影響力，讓人們對(duì)DKIM充滿(mǎn)了信心。我們之前從未見(jiàn)過(guò)這股強(qiáng)大的動(dòng)力。”

ISP們也在采用DKIM，原因是它們希望保護(hù)客戶(hù)遠(yuǎn)離間諜?quán)]件和網(wǎng)絡(luò)釣魚(yú)騙局。電子郵件發(fā)件人正在設(shè)法保護(hù)各自的品牌、身份，讓自己的客戶(hù)遠(yuǎn)離網(wǎng)絡(luò)釣魚(yú)騙局。

貝寶和eBay已聯(lián)合雅虎，運(yùn)用DKIM共同打擊網(wǎng)絡(luò)釣魚(yú)攻擊。貝寶和eBay正用DKIM對(duì)自己的郵件進(jìn)行簽名，而Yahoo Mail則將阻擋那些號(hào)稱(chēng)由eBay和貝寶發(fā)過(guò)來(lái)、卻沒(méi)有通過(guò)DKIM進(jìn)行簽名的電子郵件。

貝寶（隸屬eBay）的賬戶(hù)保護(hù)主管Mike Vergara說(shuō)：“eBay和貝寶一直在被詐騙犯和網(wǎng)絡(luò)釣魚(yú)者等各色各樣的人注意。我們的客戶(hù)看到，其實(shí)有太多電子郵件不是由我們發(fā)過(guò)來(lái)的。DKIM采用了一種好辦法：基于整個(gè)行業(yè)統(tǒng)一的標(biāo)準(zhǔn)。我們?yōu)樽约旱碾娮余]件添加了強(qiáng)驗(yàn)證機(jī)制，那樣客戶(hù)就能確信郵件確實(shí)是我們發(fā)過(guò)來(lái)的。而我們需要促使ISP采用這項(xiàng)標(biāo)準(zhǔn)，以便可以向他們表明：如果該郵件不是我們發(fā)過(guò)來(lái)的，請(qǐng)不要轉(zhuǎn)送。”

貝寶之前已部署了發(fā)件人策略框架（SPF），得到微軟支持的這項(xiàng)互補(bǔ)性標(biāo)準(zhǔn)是簡(jiǎn)單郵件傳輸協(xié)議（SMTP）的一種擴(kuò)展。貝寶現(xiàn)正在部署DKIM。SPF讓軟件可以拒絕接收偽造地址發(fā)過(guò)來(lái)的電子郵件。

Vergara說(shuō)，部署DKIM方面最困難的地方是，必須要搞清楚企業(yè)的電子郵件基礎(chǔ)設(shè)施，以便查明向客戶(hù)發(fā)送電子郵件的所有系統(tǒng)和域名。

他說(shuō)：“eBay或者貝寶沒(méi)有什么郵政局長(zhǎng)，因此，需要大量時(shí)間才能弄清楚我們?cè)诎l(fā)送的所有電子郵件，包括交易型電子郵件、營(yíng)銷(xiāo)型電子郵件、客戶(hù)支持型電子郵件等；另外還要弄清楚這些郵件是從地球上的哪個(gè)角落發(fā)過(guò)來(lái)的。我們花了12個(gè)月才搞清楚這個(gè)問(wèn)題。而部署電子郵件設(shè)備、升級(jí)到DKIM只用了幾周時(shí)間。”

他說(shuō)，DKIM發(fā)揮了作用。他表示，雅虎每天阻止的據(jù)稱(chēng)來(lái)自eBay或者貝寶、但由于未采用DKIM簽名而屬于非法的郵件多達(dá)幾十萬(wàn)封，有時(shí)多達(dá)上百萬(wàn)封。

如今，貝寶正與其他ISP進(jìn)行探討，說(shuō)服對(duì)方禁止eBay或者貝寶發(fā)過(guò)來(lái)、但未采用DKIM簽名的郵件。

Vergara說(shuō)：“我們靠自身的力量解決不了這個(gè)電子郵件欺詐問(wèn)題。我們正在竭力催促I(mǎi)SP行動(dòng)起來(lái)，幫助我們?yōu)槭褂梅?wù)的那些客戶(hù)解決這個(gè)問(wèn)題。”

DKIM也有其局限性。用DKIM對(duì)出站郵件進(jìn)行簽名的公司只有一小部分；而檢查入站郵件上的DKIM簽名的公司更是寥寥無(wú)幾。但這項(xiàng)技術(shù)的支持者希望，隨著各大ISP和銀行采用DKIM，這個(gè)問(wèn)題會(huì)得到解決。

“如果我對(duì)自己的所有郵件進(jìn)行簽名以保護(hù)自身品牌，可是收到郵件的人或者其ISP并未檢查簽名，那么這對(duì)收件人來(lái)說(shuō)沒(méi)什么兩樣。我充滿(mǎn)信心地認(rèn)為，今后一年，30%的公司會(huì)對(duì)郵件進(jìn)行簽名。雅虎和Gmail已經(jīng)采用DKIM。美國(guó)銀行和貝寶也一直非常支持。”Vergara說(shuō)。