基于加密的邮件认证机制

yudi669

DKIM(Domainkeys Identified Mail，邮件域名密钥验证) 是由雅虎与思科公司合作发表的邮件认证技术，已被IETF发布为一种正式标准。DKIM提供基于公钥加密机制的数字签名技术来验证邮件的发送域，阻挡钓鱼邮件，并能保证邮件内容的完整性，防止邮件在投递过程中被恶意篡改。DKIM要求发件域部署一到多对公私钥。私钥存储在本域的外发邮件服务器中，用于签名邮件；公钥通过DNS或其它第三方服务器对外发布。DKIM邮件服务器发送邮件时，利用本域的私钥签名邮件，生成DKIM-Signature签名头并插入到邮件头中，签名头中包括了DKIM签名以及邮件接收方验证签名所需的属性。DKIM 收件服务器接收邮件时， 从邮件中取出DKIM-Signature头，并根据签名头中的信息获取邮件发送方的公钥，验证DKIM签名的有效性。DKIM是一种端到端的认证技术，如果邮件投递链中合法的中间邮件系统，比如邮件列表服务，对邮件内容进行了修改，会使得原始邮件发送方对邮件的签名不再有效，导致DKIM认证失败。DKIM建议合法的中间邮件系统如有需要可以重新签名转发的邮件。另外，相对于SPF与SIDF，DKIM对邮件服务器的性能要求较高。
BATV
BATV(Bounce Address Tag Validation，反弹地址标记验证) 用HMAC-SHA-1签名算法来验证反弹邮件的合法性。具体工作过程是：邮件服务器生成并插入一个标记到外发邮件的Mail From地址的<local-part>中，标记中包括标记序列号、时间戳、以及对邮件原Mail From地址的数字签名；对于所有接收的反弹邮件，则检测邮件Rcpt To地址中的标记，如果地址不包含BATV标记，或标记中的签名验证失败，则会作为非法的反弹邮件被拒收。BATV利用信封地址验证反弹邮件，可以节省网络带宽，减轻服务器负荷。BATV技术也是一种轻量级的认证技术，实现该技术的邮件服务器不需要其他服务器的协作，就能对非法的反弹邮件实施过滤。BATV也存在某些缺陷。由于插入到Mail From地址中的标记与邮件的正文不存在必要的联系，因而BATV易受邮件重放攻击。BATV还会与一些邮件服务或反垃圾邮件技术（比如挑战/响应系统、灰名单技术、以及某些邮件列表服务等）产生冲突。
SRS
SRS(Sender Rewriting Scheme，发件人重写方案)主要用于对现有的邮件转寄机制进行修改，使得转寄的邮件能通过SPF验证，同时该技术也具有与BATV相似的功能和特点，可以用于验证反弹邮件。图1的架构中，邮件服务器B如果使用SRS ， 邮件Mail From地址a@a.com 会被改写为SRS0=HHH=TT=a.com = a@b.com，其中：SRS0为标识符，HHH表示服务器用HMAC-SHA-1算法所生成的数字签名，TT为表示时间戳。重写了Mail From地址的邮件转寄给邮件服务器C后，能顺利通过SPF验证。另一方面，当邮件服务器B接收一封反弹邮件时，可以通过Rcpt To地址中包含SRS标记来验证反弹邮件的合法性。