论文总结——DKIM邮件协议的部署和管理情况研究

已于 2022-09-28 18:51:18 修改
阅读量1.3k 收藏 3
点赞数
分类专栏: 网络测量学 论文学习 文章标签: 网络 服务器 web安全
于 2022-08-10 14:14:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ohh24/article/details/126190459
版权
该论文详细介绍了DKIM邮件协议的背景、工作流程、部署情况和管理问题。研究发现,28.1%的Alexa前100万个域启用了DKIM,但2.9%存在管理不当。论文通过大规模数据收集和分析,揭示了DKIM密钥管理和签名的常见问题,并提供了在线测试工具以提升安全性。
摘要由CSDN通过智能技术生成

DKIM邮件协议的部署和管理情况研究

介绍

这是一篇来自USENIX Security 2022的论文,题目是《A Large-scale and Longitudinal Measurement Study of DKIM Deployment》,该论文做的是关于DKIM邮件协议的部署和管理情况的研究。

三种电子邮件身份认证协议

由于简单邮件协议(SMTP)缺少身份验证机制,IETF提出了三种电子邮件身份协议:

  1. 发件人策略框架(SPF):一种以IP地址认证电子邮件发件人身份的技术,接收邮件方会首先检查域名的SPF记录,来确定发件人的IP地址是否被包含在SPF记录里面,如果有,则认为是正确的邮件,否则会认为伪造的邮件并退回。
  2. 域密钥识别邮件(DKIM):通过消息加密认证的方式对邮件发送域名进行验证,邮件发送方发送邮件时,利用本域私钥加密邮件生成DKIM签名,将DKIM签名及其相关信息插入邮件头。邮件接收方接收邮件时,通过DNS查询获得公钥,验证邮件DKIM签名的有效性。从而确认在邮件发送的过程中,防止邮件被恶意篡改,保证邮件内容的完整性。
  3. 基于域的消息身份验证、报告和一致性(DMARC):是一种基于现有的SPF和DKIM协议的可扩展电子邮件认证协议,邮件收发双方建立了邮件反馈机制,便于邮件发送方和邮件接收方共同对域名的管理进行完善和监督。

论文贡献

  1. 对DKIM的部署和管理进行了首次大规模纵向测量研究,发现Alexa前100万个域中有28.1%启用了DKIM保护,其中2.9%管理不当。
  2. 发现DKIM密钥管理和DKIM签名问题在现实世界中非常普遍。
  3. 向受影响的电子邮件提供商报告漏洞,并提供在线DKIM测试工具,以提高DKIM部署的安全性。

背景

DKIM签名头和DKIM记录

DKIM签名头和DKIM DNS记录由多个标记=值对表示的不同信息元素组成。

DKIM签名头

DKIM签名头是DKIM签名不包括"b="标签的部分。DKIM签名在电子邮件中的示例如下。

DKIM-Signature:v=1;a=rsa-sha256;
c=relaxed/relaxed;s=s1;d=a.com;h=From:
To:Subject;l=200;bh=vFvy46eesudgj4s....;
b=IHEFQ+7rcisqsRBSEdd83....
参数 意义
a 用于生成DKIM签名的算法
c 消息规范化算法。默认值为“simple/simple”。simple不允许修改,relaxed允许常见修改
s 选择器,这是DKIM签名中的一个属性,允许在同一个域下使用多个密钥。电子邮件接收者使用此标记通过查询s1._domainkey.a.com获得公钥。
d 签名者的域
h h表示受签名保护的标头列表。必须包括“发件人”标题。
l 指示签名覆盖的电子邮件正文的字节数。
bh 由“l=”标记限制的消息规范化正文部分的哈希
b 整个电子邮件的实际数字签名,包括电子邮件正文和电子邮件标题。

DKIM记录

在DNS服务器上发布的DKIM记录示例如下。

v=DKIM1;k=rsa;h=sha256;
p=MIGfMA0GCSqGs......
参数 意义
k 密钥类型。默认类型为“rsa”
p 公钥。空值表示公钥已被吊销。该标记值由“k=”标记定义,然后在base64中进行编码。
h 可接受的散列算法。此标记是可选的,默认允许所有算法(例如SHA-1和SHA-256)。

DKIM工作流程

DKIM工作的流程主要有三部分:

  1. 域名所有者首先生成一对密钥,并通过DNS TXT记录公布公钥(即DKIM记录),其格式为selector._domainkey.example.com。举个例子,如果a.com的所有者将s1设置为selector,DKIM记录就通过s1._domainkey.a.com的TXT记录来设置。
  2. 发送服务计算三个哈希值:邮件正文的哈希值(body-hash),选定的邮件标题的哈希值(h-headers),以及整个邮件的哈希值(data-hash)。其中,data-hash由body-hash、h-headers和DKIMS签名头组成(不包括"b="标签的值)。然后,电子邮件服务将签名data-hash,并将结果作为 "b="标签的值。最后,电子邮件服务将在头块中插入DKIM签名,并将电子邮件发送给收件人。</
最低0.47元/天 解锁文章
Ohh24
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dns入门之DKIM记录
蛐蛐的博客
06-28 2175
1.简介 域密钥识别邮件 (DKIM) 是一种用于防止电子邮件欺骗的身份验证标准。 具体来说,DKIM 试图防止用于传送电子邮件的域的欺骗。 DKIM 采用了控制域的 DNS 记录的域所有者的概念。 在启用 DKIM情况下发送电子邮件时,发送服务器使用私钥对消息进行签名。 域所有者还会在发送域的 DNS 记录中添加一条 DKIM 记录。 此 TXT 记录将包含一个公钥,接收邮件服务器使用该公钥来验证邮件的签名。 从而允许收件人确信发件人的真实性。 2.流程 在发送消..
自建邮箱系统配置DKIM
上海云璨的博客
08-26 4869
DomainKeys Identified Mail(DKIM)是一种开放式协议,用于保护电子邮件用户免受电子邮件地址身份盗窃和电子邮件内容篡改。它通过提供签名者的身份识别以及利用 “哈希” 对邮件内容进行加密来实现这一点。 配置和使用DKIM:自建邮箱系统管理员为服务器创建私钥/公钥对,并在域的域名服务器中发布公钥。发送服务器使用私钥为每个外发邮件创建签名。生成的签名数据存储在消息中的 “DK...
postfix邮件服务器配置DKIM环境
weixin_33743703的博客
11-11 1120
1、DKIM介绍DKIM(DomainKeys Identified Mail),电子邮件验证标准——域名密钥识别邮件标准。采用DKIM能有效的提高信件发送的成功率。通常结合spf使用。2、实验环境说明系统:rhel 6.3邮件服务器:postfix 2.6.6, dovecot 2.0.9,cyrus-sasl 2.1.23DKIM 版本:2.8.3IP:10.40.212...
邮件系统DNS解析记录配置示例汇总-MX记录、A记录、SPF记录、DKIM记录、DMARC记录
最新发布
sdexcel的专栏
07-13 931
一套邮件系统,当其在公网上为广大用户提供邮件的发送与接收服务时,其核心功能之一即是确保邮件能够准确无误地抵达目标地址。为了实现这一目标,邮件系统不仅需要高效稳定的内部运行机制,更需依赖于外部网络服务的支持,其中DNS服务便是不可或缺的一环。DNS服务不仅负责将人们易于记忆的域名转换为计算机能够理解的IP地址,还在邮件传输过程中扮演着至关重要的角色。本文主要围绕邮件系统可能涉及的DNS记录及其设置方法展开详细阐述。
DKIM
weixin_44669829的博客
10-01 1266
DKIM
什么是 DNS DKIM 记录?
Hello
10-11 1664
DKIM 记录是专门的 DNS TXT 记录,存储用于验证电子邮件真实性的公钥。
Go-go-dkim-一个Go语言的DKIM库用于签名和验证电子邮件
08-13
Go-dkim是用Go语言编写的一个强大的库,专门用于实现DKIM(DomainKeys Identified Mail)协议,该协议旨在增强电子邮件安全性,防止邮件伪造。通过在邮件头添加数字签名,DKIM能确保邮件的完整性和来源的真实性。...
基于ASP的反垃圾邮件管理系统的设计(源代码+论文).zip
01-26
《基于ASP的反垃圾邮件管理系统的设计》是一份深入探讨如何构建高效、实用的反垃圾邮件系统...通过研究这个系统,不仅可以学习到ASP编程,还能深入了解反垃圾邮件的策略和技术,对提升网络安全邮件管理技能大有裨益。
dkim:用于管理DKIM标头的Pure Go工具
05-27
这是我编写的DKIM签名消息的纯Go工具的集合,并在我的9front邮件服务器上进行了验证。 它们应该很容易合并到可以沿stdin传递消息并从stdout读取消息的任何管道中。 验证DKIM签名 dkimverify工具将验证邮件是否具有...
Python-verifyemail用于检查DKIM的工具在电子表格中签名许多电子邮件和报告结果
08-10
Python-verifyemail是一个用于验证电子邮件DKIM(DomainKeys Identified Mail)签名的工具,它能够帮助开发者或邮件系统管理员批量处理电子邮件的验证,并将结果以电子表格的形式报告出来。这个工具对于确保邮件的...
邮件服务器DNS设置(MX、SPF、DKIM)记录详解
07-26
DNS记录,需要你到你的域名托管商那里进行设置或者你自己管理DNS服务器。不少域名托管商不支持txt记录或者不支持DKIM记录,所以你就无法使用SPF和DKIM的功能。 DNS的修改,需要48小时以上才能生效。 国内的万网是不支持DKIM,目前新网是支持SPF和DKIM
邮件服务器DNS设置-----MX、SPF、DKIM记录详解
热门推荐
mal327的专栏
08-19 7万+
邮件服务器的DNS设置 DNS记录,需要你到你的域名托管商那里进行设置或者你自己管理DNS服务器。不少域名托管商不支持txt记录或者不支持DKIM记录,所以你就无法使用SPF和DKIM的功能。 DNS的修改,需要48小时以上才能生效。 国内的万网是不支持DKIM,目前新
邮件相关的DNS记录类型(MX/SPF/DKIM/DMARC)
咻咻咻的博客
06-13 759
是一种电子邮件认证方法,用于验证邮件是否来自被授权的邮件服务器,并且邮件内容在传输过程中没有被篡改。MX记录本身没有安全性保护,但可以结合其他DNS记录和安全协议(如SPF、DKIM、DMARC等)提高电子邮件系统的安全性,防止伪造和未授权的邮件发送。即使一个机制验证失败,另一个机制的成功验证也可以让邮件通过。○ DKIM对齐:DKIM对齐检查邮件的签名域(d=标签中的域名)与From头部中的域名是否匹配。○ SPF对齐:SPF对齐检查邮件的MAIL FROM域名与From头部中的域名是否匹配。
什么是 SPF 和 DKIM 记录?为什么它们对域名很重要?
Zoho_Mail的博客
02-26 1143
网站和基于域名的自定义电子邮件地址无疑是业务的两个最重要的代表。尽管现在有多种方式可以联系您的业务和个人联系人,但电子邮件仍然是一种最可靠和合法的通信方式。电子邮件的成功传递在很大程度上取决于它是否能准确地送达给目标收件人。
Domino中和邮件安全有关的SPF、DKIM介绍
XZZ_2018的博客
11-03 543
Domino中和邮件安全有关的SPF、DKIM介绍
hMailServer 配置DKIM详细步骤教程(含下载安装OpenSSL、VC++2008及相关设置)
老油条
06-24 5175
DKIM,是DomainKeys Identified Mail的缩写。意思是电子邮件验证标准——域名密钥识别邮件标准。 我们可以使用DKIM先加密签名,hMailServer会自动将签名插入至要发的邮件上,此签名会域名关联(域名会设置一个txt记录存放加密公钥)。有签名的邮件发送至收件人时,收件人就能通过签名和域名txt记录里的公钥来验证真实性。如果没有DKIM,那么收件方服务器会将邮件标识为垃圾邮件,放入垃圾箱。 啰嗦了一下,下面进入实战。 一、安装Visual C++ 200...
电子邮件欺诈防护之 SPF+DKIM+DMARC
javagty6778的博客
03-19 1万+
PoC:php?后面检查了一下,发现确实是这样子,我们的电子邮件没有加上对应的安全检查,很容易被别人冒发,从而有可能对我们的用户造成严重的电子邮件欺诈。通过 SPF + DKIM + DMARC, 我们的站点可以很好的解决电子邮件欺诈的问题了。
理解邮件协议:SMTP、POP3、IMAP与PHP邮件发送
邮件协议及php发送邮件 - 张亚坤原创分享” ...总结来说,理解邮件协议及其工作原理对于开发和维护一个有效的电子邮件系统至关重要。同时,掌握如何利用PHP这样的编程语言发送邮件Web开发中的一项基本技能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值