E-Mail-Authentifikation

E-Mail-Authentifikation, oder Validierung, ist eine Sammlung von Techniken, die darauf abzielen, überprüfbare Informationen über den Ursprung von E -Mail -Nachrichten zu liefern, indem die Validierung des Domain -Besitz von jedem Nachrichtenübertragungsagenten (MTA), der an der Übertragung und möglicherweise an der Änderung einer Nachricht teilnahm.

Die ursprüngliche Basis der Internet -E -Mail, Simple Mail Transfer Protocol (SMTP) hat keine solche Funktion, so dass gefälschte Absenderadressen in E -Mails (eine Praxis bekannt als E -Mail -Spoofing) wurden in großem Umfang verwendet in Phishing, E -Mail -Spamund verschiedene Arten von Betrug. Um dies zu bekämpfen, wurden viele konkurrierende E -Mail -Authentifizierungsvorschläge entwickelt, aber erst in jüngster Zeit wurden drei weit verbreitet - - Spf, DKIM und Dmarc.[1][2] Die Ergebnisse einer solchen Validierung können automatisiert verwendet werden E -Mail -Filterungoder kann Empfänger bei der Auswahl einer geeigneten Aktion unterstützen.

Dieser Artikel behandelt den Benutzer nicht Authentifizierung von E -Mail -Einreichung und -Aber.

Begründung

In den frühen 1980er Jahren, wann Simple Mail Transfer Protocol (SMTP) wurde entworfen, das keine wirkliche Überprüfung des Sendens von Benutzern oder Systemen zur Verfügung gestellt wurde. Dies war kein Problem, während E -Mail -Systeme von vertrauenswürdigen Unternehmen und Universitäten betrieben wurden, aber seit der Vermarktung des Internets Anfang der neunziger Jahre,, Spam, Phishingund andere Verbrechen beinhalten zunehmend E -Mails.

Die E -Mail -Authentifizierung ist ein notwendiger erster Schritt, um den Ursprung von Nachrichten zu identifizieren und dadurch Richtlinien und Gesetze durchsetzbarer zu gestalten.

Das Abhören von Domain -Besitz ist eine Haltung, die Anfang 2000 entstanden ist.[3][4] Es impliziert eine grobkörnige Authentifizierung, da Domänen nach dem richtigen Teil der E-Mail-Adressen erscheinen bei Zeichen. Fein-Korn-Authentifizierung auf Benutzerebene kann auf andere Weise erreicht werden, wie z. Sehr Gute Privatsphäre und S/mime. Momentan, Digitale Identität muss von jedem Einzelnen verwaltet werden.

Eine herausragende Begründung für die E -Mail -Authentifizierung ist die Möglichkeit, die E -Mail -Filterung bei empfangenden Servern zu automatisieren. Auf diese Weise können gefälschte Nachrichten abgelehnt werden, bevor sie zum Posteingang eines Benutzers ankommen. Während Protokolle sich bemühen, Wege zu entwickeln, um misstraute Mails zuverlässig zu blockieren, können Sicherheitsindikatoren nicht authentifizierte Nachrichten markieren, die immer noch den Posteingang erreichen. Eine Studie aus dem Jahr 2018 zeigt, dass Sicherheitsindikatoren das Klickverhältnis um mehr als zehn Punkte, 48,9% bis 37,2% der Benutzer, die gefälschte Nachrichten öffnen, senken können.[5]

Art des Problems

SMTP definiert die Nachricht Transport, nicht die Nachricht Inhalt. So definiert es die Mail Umschlag und seine Parameter wie die Umschlagabsender, aber nicht der Kopfball (außer Verfolgungsinformationen) noch der Körper der Botschaft selbst. Std 10 und RFC 5321 SMTP (die Umschlag) definieren, während STD 11 und RFC 5322 Definieren Sie die Nachricht (Header und Körper), die formell als die bezeichnet wird Internet -Nachrichtenformat.

SMTP definiert die Verfolgungsinformationen einer Nachricht, die im Kopf mit den folgenden zwei Feldern gespeichert wird:[6]

  • Erhalten: Wenn ein SMTP -Server eine Nachricht akzeptiert, fügt er diesen Trace -Datensatz oben im Header (zuerst zuerst) ein.
  • Der Weg zurück: Wenn der SMTP -Server der Lieferung das macht letzte Lieferung Von einer Nachricht fügt sie dieses Feld oben im Header ein.

A E -Mail -Benutzer -Agent (Mua) kennt das ausgehende e-Mail SMTP -Server aus seiner Konfiguration. Ein MTA (oder ein Relaisserver) bestimmt normalerweise, auf welchen Server eine Verbindung hergestellt werden soll, indem Sie die nachschlagen Mx (Mail Exchange) DNS Ressourcenaufzeichnung für jedes Empfänger Domainname.

Der unten dargestellte Weg kann auf dem Boden der Rekonstruktion rekonstruiert werden Spurenkopffelder Damit jeder Host den Kopfzeile oben auf dem Kopf fügt, wenn er die Nachricht empfängt:[6]

Die E -Mail -Authentifizierung kann durch das Vorhandensein eines Zwischenrelais kompliziert werden. A und B gehört eindeutig zur Verwaltungsverwaltungsdomäne des Autors D und E sind Teil des Empfängernetzwerks. Welche Rolle spielt C abspielen?
Der Weg zurück:  Erhalten: aus D.example.org durch E. example.org mit SMTP; Di, 05. Februar 2013 11:45:02 -0500 Erhalten: aus C.example.net durch D.example.org mit SMTP; Di, 05. Februar 2013 11:45:02 -0500 Erhalten: aus B.example.com (B.example.com [192.0.2.1]))   durch C.example.net (die ist mich) mit Esmtp Ich würde 936ADB8838C   zum ; Di, 05. Februar 2013 08:44:50 -0800 (PST) Erhalten: aus A.example.com durch B.example.com mit SMTP; Di, 05. Februar 2013 17:44:47 +0100 Erhalten: aus [192.0.2.27] durch A.example.com mit SMTP; Di, 05. Februar 2013 17:44:42 +0100 

Es ist wichtig zu erkennen, dass die ersten Zeilen oben im Kopf normalerweise vom Empfänger vertraut werden. Tatsächlich werden diese Zeilen von Maschinen in der Verwaltungsverwaltungsdomäne des Empfängers geschrieben (Domäne des Empfängers (Admd), die auf sie oder sein explizites Mandat reagieren. Im Gegensatz dazu beweisen die Linien, die die Beteiligung von beweisen A und Bsowie des angeblichen Autors des Autors Mua könnte eine Fälschung sein, die von erstellt wurde durch C. Das Erhalten: Das oben gezeigte Feld ist ein epochempfindliches Stück des Headers. Das Der Weg zurück: ist geschrieben von E, das Mail -Liefervertreter (MDA), basierend auf der Nachricht Umschlag. Zusätzliche Spurenfelder, die für die E -Mail -Authentifizierung ausgelegt sind, können die Oberseite des Headers füllen.

Normalerweise gehen Nachrichten, die von der ADMD eines Autors gesendet werden Mx (das ist B → d in den Abbildungen). Der ADMD des Absenders kann nur dann Authentifizierungs -Token hinzufügen, wenn die Nachricht ihre Felder durchläuft. Die häufigsten Fälle können wie folgt schematisiert werden:

Eine schematische Darstellung der häufigsten Möglichkeiten, wie eine E -Mail -Nachricht vom Autor an ihren Empfänger übertragen wird.

Senden aus dem ADMD -Netzwerk (MUA 1)

  • Die Admds MSA authentifiziert den Benutzer, entweder basierend auf seinem IP Adresse oder einige andere SMTP -Authentifizierung. Abhängig von der Empfängeradresse kann die Nachricht dem normalen Pfad folgen oder eine Mailingliste oder einen Weiterleitungsdienst übergeben.[Anmerkung 1] B Kann ein Ausgangspunkt sein SMTP -Proxy oder ein Smarthost.[Anmerkung 2]
  • Wenn das lokale Netzwerk nicht ausgehende Port 25 Verbindungen blockiert,[Notiz 3] Der Benutzer kann eine "Direct-to-MX" -Software bereitstellen.[Anmerkung 4] Typischerweise, Zombies und andere bösartige Gastgeber verhalten sich so.
  • Wenn die MUA schlecht konfiguriert ist, kann sie auch ein anderes Relais verwenden, z. B. ein veraltet offenes RelaisDas authentifiziert den Benutzer oft nicht.

Roaming -Benutzer (MUA 2)

  • In den meisten Fällen ist es immer noch möglich, die eigene ADMD -MSA zu verwenden.[Anmerkung 5]
  • Ausgehende Verbindungen zu Port 25 können abgefangen und zu einem transparenten Proxy abgehalten werden.[Anmerkung 4]
  • Ein MUA kann für die Verwendung eines SMTP -Relais konfiguriert werden, das der lokale Netzwerkanbieter als Bonus anbietet.[Anmerkung 4]

Getrennter Benutzer

  • Ein E-Card kann E -Mail im Namen eines Kunden senden, der E -Mail -Adressen auf der örtlichen Tastatur eingegeben hat. etwas Webformen kann in Betracht gezogen werden, ähnlich zu funktionieren.[Anmerkung 4]

Abschnittsnotizen

  1. ^ Zum Beispiel kann ein Empfänger unterweisen Google Mail Nachrichten an eine andere E -Mail -Adresse weiterleiten. Der Absender ist sich dessen nicht unbedingt bewusst.
  2. ^ Ordnungsgemäß konfigurierte Proxys erscheinen als Teil des Autors ADMD.
  3. ^ Einige ADMDS blockieren die Outbound -Verbindung zu Port 25 (SMTP), um dies zu vermeiden. Diese proaktive Technik ist in RFC 5068 beschrieben. Darüber hinaus blockieren einige eingehende SMTP -Verbindungen von Block Ips aufgeführt als Dialup/DSL/Kabel.
  4. ^ a b c d In diesem Fall ist der ADMD des Autors überhaupt nicht beteiligt.
  5. ^ Einige ISPs Block -Port 587, obwohl RFC 5068 eindeutig lautet:

    Zugriffsanbieter dürfen Benutzer nicht mit dem Einreichungsport 587 auf das externe Internet zugreifen.

Authentifizierungsmethoden bei der weit verbreiteten Verwendung

Spf

SPF authentifiziert die Absender -IP -Adresse.

SPF ermöglicht dem Empfänger zu überprüfen, ob eine E -Mail, die behauptet, aus einer bestimmten Domäne stammt, von einer IP -Adresse stammt, die von den Administratoren dieser Domäne autorisiert wurde. Normalerweise genehmigt ein Domänenadministrator die IP -Adressen, die von seinen eigenen ausgehenden MTAs verwendet werden, einschließlich aller Proxy oder Smarthost.[7][8]

Die IP -Adresse des sendenden MTA ist garantiert von der gültig Transmissionskontrollprotokoll, wie sie die Verbindung herstellt, indem er prüft, ob der Remote -Host erreichbar ist.[9] Der empfangende Mailserver empfängt die Helo SMTP Befehl kurz nach der Einrichtung der Verbindung und a Mail von: Zu Beginn jeder Nachricht. Beide können einen Domain -Namen enthalten. Der SPF -Verifizierer fragt die ab Domainnamensystem (DNS) Für einen passenden SPF -Datensatz, der die vom Administrator dieser Domäne autorisierten IP -Adressen angeben. Das Ergebnis kann "passieren", "scheitern" oder ein Zwischenergebnis - und Systeme berücksichtigen dies im Allgemeinen in ihrer Anti -Spam -Filterung.[10]

DKIM

DKIM authentifiziert Teile des Nachrichteninhalts.

DKIM überprüft die Nachrichteninhalt, Bereitstellung digitale Signaturen. Anstatt digitale Zertifikate zu verwenden, werden die Schlüssel zur Signaturverifizierung über den DNS verteilt. Auf diese Weise wird eine Nachricht einem Domain -Namen zugeordnet.[11]

Ein DKIM-konforme Domänenadministrator generiert ein oder mehrere Paare von Asymmetrische Schlüsselund übergibt dann private Schlüssel an die Signiermeldung und veröffentlicht öffentliche Schlüssel auf dem DNS. Die DNS -Etiketten sind strukturiert als selector._domainkey.example.com, wo Wähler identifiziert das Schlüsselpaar und _domainkey ist ein festes Schlüsselwort, gefolgt vom Namen der Unterzeichnungsdomäne, damit die Veröffentlichung unter der Befugnis des ADMD dieser Domäne erfolgt. Kurz bevor die Signiermeldung eine Nachricht in das SMTP -Transportsystem injiziert, erstellt sie eine digitale Signatur, die ausgewählte Felder des Headers und des Körpers abdeckt (oder erst an Anfang). Die Signatur sollte inhaltliche Headerfelder wie z. Aus:, Zu:, Datum:, und Thema:und wird dann dem Nachrichtenheader selbst als Spurenfeld hinzugefügt. Eine beliebige Anzahl von Relais kann die Nachricht empfangen und weiterleiten, und bei jedem Hopfen kann die Signatur überprüft werden, indem der öffentliche Schlüssel aus dem DNS abgerufen wird.[12] Solange Zwischenrelais die signierten Teile einer Nachricht nicht ändern, bleiben die DKIM-Signaturen gültig.

Dmarc

DMARC ermöglicht die Spezifikation einer Richtlinie für authentifizierte Nachrichten. Es ist auf zwei bestehenden Mechanismen gebaut, Absender -Richtlinienrahmen (SPF) und Domainkeys identifizierte Mail (DKIM).

Es ermöglicht dem Verwaltungsbesitzer einer Domain, eine Richtlinie in ihrer Veröffentlichung zu veröffentlichen DNS Aufzeichnungen zur Angabe, welcher Mechanismus (DKIM, SPF oder beides) beim Senden von E -Mails aus dieser Domäne verwendet wird. So überprüfen Sie die Aus: Feld vorgelegt für Endbenutzer; Wie der Empfänger mit Fehlern umgehen sollte - und einen Berichtsmechanismus für Maßnahmen, die unter diesen Richtlinien ausgeführt werden.

Andere Methoden

Es wurden eine Reihe anderer Methoden vorgeschlagen, sind aber jetzt entweder veraltet oder haben noch keine weit verbreitete Unterstützung erhalten. Diese haben eingeschlossen Absenderidentität, Zertifizierte Servervalidierung, Domainkeys und die folgenden:

ADSP

ADSP erlaubte die Spezifikation einer Richtlinie für Nachrichten, die von der Domäne des Autors unterzeichnet wurden. Eine Nachricht musste zuerst die DKIM -Authentifizierung durchgehen, dann konnte ADSP eine Bestrafungsbehandlung verlangen, wenn die Nachricht nicht von der Autor -Domäne unterzeichnet wurde - wie gemäß der Aus: Headerfeld.[13]

ADSP wurde im November 2013 zu historisch herabgestuft.[14]

Vbr

VBR fügt einer bereits authentifizierten Identität eine Bürge hinzu. Diese Methode erfordert einige global anerkannte Behörden, die den Ruf von Domänen zertifizieren.

Ein Absender kann eine Referenz bei einer Guthabenbehörde beantragen. Die Referenz wird, falls dies akzeptiert, in der DNS -Zweigstelle veröffentlicht, die von dieser Behörde verwaltet wird. Ein bürgerter Absender sollte a hinzufügen VBR-Info: Header -Feld zu den gesendeten Nachrichten. Es sollte auch eine DKIM -Signatur hinzufügen oder eine andere Authentifizierungsmethode wie SPF verwenden. Ein Empfänger kann nach der Validierung der Identität des Absenders die in beanspruchte Bürde überprüfen VBR-Info: Durch die Nachschlagen der Referenz.[15]

iprev

Anwendungen sollten vermeiden, diese Methode als Authentifizierungsmittel zu verwenden.[16] Trotzdem wird es oft ausgeführt und seine Ergebnisse, falls vorhanden, geschrieben in der Erhalten: Headerfeld neben den TCP -Informationen, die von der SMTP -Spezifikation erforderlich sind.

Die IP -Reverse, die durch die Überprüfung der IP -Adresse des gerade gefundenen Namens bestätigt wurde, ist nur ein Hinweis darauf, dass die IP im DNS ordnungsgemäß eingerichtet wurde. Das Rückauflösung von einer Reihe von IP -Adressen kann an den ADMD delegiert werden, der sie verwendet,[17] oder kann vom Netzwerkanbieter verwaltet bleiben. Im letzteren Fall kann keine nützliche Identität in Bezug auf die Nachricht erhalten werden.

DNSWL

Nachschlagen a DNSWL (DNS-basierte Whitelist) kann eine Bewertung des Absenders vorlegen, möglicherweise einschließlich seiner Identifizierung.

Authentifizierungsergebnisse

RFC 8601 definiert ein Trace -Header -Feld Authentifizierungsergebnisse: Wenn ein Empfänger die Ergebnisse von E -Mail -Authentifizierungsprüfungen aufzeichnen kann, die er durchgeführt hat.[16] Mehrere Ergebnisse für mehrere Methoden kann im selben Feld gemeldet werden, durch Semikolonen getrennt und gegebenenfalls eingewickelt werden.

Zum Beispiel wird das folgende Feld angeblich geschrieben von receiver.example.org und Berichte Spf und DKIM Ergebnisse:

Authentifizierungsergebnisse: receiver.example.org;  SPF = Pass SMTP.MAILFROM=Beispiel.com;  dkim = pass [email protected] 

Das erste Token nach dem Feldnamen, receiver.example.org, ist die ID des Authentifizierungsservers, ein Token, das als ein bekannt ist AuthServ-id. Ein Empfänger, der RFC 8601 unterstützt, ist dafür verantwortlich, falsche Header zu entfernen (oder umzubenennen), die behauptet, zu seiner Domäne zu gehören, damit nachgelagerte Filter nicht verwechselt werden können. Diese Filter müssen jedoch noch konfiguriert werden, da sie wissen müssen, welche Identitäten die Domäne verwenden kann.

Für einen Mail -Benutzeragenten (MUA) ist es etwas schwieriger zu erfahren, welchen Identitäten es vertrauen können. Da Benutzer E -Mails von mehreren Domänen erhalten können -z. B., wenn sie mehrere E -Mail -Adressen haben -kann eine dieser Domänen zulassen Authentifizierungsergebnisse: Felder gehen durch, weil sie neutral aussahen. Auf diese Weise kann ein böswilliger Absender eine schmieden AuthServ-id Dass der Benutzer vertrauen würde, wenn die Nachricht von einer anderen Domäne angekommen ist. Ein legitim Authentifizierungsergebnisse: Normalerweise erscheint knapp über a Erhalten: Feld durch die gleiche Domäne, aus der die Nachricht weitergeleitet wurde. Zusätzlich Erhalten: Felder können zwischen dieser und der Oberseite des Headers erscheinen, da die Nachricht intern zwischen Servern übertragen wurde, die demselben gehören, vertrauenswürdige ADMD.

Das Internet zugewiesene Zahlen Autorität behält ein Register von E -Mail -Authentifizierungsparameter. Nicht alle Parameter müssen jedoch registriert werden. Beispielsweise kann es lokale "Richtlinien" -Werte geben, die nur für den internen Gebrauch einer Website entwickelt wurden, die der lokalen Konfiguration entsprechen und keine Registrierung benötigen.

Siehe auch

Verweise

  1. ^ Hu hu; Peng Peng; Gang Wang (2017). "Auf dem Weg zur Einführung von Anti-Spoofing-Protokollen". Arxiv:1711.06654 [cs.cr].
  2. ^ Kerner, Sean Michael. "DMARC -E -Mail -Sicherheit Adoption wächst in der US -Regierung". Eweek. Abgerufen 24. November 2018.
  3. ^ "E -Mail -Authentifizierungsgipfel". Werkstatt. Federal Trade Commission. 9. bis 10. November 2004. Archiviert aus dem Original am 3. Juni 2012. Abgerufen 4. Februar 2013. Der Bericht identifizierte jedoch die Authentifizierung auf Domänenebene als vielversprechende technologische Entwicklung{{}}: CS1 Wartung: Ungeeignete URL (Link)
  4. ^ Michael Hammer (14. August 2020). "Autorisierung von Drittanbietern". DMARC-ITF (Mailingliste). Abgerufen 14. August 2020.
  5. ^ Hu hu; Gang Wang (15. August 2018). "End-to-End-Messungen von E-Mail-Spoofing-Angriffen". 27. Usenix Sicherheitssymposium.
  6. ^ a b John Klensin (Oktober 2008). "Trace -Informationen". Simple Mail Transfer Protocol. Ietf. Sek. 4.4. doi:10.17487/rfc5321. RFC 5321. Abgerufen 1. Februar 2013. Wenn der SMTP -Server eine Nachricht entweder zum Relais oder zur endgültigen Lieferung akzeptiert, fügt er einen Trace -Datensatz (auch als "Zeitstempelzeile" oder "empfangene" Zeile an der Spitze der E -Mail -Daten ein. Dieser Trace -Datensatz zeigt die Identität des Hosts an, der die Nachricht gesendet hat, die Identität des Hosts, der die Nachricht erhalten hat (und diese Zeitstempel einfügt) und das Datum und die Uhrzeit, die die Nachricht empfangen wurde. Relayed -Nachrichten haben mehrere Zeitstempelzeilen.
  7. ^ Scott Kitterman (April 2014). Absender Richtlinien Framework (SPF) zur Genehmigung der Verwendung von Domänen in E-Mail, Version 1. Ietf. doi:10.17487/rfc7208. RFC 7208. Abgerufen 26. April 2014. Es gibt drei Orte, an denen Techniken verwendet werden können, um unbeabsichtigte SPF -Fehler bei Mediatoren zu verbessern.
  8. ^ J. Klensin (Oktober 2008). "Alias". Simple Mail Transfer Protocol. Ietf. Sek. 3.9.1. doi:10.17487/rfc5321. RFC 5321. Abgerufen 15. Februar 2013.
  9. ^ IP -Adress -Fälschung ist möglich, beinhaltet jedoch im Allgemeinen ein geringes Maß an kriminellem Verhalten (Brechen und Eingeben, Abhörpenden usw.), die für einen typischen Hacker oder Spammer oder unsicheren Servern zu riskant sind, die RFC 1948 nicht implementieren, siehe auch siehe auch Übertragungssteuerungsprotokoll#Verbindungsentanfuhr.
  10. ^ Scott Kitterman (21. November 2009). "Wie zuverlässig ist es, auf SPF -Fail zu blockieren/abzulehnen?". SPF-Help. Gossamer-threads.com. Ich denke, es ist im Allgemeinen in Ordnung, solange Sie einen Mechanismus für die Whitelisting von Nicht-SRS-Spediteuren anbieten.
  11. ^ D. Crocker; T. Hansen; M. Kucherawy, Hrsg. (September 2011). Domainkeys identifizierte Mail -Signaturen (DKIM). Ietf. doi:10.17487/rfc6376. RFC 6376. Abgerufen 18. Februar 2013. Domainkeys identifiziert Mail (DKIM) ermöglicht es einer Person, Rolle oder Organisation, eine Verantwortung für eine Nachricht zu übernehmen, indem er einen Domänennamen mit der Nachricht verbindet, die sie verwenden sollen.
  12. ^ Dave Crocker (16. Oktober 2007). "DKIM stellte häufig Fragen". Dkim.org. Abgerufen 17. Februar 2013.
  13. ^ E. Allman; J. Fenton; M. Delany; J. Levine (August 2009). Domainkeys identifizierte Mail (DKIM) Author Domain Signing Practices (ADSP). Ietf. doi:10.17487/rfc5616. RFC 5616. Abgerufen 18. Februar 2013.
  14. ^ Barry Leiba (25. November 2013). "Ändern Sie den Status von ADSP (RFC 5617) in historisches".. Ietf.
  15. ^ P. Hoffman; J. Levine; A. Hathcock (April 2009). Bürgen durch Bezugnahme. Ietf. doi:10.17487/rfc5518. RFC 5518. Abgerufen 18. Februar 2013.
  16. ^ a b Murray Kucherawy (August 2015). Nachrichtenheaderfeld zum Anzeigen der Nachrichtenauthentifizierungsstatus. Ietf. doi:10.17487/rfc7601. RFC 7601. Abgerufen 30. September 2015.
  17. ^ H. Eidnes; G. de Groot; P. Vixie (März 1998). Klassenlos in-addr.arpa-Delegation. Ietf. doi:10.17487/rfc2317. RFC 2317. Abgerufen 18. Februar 2013.