Email аутентификация - Email authentication

Email аутентификация, или же Проверка, представляет собой набор методов, направленных на предоставление проверяемой информации о происхождении сообщений электронной почты путем проверки владение доменом любой агенты передачи сообщений (MTA), который участвовал в передаче и, возможно, изменении сообщения.

Исходная база электронной почты в Интернете, Простой протокол передачи почты (SMTP), не имеет такой функции, поэтому поддельные адреса отправителей в электронных письмах (практика, известная как подмена электронной почты ) широко использовались в фишинг, электронный спам, и различные виды мошенничества. Для борьбы с этим было разработано множество конкурирующих предложений по аутентификации электронной почты, но лишь сравнительно недавно три получили широкое распространение: SPF, DKIM и DMARC.[1][2] Результаты такой проверки могут быть использованы в автоматизированных фильтрация электронной почты или может помочь получателям выбрать подходящее действие.

Эта статья не распространяется на пользователя аутентификация отправки и поиска электронной почты.

Обоснование

В начале 1980-х, когда Простой протокол передачи почты (SMTP) был разработан, он не предусматривал реальной проверки отправителя пользователя или системы. Это не было проблемой, пока системы электронной почты управлялись надежными корпорациями и университетами, но поскольку коммерциализация Интернета в начале 1990-х, спам, фишинг, и другие преступления все чаще связаны с электронной почтой.

Аутентификация электронной почты - необходимый первый шаг на пути к определению источника сообщений и, таким образом, к обеспечению большей юридической силы политик и законов.

Ставка на владение доменом возникла в начале 2000 года.[3][4] Он подразумевает грубую аутентификацию, учитывая, что домены появляются в правой части адресов электронной почты после в знак. Детальная аутентификация на уровне пользователя может быть достигнута другими способами, такими как Довольно хорошая конфиденциальность и S / MIME. В настоящий момент, цифровая идентичность должен управляться каждым человеком.

Выдающимся аргументом в пользу аутентификации электронной почты является возможность автоматизировать фильтрацию электронной почты на принимающих серверах. Таким образом, поддельные сообщения могут быть отклонены до того, как они попадут в почтовый ящик пользователя. В то время как протоколы стремятся разработать способы надежной блокировки недоверенной почты, индикаторы безопасности могут помечать неаутентифицированные сообщения, которые все еще попадают в папку «Входящие». Исследование 2018 года показывает, что показатели безопасности могут снизить коэффициент кликабельности более чем на десять пунктов, с 48,9% до 37,2% пользователей, открывающих поддельные сообщения.[5]

Природа проблемы

SMTP определяет сообщение транспорта не сообщение содержание. Таким образом, он определяет почту конверт и его параметры, такие как отправитель конверта, но не заголовок (кроме отслеживать информацию), ни тело сообщения. STD 10 и RFC  5321 определяют SMTP (конверт), а STD 11 и RFC  5322 определить сообщение (заголовок и тело), ​​формально называемое Формат Интернет-сообщения.

SMTP определяет отслеживать информацию сообщения, которое сохраняется в заголовке с использованием следующих двух полей:[6]

  • Получила: когда SMTP-сервер принимает сообщение, он вставляет эту запись трассировки в верхнюю часть заголовка (от последнего до первого).
  • Обратный путь: когда SMTP-сервер доставки делает конечная доставка сообщения, это поле вставляется в верхнюю часть заголовка.

А почтовый пользовательский агент (MUA) знает исходящая почта SMTP-сервер из его конфигурации. MTA (или сервер ретрансляции) обычно определяет, к какому серверу подключаться, просматривая MX (Почтовый обмен) DNS ресурсная запись для каждого получателя доменное имя

Дорожку, изображенную ниже, можно реконструировать на основании поля заголовка трассировки что каждый хост добавляет в начало заголовка, когда получает сообщение:[6]

Аутентификация электронной почты может быть затруднена наличием промежуточного реле. А и B явно принадлежат автору ADMD, а D и E являются частью сети получателя. Какая роль C играть в?
Обратный путь:<[email protected]>Получила:изD.example.orgкE.example.orgсSMTP;Вт, 05 фев 2013 11:45:02 -0500Получила:изC.example.netкD.example.orgсSMTP;Вт, 05 фев 2013 11:45:02 -0500Получила:изB.example.com(b.example.com[192.0.2.1])кC.example.net(которыйявляетсямне)сESMTPя бы936ADB8838Cза<[email protected]>;Вт, 05 фев 2013 08:44:50 -0800(ТИХООКЕАНСКОЕ СТАНДАРТНОЕ ВРЕМЯ)Получила:изA.example.comкB.example.comсSMTP;Вт, 05 фев 2013 17:44:47 +0100Получила:из[192.0.2.27]кA.example.comсSMTP;Вт, 05 фев 2013 17:44:42 +0100

Важно понимать, что получатель обычно доверяет первым нескольким строкам в верхней части заголовка. Фактически, эти строки написаны машинами в административном домене управления получателя (ADMD ), которые действуют в соответствии с ее или его явным мандатом. Напротив, строки, доказывающие причастность А и B, а также предполагаемого авторского MUA может быть подделкой, созданной C. В Получила: Показанное выше поле является эпохальной частью заголовка. В Обратный путь: написано E, то агент доставки почты (MDA), на основе сообщения конверт. Дополнительные поля трассировки, предназначенные для аутентификации электронной почты, могут заполнять верхнюю часть заголовка.

Обычно сообщения, отправленные ADMD автора, попадают прямо в адрес назначения. MX (то есть B → D на рисунках). ADMD отправителя может добавлять токены аутентификации, только если сообщение проходит через его ящики. Наиболее частые случаи можно схематизировать следующим образом:

Схематическое изображение наиболее распространенных способов передачи сообщения электронной почты от его автора получателю.

Отправка из сети ADMD (MUA 1)

  • ADMD MSA аутентифицирует пользователя, либо на основе его айпи адрес или другие средства аутентификации SMTP. В зависимости от адреса получателя сообщение может идти по обычному пути или проходить через список рассылки или службу пересылки.[примечание 1] B может быть исходящим Прокси SMTP или smarthost.[заметка 2]
  • Если локальная сеть не блокирует исходящие соединения через порт 25,[заметка 3] пользователь может развернуть некоторое программное обеспечение "direct-to-mx".[примечание 4] Обычно зомби и другие вредоносные хосты ведут себя так.
  • Если MUA плохо настроен, он также может использовать другое реле, например устаревшее открытое реле, который часто не аутентифицирует пользователя.

Пользователь в роуминге (MUA 2)

  • В большинстве случаев все еще можно использовать собственный ADMD MSA.[примечание 5]
  • Исходящие подключения к порту 25 можно перехватывать и туннелировать на прозрачный прокси.[примечание 4]
  • MUA можно настроить для использования ретранслятора SMTP, который поставщик локальной сети предлагает в качестве бонуса.[примечание 4]

Отключенный пользователь

  • An электронная карта может отправлять почту от имени клиента, который вводил адреса электронной почты на локальной клавиатуре; немного веб-формы можно рассматривать как работающие аналогично.[примечание 4]

Примечания к разделу

  1. ^ Например, получатель может указать Gmail для пересылки сообщений на другой адрес электронной почты. Отправитель не обязательно знает об этом.
  2. ^ Правильно настроенные прокси появляются как часть авторского ADMD.
  3. ^ Некоторые ADMD блокируют исходящее соединение с портом 25 (SMTP), чтобы избежать этого. Этот проактивный метод описан в RFC 5068. Кроме того, некоторые блокируют входящие SMTP-соединения от IP-адреса указан как набрать номер / DSL / кабель.
  4. ^ а б c d В данном случае ADMD автора вообще не задействован.
  5. ^ Некоторые интернет-провайдеры блокируют порт 587, хотя RFC 5068 ясно говорит:

    Провайдеры доступа НЕ ДОЛЖНЫ блокировать пользователям доступ к внешнему Интернету через порт SUBMISSION 587.

Широко распространенные методы аутентификации

SPF

SPF аутентифицирует IP-адрес отправителя.

SPF позволяет получателю проверить, что электронное письмо, которое, как утверждается, было отправлено из определенного домена, исходит с IP-адреса, авторизованного администраторами этого домена. Обычно администратор домена авторизует IP-адреса, используемые их собственными исходящими MTA, включая любой прокси или смарт-хост.[7][8]

IP-адрес отправляющего MTA гарантированно действителен Протокол управления передачей, поскольку он устанавливает соединение, проверяя доступность удаленного хоста.[9] Получающий почтовый сервер получает HELO SMTP команда вскоре после установки соединения и Письмо от: в начале каждого сообщения. Оба они могут содержать доменное имя. Верификатор SPF запрашивает система доменных имен (DNS) для соответствующей записи SPF, которая, если она существует, будет указывать IP-адреса, авторизованные администратором этого домена. Результатом может быть «пройден», «не пройден» или какой-то промежуточный результат - и системы обычно принимают это во внимание в своей фильтрации спама.[10]

DKIM

DKIM проверяет подлинность части содержимого сообщения.

DKIM проверяет содержание сообщения, развертывание цифровые подписи. Вместо цифровых сертификатов ключи для проверки подписи распространяются через DNS. Таким образом, сообщение связывается с доменным именем.[11]

Администратор домена, совместимого с DKIM, создает одну или несколько пар асимметричные ключи, затем передает закрытые ключи подписывающему MTA и публикует открытые ключи в DNS. Метки DNS имеют следующую структуру: селектор._domainkey.example.com, куда селектор определяет пару ключей, и _domainkey - это фиксированное ключевое слово, за которым следует имя подписывающего домена, чтобы публикация происходила под полномочиями ADMD этого домена. Непосредственно перед введением сообщения в транспортную систему SMTP подписывающий MTA создает цифровую подпись, которая покрывает выбранные поля заголовка и тела (или только его начало). Подпись должна охватывать основные поля заголовка, такие как Из:, К:, Дата:, и Предмет:, а затем добавляется к самому заголовку сообщения в виде поля трассировки. Любое количество ретрансляторов может получать и пересылать сообщение, и на каждом этапе подпись может быть проверена путем получения открытого ключа из DNS.[12] Пока промежуточные реле не изменяют подписанные части сообщения, его DKIM-подписи остаются действительными.

DMARC

DMARC позволяет определять политику для аутентифицированных сообщений. Он построен на основе двух существующих механизмов, Структура политики отправителя (SPF) и Почта, идентифицированная с помощью DomainKeys (ДКИМ).

Это позволяет административному владельцу домена публиковать политику в своих DNS записи, указывающие, какой механизм (DKIM, SPF или оба) используется при отправке электронной почты из этого домена; как проверить Из: поле, представленное конечным пользователям; как получатель должен справляться с отказами - и механизм отчетности о действиях, выполненных в соответствии с этими политиками.

Другие методы

Был предложен ряд других методов, но в настоящее время они либо устарели, либо еще не получили широкой поддержки. Они включали Удостоверение личности отправителя, Проверка сертифицированного сервера, DomainKeys и ниже:

ADSP

ADSP позволял указывать политику для сообщений, подписанных доменом автора. Сообщение должно было сначала пройти аутентификацию DKIM, а затем ADSP мог потребовать наказания, если сообщение не было подписано доменом (-ами) автора - в соответствии с Из: поле заголовка.[13]

В ноябре 2013 года ADSP был понижен до исторического уровня.[14]

VBR

VBR добавляет поручение к уже аутентифицированной личности. Для этого метода требуются всемирно признанные органы, подтверждающие репутацию доменов.

Отправитель может обратиться за рекомендацией в уполномоченный орган. Ссылка, если она принята, публикуется в ветке DNS, управляемой этим органом. Подтвержденный отправитель должен добавить VBR-информация: поле заголовка отправляемых сообщений. Также следует добавить подпись DKIM или использовать другой метод аутентификации, например SPF. Получатель, подтвердив личность отправителя, может проверить поручение, заявленное в VBR-информация: просмотрев ссылку.[15]

iprev

Приложениям следует избегать использования этого метода в качестве средства аутентификации.[16] Тем не менее, его часто проводят, и его результаты, если таковые имеются, записываются в Получила: поле заголовка помимо информации TCP, требуемой спецификацией SMTP.

Обратный IP-адрес, подтвержденный поиском IP-адреса только что найденного имени, является лишь показателем того, что IP-адрес был правильно настроен в DNS. В обратное разрешение диапазона IP-адресов могут быть делегированы ADMD, который их использует,[17] или может оставаться под управлением сетевого провайдера. В последнем случае невозможно получить полезную идентификацию, относящуюся к сообщению.

DNSWL

Глядя вверх DNSWL (Белый список на основе DNS) может предоставить оценку отправителя, возможно, включая его идентификацию.

Результаты аутентификации

RFC 8601 определяет поле заголовка трассировки Результаты аутентификации: где получатель может записывать результаты выполненных им проверок аутентификации электронной почты.[16] Несколько результатов для нескольких методы могут быть указаны в том же поле, разделены точкой с запятой и при необходимости помещены в оболочку.

Например, следующее поле якобы написано Receiver.example.org и отчеты SPF и DKIM полученные результаты:

Результаты аутентификации:Receiver.example.org;spf = пройтиsmtp.mailfrom=example.com;dkim = пройти[email protected]

Первый токен после имени поля, Receiver.example.org, это идентификатор сервера аутентификации, токен, известный как authserv-id. Ресивер, поддерживающий RFC 8601 отвечает за удаление (или переименование) любого ложного заголовка, утверждающего, что он принадлежит его домену, чтобы нисходящие фильтры не могли запутаться. Однако эти фильтры все еще необходимо настроить, поскольку они должны знать, какие идентификаторы может использовать домен.

Для почтового агента пользователя (MUA) немного сложнее узнать, каким удостоверениям он может доверять. Поскольку пользователи могут получать электронную почту из нескольких доменов - например, если у них несколько адресов электронной почты, - любой из этих доменов может позволить Результаты аутентификации: поля проходят, потому что выглядели нейтрально. Таким образом злонамеренный отправитель может подделать authserv-id которому пользователь будет доверять, если сообщение пришло из другого домена. Законный Результаты аутентификации: обычно появляется чуть выше Получила: поле того же домена, из которого было ретранслировано сообщение. Дополнительный Получила: поля могут появляться между этим и верхней частью заголовка, поскольку сообщение было передано внутри между серверами, принадлежащими тому же самому доверенному ADMD.

В Управление по присвоению номеров в Интернете ведет реестр Параметры аутентификации электронной почты. Однако не все параметры необходимо регистрировать. Например, могут быть значения локальной «политики», предназначенные только для внутреннего использования сайта, которые соответствуют локальной конфигурации и не требуют регистрации.

Смотрите также

Рекомендации

  1. ^ Ханг Ху; Пэн Пэн; Ганг Ван (2017). «На пути к принятию протоколов защиты от спуфинга». arXiv:1711.06654 [cs.CR ].
  2. ^ Кернер, Шон Майкл. «В правительстве США растет внедрение защиты электронной почты DMARC». eWeek. Получено 24 ноября 2018.
  3. ^ "Саммит по аутентификации электронной почты". мастерская. Федеральная торговая комиссия. 9–10 ноября 2004 г. Архивировано 3 июня 2012 г.. Получено 4 февраля 2013. Однако в отчете аутентификация на уровне домена была определена как многообещающее технологическое развитие.CS1 maint: неподходящий URL (связь)
  4. ^ Майкл Хаммер (14 августа 2020 г.). "авторизация третьей стороны". dmarc-ietf (Список рассылки). Получено 14 августа 2020.
  5. ^ Ханг Ху; Ганг Ван (15 августа 2018 г.). «Сквозное измерение атак с использованием спуфинга электронной почты». 27-е USENIX Симпозиум по безопасности.
  6. ^ а б Джон Кленсин (Октябрь 2008 г.). «Информация о трассировке». Простой протокол передачи почты. IETF. сек. 4.4. Дои:10.17487 / RFC5321. RFC 5321. Получено 1 февраля 2013. Когда SMTP-сервер принимает сообщение либо для ретрансляции, либо для окончательной доставки, он вставляет запись трассировки (также называемую взаимозаменяемо «строкой отметки времени» или «строкой« Получено »») в верхней части почтовых данных. Эта запись трассировки указывает идентификатор хоста, отправившего сообщение, идентификатор хоста, который получил сообщение (и вставляет эту отметку времени), а также дату и время получения сообщения. Ретранслируемые сообщения будут иметь несколько строк отметок времени.
  7. ^ Скотт Киттерман (апрель 2014 г.). Структура политики отправителя (SPF) для авторизации использования доменов в электронной почте, версия 1. IETF. Дои:10.17487 / RFC7208. RFC 7208. Получено 26 апреля 2014. Есть три места, где можно использовать методы для устранения непреднамеренных сбоев SPF с помощью медиаторов.
  8. ^ Я. Кленсин (октябрь 2008 г.). "Псевдоним". Простой протокол передачи почты. IETF. сек. 3.9.1. Дои:10.17487 / RFC5321. RFC 5321. Получено 15 февраля 2013.
  9. ^ Подделка IP-адреса возможна, но, как правило, предполагает более низкий уровень преступного поведения (взлом и проникновение, прослушивание телефонных разговоров и т. Д.), Что слишком рискованно для типичного хакера или спамера, или небезопасные серверы, не реализующие RFC 1948 г., смотрите также Протокол управления передачей # Перехват соединения.
  10. ^ Скотт Киттерман (21 ноября 2009 г.). «Насколько надежно блокировать / отклонять при сбое SPF?». spf-help. gossamer-threads.com. Я думаю, это нормально, если вы предлагаете механизм для внесения в белый список серверов пересылки, не поддерживающих SRS.
  11. ^ Д. Крокер; Т. Хансен; М. Кучерави, ред. (Сентябрь 2011 г.). Подпись электронной почты с идентификацией ключей домена (DKIM). IETF. Дои:10.17487 / RFC6376. RFC 6376. Получено 18 февраля 2013. Почта с идентификационными ключами DomainKeys (DKIM) позволяет человеку, роли или организации брать на себя определенную ответственность за сообщение, связывая доменное имя с сообщением, которое им разрешено использовать.
  12. ^ Дэйв Крокер (16 октября 2007 г.). «Часто задаваемые вопросы о DKIM». DKIM.org. Получено 17 февраля 2013.
  13. ^ Э. Оллман; Дж. Фентон; М. Делани; Дж. Левин (август 2009 г.). Почта с установленными ключами домена (DKIM) Авторские методы подписи доменов (ADSP). IETF. Дои:10.17487 / RFC5616. RFC 5616. Получено 18 февраля 2013.
  14. ^ Барри Лейба (25 ноября 2013 г.). «Измените статус ADSP (RFC 5617) на Исторический». IETF.
  15. ^ П. Хоффман; Дж. Левин; А. Хэткок (апрель 2009 г.). Поручиться по ссылке. IETF. Дои:10.17487 / RFC5518. RFC 5518. Получено 18 февраля 2013.
  16. ^ а б Мюррей Кучерави (август 2015 г.). Поле заголовка сообщения для индикации статуса аутентификации сообщения. IETF. Дои:10.17487 / RFC7601. RFC 7601. Получено 30 сентября 2015.
  17. ^ Х. Эйднес; Г. де Гроот; П. Викси (март 1998 г.). Бесклассовое делегирование IN-ADDR.ARPA. IETF. Дои:10.17487 / RFC2317. RFC 2317. Получено 18 февраля 2013.