¿Cómo comprobar el origen del correo electrónico?
Una de las aplicaciones de red más utilizadas se ha convertido en una forma importante de comunicación en red. Sin embargo, el spam molesta a la mayoría de la gente. Una encuesta reciente mostró que el 93% de los encuestados estaban muy insatisfechos con la gran cantidad de spam que recibían. Algunos incidentes simples de spam también causan problemas de seguridad de alto impacto. El aumento del spam cuesta ahora 9.400 millones de dólares al año (datos del último comunicado de prensa de chinabyte), y algunos artículos sugieren que el spam puede costarle a una empresa entre 600 y 1.000 dólares por usuario.
Con el continuo desarrollo de Internet, el spam ha aumentado significativamente. Ya no es solo un pequeño acoso como antes. Ahora se puede decir que el spam es abrumador. Al principio, los correos electrónicos no deseados eran principalmente correos electrónicos promocionales comerciales no solicitados, pero ahora están aumentando más correos electrónicos no deseados relacionados con la pornografía y la política, llegando incluso a alrededor del 40% del volumen total de spam, y todavía hay una tendencia de crecimiento continuo. Por otro lado, el spam se ha convertido en una forma nueva y rápida de propagación de virus informáticos.
Y actualmente el 50% de los correos electrónicos del mundo son spam y sólo unas pocas organizaciones asumen la responsabilidad. Se han propuesto muchas medidas antispam, pero se han implementado muy pocas. Desafortunadamente, estas soluciones no pueden prevenir completamente el spam y también afectan los intercambios normales de correo electrónico.
1.1. ¿Qué es el spam?
Hasta cierto punto, la definición de spam puede ser: aquellos correos electrónicos que las personas no tienen intención de recibir son spam. Por ejemplo:
*Anuncios comerciales. Muchas empresas utilizan el correo electrónico para promocionar nuevos productos, nuevos eventos, etc.
*Discurso político. Actualmente, recibimos muchos correos electrónicos de este tipo de otros países u organizaciones reaccionarias. Esto es como publicidad comercial spam, vendiendo y vendiendo sus supuestos comentarios.
*Gusano de correo electrónico. Cada vez más virus se propagan rápidamente a través del correo electrónico, que de hecho es una forma rápida y eficaz de propagación.
*Correos electrónicos maliciosos. Correos electrónicos amenazantes y engañosos. Por ejemplo, el phishing es una especie de correo electrónico que se hace pasar por una página web y es un completo truco para engañar a los usuarios con datos personales, números de cuentas e incluso tarjetas de crédito.
¿Cómo es posible que la dirección de correo electrónico de una persona normal se convierta en objetivo del spam? Hay muchas razones para esto, como el registro de direcciones de correo electrónico en sitios web, foros, etc., la detección de virus, etc. en los buzones de correo de amigos. Su correo electrónico, enumeración de usuarios para su proveedor de correo electrónico, etc. Normalmente, cuanto menos expuesta esté una dirección de correo electrónico, menos spam recibirá, y cuanto más corta sea, menos spam recibirá. Algunos usuarios indefensos optaron por abandonar sus direcciones de correo electrónico y reemplazarlas por otras nuevas.
1.2. Problemas de seguridad
El spam ha tenido un gran impacto en Internet y en la mayoría de los usuarios. Este impacto no es sólo que las personas necesiten dedicar tiempo a lidiar con el spam, sino que les ocupa. recursos del sistema, etc., y también trae muchos problemas de seguridad.
Es obvio que el spam consume muchos recursos de la red. Debido a la mala seguridad, algunos servidores de correo se han utilizado como estaciones de reenvío de spam y han sido advertidos, se han bloqueado IP y se han producido otros incidentes de vez en cuando. El gran consumo de recursos de la red ha ralentizado las operaciones comerciales normales. Con el desarrollo del antispam internacional, el intercambio de listas negras entre organizaciones ha provocado que servidores inocentes sean bloqueados a mayor escala, lo que sin duda causará graves problemas a los usuarios normales.
El spam está cada vez más integrado con ataques de piratas informáticos y virus. Por ejemplo, el gusano SoBig instala un proxy abierto que puede utilizarse para admitir el reenvío de correo. A medida que el spam ha ido evolucionando, ha aumentado significativamente el uso de códigos maliciosos o software de seguimiento para respaldar el spam.
El 31 de diciembre de 2003, un grupo de piratas informáticos en Brasil envió correos electrónicos no deseados que contenían scripts JavaScript maliciosos a millones de usuarios. Quienes navegaban por estos correos electrónicos no deseados a través de Hotmail, sin saberlo, filtraron sus cuentas. Otro ejemplo es el reciente problema de visualización de URL en IE. Agregar "01" antes del nombre del host puede ocultar la dirección real del host y aparece en el spam a las pocas semanas de su publicación.
Cada vez más correos electrónicos de virus engañosos han causado graves daños a muchas empresas. Incluso si adoptan buenas estrategias de protección de la red, todavía es difícil evitarlos. Cada vez hay más incidentes de seguridad que pueden deberse al correo electrónico. causados por virus, caballos de Troya u otros programas maliciosos. De hecho, es difícil para los usuarios comunes hacer juicios correctos sobre los trucos falsificados del phishing, pero las pérdidas causadas son muy directas.
2. Tecnologías antispam
Los métodos antispam existentes y propuestos intentan reducir los problemas de spam y abordar los requisitos de seguridad. Al identificar correctamente el spam, se reducirán los virus de correo electrónico o los programas de ataque de correo electrónico. Estas soluciones adoptan múltiples enfoques de seguridad en un esfuerzo por detener el spam.
El Dr. Neal Krawetz dio una muy buena clasificación de las tecnologías antispam en el artículo Soluciones y seguridad antispam[ref 1]. Las tecnologías antispam actuales se pueden dividir en cuatro categorías: filtros, búsquedas inversas, desafíos y criptografía. Todas estas soluciones pueden reducir los problemas de spam, pero todas tienen sus limitaciones. Este artículo analizará estas tecnologías y la implementación de algunas de las principales tecnologías a continuación.
2.1. Filtrado
El filtro es una tecnología relativamente simple pero directa para tratar el spam. Esta tecnología la utilizan principalmente los sistemas receptores (MUA, como OUTLOOK EXPRESS o MTA, como sendmail) para identificar y procesar spam. Desde la perspectiva de la aplicación, esta tecnología también es la más utilizada. Por ejemplo, muchos complementos antispam en servidores de correo, puertas de enlace antispam y funciones antispam en clientes son tecnologías de filtrado.
2.1.1. Filtrado de palabras clave
La tecnología de filtrado de palabras clave suele crear algunas listas de palabras simples o complejas asociadas con el spam para identificar y procesar el spam. Por ejemplo, ciertas palabras clave aparecen en grandes cantidades en los correos electrónicos no deseados, como algunos títulos de correos electrónicos con virus, como: prueba. Este método es similar a las características de los virus utilizadas por el software antivirus. Se puede decir que este es un método simple de filtrado de contenido para lidiar con el spam. Se basa en la necesidad de crear una lista enorme de palabras clave de filtrado.
Esta falla técnica es obvia. La capacidad de filtrado está obviamente relacionada con las palabras clave. La lista de palabras clave también causará falsas alarmas. Por supuesto, el sistema consume mucho dinero al usar esta tecnología para procesar correos electrónicos. Habrá más recursos. Además, las técnicas comunes para evitar palabras clave, como dividir y combinar palabras, pueden evitar fácilmente el filtrado.
2.1.2. Listas blancas y negras
Lista Negra y Lista Blanca. Estas son las direcciones IP o direcciones de correo electrónico de spammers conocidos o remitentes confiables, respectivamente. Hoy en día, muchas organizaciones están haciendo *bl (lista de bloqueo), que recopila direcciones IP (o incluso rangos de direcciones IP) que a menudo envían correos electrónicos no deseados para crear una lista de bloqueo, como la SBL (lista de bloqueo de Spamhaus) de spamhaus, una BL que puede ser disfrutado en una amplia gama. Muchos ISP están adoptando el BL de algunas organizaciones para evitar la recepción de spam. La lista blanca es lo opuesto a la lista negra, que acepta totalmente direcciones de correo electrónico o IP confiables.
Actualmente, muchos terminales de recepción de correo electrónico utilizan listas blancas y negras para manejar el spam, incluidos MUA y MTA. Por supuesto, se utilizan más ampliamente en MTA, lo que puede reducir eficazmente la carga del servidor.
La tecnología BL también tiene deficiencias obvias, porque no puede incluir todas (ni siquiera una gran cantidad) de direcciones IP en la lista de bloqueo, y los spammers pueden crear spam fácilmente a través de diferentes direcciones IP.
2.1.3 Tecnología HASH
La tecnología HASH es que el sistema de correo describe el contenido del correo creando HASH, como el contenido del correo, el remitente, etc. parámetros y finalmente calcula esto. El HASH del correo electrónico se utiliza para describir el correo electrónico. Si el HASH es el mismo, significa que el contenido del correo electrónico, el remitente, etc. son los mismos. Algunos ISP lo utilizan. Si aparecen valores HASH duplicados, se puede sospechar que los correos electrónicos se envían en lotes grandes.
2.1.4 Filtrado basado en reglas
Este tipo de filtrado forma reglas basadas en ciertas características (como palabras, frases, posiciones, tamaños, archivos adjuntos, etc.) y se describe Según estas reglas, el spam es como describir un evento de intrusión en un IDS. Para que los filtros sean efectivos, los administradores deben mantener una base de reglas amplia.
2.1.5 Sistemas inteligentes y probabilísticos
Se utiliza ampliamente el algoritmo bayesiano, que puede aprender la frecuencia y el patrón de las palabras, de modo que puede asociarse con spam y correos electrónicos normales. Levántate y juzga. Se trata de una tecnología de filtrado de contenidos más compleja e inteligente que las palabras clave. A continuación describiré en detalle esta técnica más utilizada tanto en clientes como en servidores.
2.1.5.1 Algoritmo bayesiano
Entre los filtros, el filtro con mejor rendimiento ahora debería ser el filtro basado en puntuación, porque podemos entender fácilmente lo simple que es lidiar con la astucia. spam con filtros como listas blancas y negras, bibliotecas de palabras clave o HASH. El filtro del sistema de puntuación es el filtro de algoritmo más básico y el prototipo básico del algoritmo bayesiano. Su principio es verificar palabras o caracteres en correos electrónicos no deseados y otorgar una puntuación (puntuación positiva) a cada elemento característico (el elemento más simple es una palabra y un elemento más complejo es una frase). Elementos característicos normales del correo electrónico, utilizados para reducir la puntuación (puntuación negativa). Finalmente, todo el correo electrónico obtiene una puntuación total de spam y esta puntuación se utiliza para determinar si es spam.
Este filtro de puntuación hace todo lo posible para realizar la función de identificar automáticamente los correos electrónicos no deseados, pero aún existen algunos problemas de incompatibilidad:
*La lista de elementos característicos se obtiene a través de correos electrónicos no deseados o correos electrónicos normales. Por lo tanto, para mejorar la eficacia de la identificación de correos electrónicos no deseados, es necesario aprender de cientos de correos electrónicos, lo que reduce la eficiencia del filtro porque los elementos característicos de los correos electrónicos normales son diferentes para diferentes personas.
*El número de correos electrónicos para obtener el análisis de elementos característicos es clave. Si los spammers también se adaptan a estas características, es posible que los mensajes spam se parezcan más a correos electrónicos normales. En este caso, se cambiarán las características del filtro.
*La puntuación calculada para cada palabra debe basarse en una buena calificación, pero sigue siendo arbitraria. Por ejemplo, es posible que las funciones no se adapten a las variaciones de palabras de los correos electrónicos no deseados o a las necesidades de un usuario en particular.
La teoría bayesiana se utiliza ahora ampliamente en la industria informática. Es una descripción incierta de las cosas. Por ejemplo, la teoría bayesiana se utiliza en los cálculos de Google. El filtro del algoritmo bayesiano calcula la probabilidad de que el contenido del correo electrónico se convierta en spam. Primero debe aprender de muchos correos electrónicos no deseados y de correos electrónicos normales. Por lo tanto, el efecto será mejor que el del filtro de contenido normal y los falsos positivos serán más frecuentes. pocos. El filtro bayesiano también es un filtro basado en puntuaciones. Pero no se trata sólo de un simple cálculo de puntuaciones, sino de una identificación más fundamental.
Crea automáticamente una tabla de características. En principio, primero analiza una gran cantidad de correos electrónicos no deseados y una gran cantidad de correos electrónicos normales, y luego el algoritmo analiza la probabilidad de que aparezcan múltiples características en los correos electrónicos.
Las fuentes de características calculadas por el algoritmo bayesiano suelen ser:
·Palabras en el cuerpo del correo electrónico
·Encabezados del correo electrónico (remitente, ruta de entrega, etc. )
·Otras manifestaciones, como codificación HTML (como color, etc.)
·Frases, frases
·Metainformación, como la posición de frases especiales, etc.
Por ejemplo, si la palabra AAA aparece a menudo en correos electrónicos normales, pero rara vez aparece en correos electrónicos no deseados, entonces la probabilidad de que AAA marque correos electrónicos como spam es cercana a 0, y viceversa.
Los pasos del algoritmo bayesiano son:
1. Recopilar una gran cantidad de correos electrónicos no deseados y no deseados, y establecer un conjunto de correos electrónicos no deseados y un conjunto de correos electrónicos no deseados.
2. Extraiga cadenas independientes de fuentes de características, como AAA, etc. como cadenas TOKEN y cuente el número de apariciones de las cadenas TOKEN extraídas, que es la frecuencia de las palabras. Siga el método anterior para procesar todos los correos electrónicos del conjunto de correo electrónico no deseado y del conjunto de correo electrónico no spam, respectivamente.
3. Cada conjunto de correo electrónico corresponde a una tabla hash, hashtable_good corresponde al conjunto de correo electrónico no spam y hashtable_bad corresponde al conjunto de correo electrónico no deseado. La relación de mapeo entre cadenas TOKEN y frecuencias de palabras se almacena en la tabla.
4. Calcule la probabilidad P de que la cadena TOKEN aparezca en cada tabla hash = (frecuencia de palabras de una determinada cadena TOKEN)/(longitud de la tabla hash correspondiente)
5. Teniendo en cuenta hashtable_good y hashtable_bad, infiera la probabilidad de que cuando aparece una determinada cadena TOKEN en un nuevo correo electrónico, el nuevo correo electrónico sea spam. La expresión matemática es:
Un evento----el correo electrónico es spam
t1, t2....tn representa la cadena TOKEN
Entonces; P(A|ti) representa la probabilidad de que el correo electrónico sea spam cuando la cadena TOKEN ti aparece en el correo electrónico. Supongamos
P1(ti)=valor de ti en hashtable_good
P2(ti)=valor de ti en hashtable_bad
Entonces P(A| ti)=P2( ti)/[(P1(ti) P2(ti)];
6. Cree una nueva tabla hash hashtable_probability para almacenar la asignación de la cadena TOKEN ti a P(A|ti)
7. Según la tabla hash establecida hashtable_probability, se puede estimar la posibilidad de que un correo electrónico recién llegado sea spam.
Cuando llegue un nuevo correo electrónico, siga el paso 2 para generar la cadena TOKEN. hashtable_probability para obtener el valor clave de la cadena TOKEN. Suponga que se obtienen N cadenas TOKEN del correo electrónico, t1, t2...tn, y los valores correspondientes en hashtable_probability son P1, P2,...PN, P. (. A|t1, t2, t3...tn) representa la probabilidad de que el correo electrónico sea spam cuando aparecen múltiples cadenas TOKEN t1, t2...tn en el correo electrónico.
Se puede obtener de. la fórmula de probabilidad compuesta:
P(A|t1,t2,t3...tn)=(P1*P2*...PN)/[P1*P2*...PN (1). -P1)*(1-P2 )*...(1-PN)]
Cuando P(A|t1, t2, t3...tn) excede el umbral predeterminado, el correo electrónico puede ser juzgado como spam
Cuando llega un nuevo correo electrónico, se analiza a través de un filtro bayesiano y utiliza cada característica para calcular la probabilidad de que el correo electrónico sea spam.
A través de un análisis continuo, el filtro se actualiza automáticamente. Por ejemplo, si un correo electrónico que contiene la palabra AAA se considera spam debido a varias funciones, entonces aumenta la probabilidad de que la palabra AAA se convierta en una función de spam.
De esta forma, el filtro bayesiano tiene la capacidad de adaptarse, pudiendo ser realizado de forma automática o manual por el usuario, haciéndolo más adaptable al uso de un solo usuario. A los spammers les resulta más difícil adaptarse y, por lo tanto, les resulta más difícil evadir los filtros, pero ciertamente pueden disfrazar sus correos electrónicos como comunes y legítimos. A menos que el spammer pueda juzgar el filtro de alguien, por ejemplo, enviando un recibo para saber qué correos electrónicos abrió el usuario, etc., para que pueda adaptarse al filtro.
Aunque el filtro bayesiano todavía tiene las desventajas del filtro de puntuación, está más optimizado. La práctica también ha demostrado que el efecto de los filtros bayesianos en el cliente y el servidor es muy obvio. Los excelentes filtros bayesianos pueden identificar más del 99,9% del spam. La mayoría de los productos antispam que se utilizan actualmente utilizan esta tecnología. Por ejemplo, el filtrado bayesiano en Foxmail.
2.1.6 Limitaciones y deficiencias
Muchos de los productos antispam actuales que utilizan tecnología de filtrado suelen utilizar múltiples tecnologías de filtrado para hacer que el producto sea más eficaz. Los filtros se clasifican según sus falsos positivos y falsos negativos. Un falso negativo significa que el spam pasa por alto el filtro. Un falso positivo ocurre cuando un correo electrónico normal se considera spam. Un sistema de filtrado perfecto no tendría falsos negativos ni falsos positivos, pero ésta es una situación ideal.
Algunos sistemas antispam basados en principios de filtrado suelen tener las siguientes tres limitaciones:
·Pueden ser omitidos. Los spammers y las herramientas de entrega que utilizan tampoco son estáticos y se adaptan rápidamente a los filtros. Por ejemplo, para la lista de palabras clave, pueden cambiar aleatoriamente la ortografía de algunas palabras, como ("fuerte", "Gong Suigan", "fuerte-fuerte" (generando un HASH diferente en cada correo electrónico). para evitar el filtro de hash. Los filtros bayesianos utilizados actualmente se pueden omitir insertando palabras u oraciones aleatorias. La mayoría de los filtros sólo son efectivos durante unas pocas semanas como máximo. Para que un sistema antispam siga siendo útil, las reglas de filtrado deben actualizarse continuamente, por ejemplo, diariamente o semanalmente.
·Problema de falsos positivos. El problema más problemático es juzgar los correos electrónicos normales como spam. Por lo tanto, un correo electrónico normal que contenga la palabra muestra puede considerarse spam. Desafortunadamente, algunos servidores normales están incluidos en la lista de bloqueo emitida por organizaciones irresponsables para bloquear un determinado segmento de la red, no por enviar spam (el servidor xfocus es un ejemplo). Sin embargo, si queremos reducir el problema de los falsos positivos, puede provocar graves problemas de falsos negativos.
·Revisión de filtros. Debido al problema de los falsos positivos, los mensajes que normalmente se marcan como spam generalmente no se eliminan inmediatamente, sino que se colocan en la casilla de spam para una inspección futura. Desafortunadamente, esto también significa que los usuarios todavía tienen que dedicar tiempo a buscar spam, aunque solo sea en los encabezados.
Un problema más grave ahora es que la gente todavía cree que los filtros son eficaces para detener el spam. De hecho, los filtros de spam no son eficaces para detener el spam. En la mayoría de los casos, el spam todavía existe, aún pasa por la red y aún se propaga. A menos que al usuario no le importe la presencia de correos electrónicos reportados falsamente, seguirá buscando spam. Los filtros pueden ayudarnos a organizar y separar los correos electrónicos en spam y correos electrónicos normales, pero la tecnología de filtrado no previene el spam; de hecho, sólo "procesa" el spam.
A pesar de las limitaciones de la tecnología de filtrado, actualmente es la tecnología antispam más utilizada.
2.2. Consulta de verificación
SMTP no fue diseñado teniendo en cuenta problemas de seguridad.
En 1973, la seguridad informática no significaba mucho y tener un protocolo de correo electrónico ejecutable era un gran problema. Por ejemplo, RFC524 describe algunos casos de uso de SMTP como protocolo independiente:
"Aunque las personas pueden o pueden diseñar software basado en este documento, anótelo apropiadamente. Envíe sugerencias y preguntas. I Creo firmemente que todavía hay problemas en el protocolo y espero que los lectores puedan señalarlos al leer el RFC "
Aunque el conjunto de comandos SMTP se ha desarrollado durante mucho tiempo, la gente todavía usa RFC524. Se implementa SMTP como base y se supone que los problemas (como los problemas de seguridad) se resolverán más adelante. Por lo tanto, hasta 2004, los errores originados en RFC524 todavía existían. En ese momento, SMTP se había vuelto muy extendido y difícil de reemplazar. El spam es un ejemplo de abuso del protocolo SMTP. La mayoría de las herramientas de spam pueden falsificar encabezados de correo electrónico, remitentes falsos u ocultar la fuente.
Los correos electrónicos no deseados generalmente utilizan direcciones de remitentes falsificadas y muy pocos correos electrónicos no deseados utilizan direcciones reales. Los spammers crean correos electrónicos falsificados por varias razones:
*Porque es ilegal. Enviar spam es ilegal en muchos países y, al falsificar una dirección de envío, los remitentes pueden evitar ser procesados.
*Porque no es popular. Los spammers entienden que el spam no es bienvenido. Al falsificar la dirección del remitente, es posible reducir esta reacción.
*Sujeto a restricciones del ISP. La mayoría de los ISP tienen términos de servicio que previenen el spam. Al falsificar la dirección del remitente, pueden reducir la posibilidad de ser excluidos de la red del ISP.
Por lo tanto, si podemos utilizar algo como una lista blanca y negra para identificar de forma más inteligente qué correos electrónicos son falsificados y cuáles son legítimos, entonces podremos resolver el problema del spam en gran medida y verificar las consultas. elaborado a partir de este punto de partida. A continuación también se analizarán algunas de las principales tecnologías antispam, como las recomendadas y alojadas por Yahoo!, Microsoft, IBM, etc. No es apropiado dividirlas en tecnologías de consulta de verificación inversa, pero desde cierta perspectiva Perspectiva, estas técnicas son consultas de validación más complejas.
2.2.1. Tecnología de consulta inversa
Desde la perspectiva de la falsificación de correo no deseado, si podemos resolver el problema de la falsificación de correos electrónicos, podemos evitar la generación de una gran cantidad de correos electrónicos no deseados. . Para limitar la suplantación de direcciones del remitente, algunos sistemas requieren la verificación de la dirección de correo electrónico del remitente. Estos sistemas incluyen:
Intercambio de correo inverso (RMX) <>
Permiso del remitente (SPF) )lt. ;gt;
Indicar protocolo de correo (DMP)lt;gt;
Estas tecnologías son relativamente similares. DNS es un servicio global de Internet que maneja la traducción entre direcciones IP y nombres de dominio. En 1986, DNS se amplió para incluir registros de intercambio de correo (MX). Al enviar correo, el servidor de correo consulta el registro MX para que corresponda con el nombre de dominio del destinatario.
De manera similar a los registros MX, la solución de consulta inversa consiste en definir registros MX inversos ("RMX"--RMX, "SPF"--SPF, "DMP"--DMP) para determinar si el dominio especificado El nombre y la dirección IP del correo electrónico son completamente correspondientes. La razón básica es que la dirección del correo electrónico falsificado en realidad no provendrá de la dirección RMX, por lo que se puede juzgar si es falsificada.
2.2.2 Tecnología DKIM
La tecnología DKIM (DomainKeys Identified Mail) se basa en la tecnología de verificación DomainKeys de Yahoo y en Internet Identified Mail de Cisco.
DomainKeys de Yahoo utiliza criptografía de clave pública para autenticar a los remitentes de correo electrónico.
El sistema de envío genera una firma y la inserta en el encabezado del correo electrónico, y el sistema de recepción verifica la firma utilizando una clave pública emitida por DNS. La tecnología de autenticación de Cisco también utiliza criptografía, pero asocia la firma con el propio mensaje de correo electrónico. El servidor de envío firma el mensaje de correo electrónico e inserta la firma y la clave pública utilizada para generar la firma en un nuevo encabezado. El sistema receptor verifica que la clave pública utilizada para firmar el mensaje de correo electrónico esté autorizada para su uso por parte de la dirección de envío.
DKIM integrará estos dos sistemas de verificación. Verificará la firma con una clave pública publicada en DNS de la misma manera que DomainKeys y también aprovechará la tecnología de firma de encabezados de Cisco para garantizar la coherencia.
DKIM proporciona un mecanismo para que el correo electrónico verifique simultáneamente la integridad del remitente y del mensaje de cada dominio. Una vez que se puede verificar el dominio, se compara con la dirección del remitente en el correo electrónico para detectar falsificaciones. Si es falsificado, puede ser spam o un correo electrónico falso y puede descartarse. Si no es falso y el dominio es conocido, puede generar una buena reputación y vincularse a sistemas de políticas antispam. También puede compartirse entre proveedores de servicios o incluso directamente con los usuarios.
Las empresas conocidas normalmente necesitan enviar varios correos electrónicos comerciales a clientes, bancos, etc., por lo que la confirmación por correo electrónico es muy importante. Puede proteger contra ataques de phishing.
Ahora, el estándar técnico DKIM se envía al IETF, puede consultar el documento borrador
Proceso de implementación de DomainKeys
El servidor de envío pasa por dos pasos:
1. El propietario del dominio necesita generar un par de claves pública/privada para marcar todos los correos electrónicos salientes (se permiten varios pares de claves). La clave pública está expuesta en DNS y la clave privada está en el servidor de correo mediante DomainKey.
2. Cuando cada usuario envía un correo electrónico, el sistema de correo electrónico utiliza automáticamente la clave privada almacenada para generar una firma. La firma se incluye como parte del encabezado del correo electrónico y el correo electrónico se entrega al servidor receptor.
El servidor receptor verifica el correo electrónico firmado en tres pasos:
1. El servidor receptor extrae la firma y el dominio de envío (De:) del encabezado del correo electrónico y obtiene la clave pública correspondiente del DNS.
2. El servidor receptor utiliza la clave pública obtenida del DNS para verificar la firma generada con la clave privada. Esto garantiza que el correo electrónico realmente se envió y no se modificó.
3. Entrega. El servidor receptor utiliza políticas locales para tomar la decisión final. Si el dominio se verifica y otras pruebas antispam no son concluyentes, el mensaje se entrega a la bandeja de entrada del usuario. De lo contrario, el mensaje puede descartarse, ponerse en cuarentena, etc.
2.2.3. Tecnología SenderID
En 2004, Gates prometió que Microsoft sería capaz de eliminar el spam en el futuro. Lo que esperaba era la tecnología SenderID. Sin embargo, recientemente la retiró. . escuchó su profecía. Esta es la batalla por los estándares. Microsoft espera que el IETF pueda adoptar la tecnología Sender ID como estándar y ha recibido mucho apoyo, como Cisco, Comcast, IBM, Cisco, Port25, Sendmail, Symantec, VeriSign, etc. , incluido AOL, que luego cambió de bando. Soporte, pero en la comunidad de código abierto, Microsoft no recibió suficiente apoyo y el IETF finalmente rechazó la propuesta de Microsoft.
La tecnología SenderID incluye principalmente dos aspectos: soporte del remitente y soporte del receptor.
El soporte del remitente de correo electrónico incluye principalmente tres partes: el remitente debe modificar el DNS del servidor de correo electrónico y agregar un registro SPF específico para indicar su identidad de envío, como "v=spf1 ip4:192.0.2.0/24 -all" , lo que significa que el uso de la versión SPF1 es válido para el segmento de red 192.0.2.0/24; opcionalmente, el MTA del remitente admite agregar SUBMITTER y otras extensiones a su protocolo de comunicación de envío de correo saliente, y agregar Resent a su correo. De, Remitente y otros membretes.
El soporte de la parte receptora incluye: el servidor de correo del destinatario debe utilizar la tecnología de verificación SenderID para comprobar el PRA o MAILFROM del correo recibido, consultar el registro SPF del DNS del remitente y utilizarlo para verificar el envío. identidad.
Por lo tanto, utilizando la tecnología Sender ID, todo el proceso es:
El primer paso, el remitente redacta el correo electrónico y lo envía;
El segundo paso, la transferencia del correo electrónico al servidor de correo receptor;
El tercer paso, el servidor de correo receptor utiliza la tecnología SenderID para verificar la identidad reclamada por el remitente (la verificación se realiza a través de una consulta específica de DNS
El cuarto paso, si se descubre que la identidad reclamada por el remitente coincide con la dirección de envío, acepte el correo electrónico; de lo contrario, tome acciones específicas en el correo electrónico, como rechazar directamente el correo electrónico o tratarlo como spam. .
La tecnología de identificación del remitente no es en realidad un arma mágica para erradicar el spam. Es solo una tecnología para resolver el origen del spam. En esencia, no puede identificar si un correo electrónico es spam. Por ejemplo, los spammers pueden registrar nombres de dominio baratos para enviar spam. Desde un punto de vista técnico, todo cumple con las regulaciones; los spammers también pueden reenviar su spam a través de vulnerabilidades en los servidores de correo electrónico de otras personas, esto también es algo que permite la tecnología SenderID. no puede resolver.
2.2.4. Tecnología FairUCE
FairUCE (Uso justo de correo electrónico comercial no solicitado) fue desarrollada por IBM. Esta tecnología utiliza herramientas de gestión de identidad integradas en el campo de la red para filtrar el correo electrónico. nombres de dominio analizándolos y bloqueando el spam.
FairUCE vincula el correo electrónico entrante a su dirección IP de origen, estableciendo un vínculo entre la dirección de correo electrónico, el dominio de correo electrónico y la computadora que envió el correo electrónico para determinar si el correo electrónico es sexo legítimo. Por ejemplo, utilice SPF u otros métodos. Si se puede encontrar una relación, verifique la lista blanca y negra del destinatario y la reputación del nombre de dominio para determinar el funcionamiento del correo electrónico, como aceptación, rechazo, etc.
FairUCE también tiene una función, que consiste en encontrar la fuente del spam a través de la trazabilidad y transferir el spam entregado de regreso a la fuente, para combatir a los spammers. Este enfoque tiene ventajas y desventajas. La ventaja es que puede afectar el rendimiento de la fuente de spam, pero la desventaja es que puede afectar el funcionamiento normal de los servidores normales (como los que están explotados) y, al mismo tiempo, esta función replica una gran cantidad de cantidad de tráfico spam.
2.2.5, limitaciones y deficiencias
Estas soluciones tienen cierta usabilidad, pero también tienen algunas deficiencias:
**No host o dominio vacío nombre
El método de consulta inversa requiere que el correo electrónico provenga de un servidor de correo conocido y confiable y corresponda a una dirección IP razonable (registro MX inverso). Sin embargo, la mayoría de los nombres de dominio en realidad no corresponden a direcciones IP completamente estáticas. A menudo, los individuos y las pequeñas empresas también quieren tener sus propios nombres de dominio, sin embargo, esto no proporciona suficientes direcciones IP para cumplir con los requisitos. Los hosts registrados en DNS, como GoDaddy, ofrecen servicios gratuitos de reenvío de correo electrónico a quienes no tienen un host o solo tienen un nombre de dominio vacío. Aunque este servicio de reenvío de correo solo puede gestionar los correos recibidos y no puede proporcionar servicios de envío de correo.
La solución de consulta inversa causa algunos problemas a los usuarios que no tienen un host o solo tienen un nombre de dominio vacío:
·No hay registro MX inverso. Estos usuarios ahora pueden configurar sus clientes de correo electrónico para enviar correos electrónicos utilizando sus nombres de dominio registrados. Sin embargo, si desea consultar de forma inversa la dirección IP del nombre de dominio del remitente, no podrá encontrarla en absoluto. Especialmente para usuarios de dispositivos móviles, de acceso telefónico y otros que cambian con frecuencia sus direcciones IP.
·No se puede enviar correo electrónico. Para resolver el problema anterior, una forma es reenviar el correo electrónico a través del servidor del ISP, que puede proporcionar un registro MX inverso. Sin embargo, siempre que el nombre de dominio del remitente sea diferente del nombre de dominio del ISP, el ISP no permitirá el reenvío ahora. . de correo.
En ambos casos, estos usuarios serán bloqueados por el sistema de consulta inversa.
**Nombre de dominio legítimo
Poder verificar la identidad no significa necesariamente que sea una identidad legal. Por ejemplo, los spammers pueden registrar nombres de dominio baratos para enviar correos electrónicos no deseados. Desde un punto de vista técnico Desde una perspectiva, todo cumple con los estándares; actualmente muchos spammers pueden ingresar a sistemas de correo electrónico legítimos a través de vulnerabilidades en los servidores de correo de otras personas para reenviar su spam. Estos problemas no se pueden resolver con consultas de verificación.
2.3. Desafíos
Los remitentes de spam utilizan algún software de envío automatizado de correo electrónico para generar millones de correos electrónicos cada día. La tecnología desafiante puede frustrar a un gran número de remitentes de correo electrónico al ralentizar el procesamiento del correo electrónico. Los usuarios normales que sólo envían una pequeña cantidad de correos electrónicos no se verán afectados significativamente. Sin embargo, la tecnología del desafío ha tenido éxito y solo unas pocas personas la utilizan. Si estuviera más extendido, la gente podría estar más preocupada por si afectaría la entrega de correo electrónico en lugar de obstaculizar el spam.
Aquí se presentan dos formas principales de desafíos: desafío-respuesta y desafíos computacionales propuestos (desafío-respuesta y desafíos computacionales propuestos)
2.3.1 Desafío-respuesta
El sistema Desafío-Respuesta (CR) mantiene una lista de remitentes aprobados. Los correos electrónicos enviados por un nuevo remitente de correo electrónico se retendrán temporalmente y no se entregarán inmediatamente
Referencia: