作者:秋石 支付宝风险管理部

钓鱼邮件” 已成为个人资金信息安全最大的隐患之一。利用仿冒邮件地址的欺诈行为在业内比较普遍,虽然大部分邮件服务商禁止未经签名的发件服务器发送邮件,如 雅虎Hotmail 邮箱等。但仍有大量“钓鱼邮件”及伪造邮件通过其他方式在网络传播,每年均有相当数量的网民因此利益受损。这一问题几乎困扰着全球各大跨国公司及所有的邮箱用户。

支付宝(中国)网络技术有限公司计划与邮件商从“钓鱼邮件”的关键点上入手,通过采用域名密钥绑定官方系统邮件来解决此类问题。而雅虎邮箱所拥有的DomainKeys技术,是国际邮箱业界反垃圾邮件技术和身份认证技术安全级别最高的技术之一,在国际上已经长期得到成熟运用。同时由于支付宝用户中使用雅虎邮箱的比例较高,双方拥有良好的合作基础。

从即日起,凡是由支付宝官方发送的包括帐户变动通知,凭证上传通知等内容的邮件,雅虎邮箱用户会发现在邮件列表上均显示支付宝的盾牌 Logo,并在邮件内可显示数字密钥安全标识,而非官方系统邮件则无该安全标识。据悉,该项目涉及全球范围内的雅虎邮箱用户。

如下图(点击可查看大的效果图):

用户在打开邮件后还能看到发件人的签名标志:

其实,推行信任邮件又简单却又复杂,说难是因为国内超过几十家第三方邮件服务商难以统一协调,说简单是因为只要遵循一个邮件的标准即可。但关键是需要一个有责任感的企业主动站出来并持久地坚持下去。支付宝与雅虎携手启动该计划将共同为净化国内网络购物环境做出努力。

下边让我们来了解一下 Domain keys的细节:据中国雅虎工程师介绍,由于电子邮件协议早在互联网初期就产生,其规范的制定是很开放的,电子邮件的信体(包括发信人姓名和地址等)可以由发信人随意填写。这使得一些不法分子或垃圾邮件发信者就经常用伪造的邮件地址去博取用户的信任并打开邮件。因为传统电子邮件协议缺乏发信者的认证,检验和追溯性,电子邮件服务提供商也无法知道某一封邮件到底是否真实的或者伪造的,只能不断用一些训练式的过滤器代表用户来决定哪些邮件应该投递,哪些应该拦截,哪些应该隔离。Domainkeys 的出现,正是为解决电子邮件身份识别和保证邮件内容完整性这一问题。

Domainkeys 是由雅虎公司推出的一项确保电子邮件来源的真实性和内容的完整性的技术,它能让电子邮件服务商确定某封信是否真实的来自某个域,同时还能确定信体内容是否被修改过。这对于发送交易邮件的著名公司或银行等其他金融机构非常有用,它能帮助他们的用户免受“钓鱼欺诈邮件“的损害,比如用户常收到伪造这些机构的诈骗邮件,然后索取用户的信用卡卡号和密码。 而对于金融机构等公司也有保护用户的交易信息,提高用户满意度,减少客服咨询处理量和品牌保护的作用。

Domainkey的工作原理是:发信域的负责人首先生成一对公私钥用于对它发出的邮件进行签名(也可以生成多对公私钥用于发出不同类型的邮件),公钥需要部署到公共的DNS 服务器上供所有收信方查询。而私钥则用于加密自己发出的信。这样只有含有用这个私钥加密后的字符串的邮件才是该域发出的邮件。 收信方在收到邮件时,可以通过公用DNS查询它的公钥,然后用该域的公钥来解密验证收到的邮件。 如果验证是正确的,并且通过了其他反垃圾工具的检查,这封信就被投递到用户的邮箱里;如果验证失败,邮件将会被丢弃或者标志。 这样用户在所收到的邮件就能确保邮件确实是该域发出,而且邮件体本身没有被修改过。 而电子邮件服务商也可以建立发信域的信誉体系,以利于反垃圾邮件工具对该域的来信进行更有效的判断。

Domainkeys的这种通过数字签名来识别邮件真实来源的办法较之传统的以IP地址来识别的方法有三点好处:

  • 一是如果邮件经由几次转发,IP地址的识别就会增加困难,不知道该以哪个ip为标准,而Domainkeys则没有这种问题,数字签名是插入邮件头部的,转发多少次都是可以提取出来用公钥验证。
  • 二是一般电子邮件服务商经常需要增加服务器或者减少服务器,这导致发信IP会经常有变化,所以就需要向各个收信方电话或其他沟通方式通知,以便能正确识别来源。Domainkeys则不存在这个问题,因为它的身份标志不是IP地址,而是Domain,它作为一个电子邮件服务商的域名,变化会少很多,或者说不会变化,而且公钥是部署在公共的DNS上的,也无须通知收信方,没有任何的沟通成本。
  • 三是对于一般的电子邮件服务商,尤其是企业邮局服务商,经常出现很多客户的域名是共享服务器的,也就是存在多个域共享一个IP的问题,这样就经常发生由于某个domain发了垃圾邮件导致IP进入黑名单而连累了其他域的发信情况。 Domainkeys 就不会存在这种问题,因为它是基于域验证的,完全可以为每个域建立一个信誉库,相互之间不会影响。

所以,Domainkeys 有以下特点:

  • 1. 基于域来进行身份识别
  • 2. 采用非对称的加密方式对邮件进行数字签名,别人无可伪造
  • 3. 维护沟通成本低。公钥部署在公共的DNS上,无须相互通知。
  • 4. 解决了企业域共享IP的问题,各域之间不相互影响

目前,Yahoo!,Gmail 等其他公司都支持 Domainkeys规范。 而作为Domainkys的推出者 Yahoo!, 在收到一封带有Domain key签名的邮件时会验证这封信,如果验证通过就会明显提示用户,目前是用一个小钥匙代表这封信是通过了验证的,让用户放心这封信确实是由某域发出的。另外,既然邮件来源可以真实识别,Yahoo! 邮箱还提供了针对域的特色服务,比如给特别的域显示特别的小图标以表示这封信来自某个可信任的域,这样用户只要看到小图标就可以相信这封信确实是真实的来自某个域。这种服务对于银行等金融系统的域尤其有用。最后Yahoo! 还会对做了Domainkeys的不同的域建立信誉体系,对于信誉好的Domain可能会免除反垃圾邮件的处理直接投入用户收信箱,对于用户投诉过多的Domain或许会采取更为严格的反垃圾机制,甚至拒绝发送。

最后,如果您是服务供应商,请为您的 Domain 做Domainkeys,防止别人冒用你的域名发信欺骗你的用户而给您的品牌带来不好的名声;如果您是邮箱用户,请使用支持Domainkeys规范验证的邮箱提供商,比如Yahoo! 或 Gmail,它会使你更容易识别邮件的真实来源而免受诈骗邮件的损害。

补充:关于 DomainKey Implementor’s Tools and Library for email servers & clients

–EOF–