Технологии аутентификации (система кода отправителя (SIDF) и идентификация почты ключом домена (DKIM)
Оружие спаммера - ложный адрес отправителя. При этом в SMTP нет ничего, что бы заставило указывать истинный обратный адрес. Решить проблему подлинности были призваны механизмы аутентификации, которые проверяют адрес в письме на соответствие реальному адресу отправки. Сегодня общеизвестны две технологии аутентификации: система кода отправителя (SIDF) и идентификация почты ключом домена (DKIM). Эта статья - обзор работы брендов и нового ПО SenderInspector.
Каталог антиспам-решений и проектов доступен на TAdviser
Содержание |
Технология SIDF
SIDF построен на основе протокола IP и объединяет технологии Microsoft Caller ID for E-Mail (идентификатор отправителя почты от Майкрософт) и SPF (фреймворк политики отправителя).
Механизм SIDF пытается определить, что сообщение было послано отправителем, указанным в заголовке письма. Причем отправляющий сервер должен находиться в списке серверов, которым разрешено отправлять почту. SIDF требует внесения специальных текстовых записей (SPF-записей) в файл зон DNS. Записи вносятся провайдером или владельцем домена. Каждая такая запись должна включать список всех авторизованных серверов исходящей почты (с указанием домена и соответствующих IP-адресов). Принимающий сервер проверяет наличие записи SPF для входного домена. Проверка выполняется автоматически, еще до того, как письмо попало в папку Входящие. Если адрес исходящего сервера найден, то письмо прошло проверку, иначе его относят к спаму или фишингу.
По заверению Microsoft, технология SIDF ортогональна и не требует изменения или обновления ПО сервера и клиента (No outbound server, client changes and no user interaction). Однако, как показала практика, с использованием SIDF не все так гладко, как ожидалось. Клиентам, которым нужно внедрить проверку подлинности, придется обновить систему входящих сообщений и MTA и развернуть средства поддержки SIDF. SIDF может держать в постоянном напряжении службу системных администраторов, а затраты на обслуживание могут быть весьма большими. Головной болью для клиентов могут стать легитимные сообщения, которые не прошли проверку на подлинность. Кроме того, к технологии SIDF есть некоторые лицензионные претензии, а также она имеет проблемы с переадресацией и неудобна для инфраструктур, включающих различные типы SMTP-серверов.
Технология DKIM
DKIM объединяет спецификации «Yahoo! DomainKeys» (доменные ключи Yahoo!) и IIM (идентификация Интернет-почты) от корпорации Cisco.
DKIM - это технология аутентификации через шифрованную подпись, которой сопровождаются все исходящие сообщения. DKIM обеспечивает также целостность доставки почты. Подпись DKIM предваряет все заголовки письма и включает данные из видимых полей: From, To, Sender, Subject и Date. Легитимность цифровой подписи проверяется автоматически. При этом принимающая сторона может вообще запретить прием неподписанных сообщений. Для добавления подписи в исходящую почту используется закрытый ключ домена. Открытый ключ домена добавляется в записи DNS. Для проверки подлинности источника клиент извлекает из подписи имя домена и запрашивает открытый ключ у DNS. С помощью считанного ключа формируется DKIM-подпись и сравнивается с полученной. Если подписи совпадают, то проводится анализ контента и сообщение отсылается реципиенту, иначе, оно относится к спаму или фишингу.Как DevOps-сервис помогает «разгрузить» высоконагруженные системы BPMSoft
В отличие от SIDF, DKIM базируется на имени домена, более стабильном, чем IP-адрес. Настройка DKIM более сложна, чем настройка SIDF. При этом, DKIM не имеет проблем с переадресацией, которыми страдает SIDF. Но, в отличие от SIDF, внедрение DKIM требует модификации ПО сервера и клиента. Последнее рассматривается многими, как значительный недостаток. Кроме того, DKIM требует частого обращения к DNS и увеличивает оверхед системы при обработке сообщений.
Технология SI - плагин SenderInspector
SI - плагин для Windows Server 2008/2003, позволяющий подавлять исходящий спам. SI - не механизм аутентификации, его цель устранить изъян SMTP, а именно, отсутствие зашиты адреса отправителя.
Суть технологии SI в следующем. В IIS исходящие сообщения отсылаются через библиотеки: CDO, ColdFusion, .Net.Mail и пр. SI - надстройка над ними и SMTP, которая устраняет возможность рассылки писем от ложного отправителя. SI перехватывает HTTP-запросы и отслеживает реальный адрес отправки. IIS может использовать анонимную аутентификацию. SI позволяет найти спаммера, даже если он отсылает письма анонимно. SI расширяет возможности IIS и предлагает два антиспам инструмента: обратный адрес и почтовый журнал. Обратный адрес - скрытый заголовок в исходящих письмах, который содержит FQDN сайта реального отправителя. Обратный адрес прозрачен для фильтров клиента и сервера. SI добавляет его в письма налету. Почтовый журнал - текстовая база данных в формате XML. Узлы БД упорядочены по количеству писем с указанием обратного адреса. Спамеры отправляют большое число писем и могут быть легко найдены на вершине журнала. Служба ABUSE управляет почтовым журналом. В то же время конечный получатель может легко извлечь обратный адрес из письма и отправить его ABUSE.
SI - облегченное решение, которое почти не уступает брендам. SI не обеспечивает аутентификацию, а решает главную задачу и разоружает спаммера, показывая всем истинного отправителя. При этом у SI нет недостатков, отмеченных выше. Он изначально не имеет проблемы переадресации, присущей SIDF и позволяющей спаммерам продолжать распространять нежелательные сообщения. SI не требует модификации ПО сервера и клиента и фактически не нуждается в обслуживании. SI устанавливается только на сервер, причем практически за один клик. Обратный адрес SI прозрачен для ПО клиента и сервера. Более того, можно даже отказаться от авторизации при рассылке писем. Однако SI увеличивает общий оверхед (нужно добавить заголовок в письмо). SI - это апробированный инструмент, используемый крупным хостингом. Недостатки SI: малоизвестность и ориентация только на IIS.
Елена Романова. 22.12.2012
P.S
Обратите внимание, что описанные выше технологии сами по себе не решают проблему спама или фишинга. Они позволяют вам только избежать замены, модификации или подделки адреса отправителя.