DKIM技術在反垃圾郵件技術中的應用

徐 銳

本溪廣播電視大學（本溪117000）

最初，垃圾郵件主要是一些不請自來的商業宣傳電子郵件，而現在更多的有關色情、政治的垃圾郵件不斷增加，甚至達到了總垃圾郵件量的40%左右，并且仍然有持續增長的趨勢。另一方面，垃圾郵件成了計算機病毒新的、快速的傳播途徑。

而且目前世界上50%的郵件都是垃圾郵件，只有少數組織承擔責任。長期以來，人們不斷探索著垃圾郵件的解決之道，無論哪種方式方法，要想從根本上解除垃圾郵件的泛濫，還是需要一套能夠有效防范垃圾郵件的安全技術。

1 垃圾郵件無法避免的技術原因

當前郵件傳輸的主要協議是 SMTP協議，SMTP在設計的時候并沒有考慮到安全問題。發送者使用SMTP協議將郵件發送給SMTP服務器，由它根據郵件的目的地址，使用 SMTP協議將郵件發送至目標 SMTP服務器，該服務器收到郵件后放入接收人的郵箱，最后由郵件的接收者使用POP3或者IMAP協議從郵箱服務器上接收自己的郵件。在郵件傳輸的過程中，發送者與發送服務器、發送服務器和接收服務器之間都未做認證，因此發送方可以使用互聯網上任意一臺 SMTP服務器來發送他的郵件，這就是所謂的OpenRelay。

隨著垃圾郵件的泛濫，大部分的郵件服務器都關閉了Open Relay，在發送方和發送服務器之間進行認證，從而保證只有合法用戶才能使用這臺服務器發送郵件，這就是增強的ESMTP協議。然而這個方法無法解決在發送服務器和接收服務器之間的合法認證，垃圾郵件仍然無法避免。

2 DKIM技術介紹

DKIM（DomainKeys Identified Mail）技術基于雅虎的 DomainKeys驗證技術和思科的Internet Identified Mail。

雅虎的DomainKeys利用公共密鑰密碼術驗證電子郵件發件人。發送系統生成一個簽名并把簽名插入電子郵件標題，而接收系統利用 DNS發布的一個公共密鑰驗證這個簽名。思科的驗證技術也利用密碼術，但它把簽名和電子郵件消息本身關聯。發送服務器為電子郵件消息簽名并把簽名和用于生成簽名的公共密鑰插入一個新標題。而接收系統驗證這個用于為電子郵件消息簽名的公共密鑰是授權給這個發件地址使用的。

DKIM將把這兩個驗證系統整合起來。它將以和DomainKeys相同的方式用DNS發布的公共密鑰驗證簽名，它也將利用思科的標題簽名技術確保一致性。

DKIM 給郵件提供一種機制來同時驗證每個域郵件發送者和消息的完整性。一旦域能被驗證，就用來同郵件中的發送者地址作比較檢測偽造。如果是偽造，那么可能是spam或者是欺騙郵件，就可以被丟棄。如果不是偽造的，并且域是已知的，可為其建立起良好的聲譽，并綁定到反垃圾郵件策略系統中，也可以在服務提供商之間共享，甚至直接提供給用戶。

對于知名公司來說，通常需要發送各種業務郵件給客戶、銀行等，這樣，郵件的確認就顯得很重要?？梢员Ｗo避免受到phishing攻擊。

DomainKeys的實現過程如下。

(1)發送服務器經過兩步，①建立，域所有者需要產生一對公/私鑰用于標記所有發出的郵件（允許多對密鑰），公鑰在DNS中公開，私鑰在使用DomainKey的郵件服務器上；②簽名，當每個用戶發送郵件的時候，郵件系統自動使用存儲的私鑰來產生簽名。簽名作為郵件頭的一部分，然后郵件被傳遞到接收服務器上。

(2)接收服務器通過三步來驗證簽名郵件，①準備，接收服務器從郵件頭提取出簽名和發送域（From:）然后從DNS獲得相應的公鑰；②驗證，接收服務器用從DNS獲得的公鑰來驗證用私鑰產生的簽名。這保證郵件真實發送并且沒有被修改過；③傳遞，接收服務器使用本地策略來作出最后結果，如果域被驗證了，而且其他的反垃圾郵件測試也沒有決定，那么郵件就被傳遞到用戶的收件箱中，否則，郵件可以被拋棄、隔離等。

3 總結

在反垃圾郵件技術中，DKIM技術只是啟發式檢測流程中的一項技術，DKIM給郵件提供一種機制來同時驗證每個域郵件發送者和消息的完整性。一旦域能被驗證，就用來同郵件中的發送者地址作比較檢測偽造。其實，現在很多反垃圾郵件方案所采用的都不會只是一種技術，而是多種多類技術的綜合體。

垃圾郵件的危害現在已經深入人心，反垃圾郵件也取得越來越多的成績，比如，Scott Richter向微軟賠款700萬。不少國家也在為反垃圾郵件進行立法，以便能夠得到法律上的支持。

但從技術上來說，這跟反攻擊一樣，是一個正反雙方的博弈過程，一種新的反垃圾郵件技術必然會出現一種對應得垃圾郵件技術，況且，任何一種技術，還沒有辦法去解決所有問題，技術的發展也將延續下去。

[1]倪加勛,袁衛.應用統計學.北京:中國人民大學出版社,1993.

[2]郭泓.電子郵件過濾技術淺析.信息網絡安全,2002.

[3]王斌,潘文峰.基于內容的垃圾郵件過濾技術綜述.中國科學院計算技術研究所碩士畢業論文,2004

[4]電子郵件系統概念.http://baike.baidu.com/view/2296101.htm

[5]反垃圾郵件網關的概念 .http://www.cdcy-mail.com/ljyjwg/2011083024.html