深度分析 | 垃圾邮件是如何通过SPF检查进入收件箱的?
电子邮件通过SMTP协议与所属发送方邮件服务器建立连接,并将要发送的邮件发送到所属发送方邮件服务器。但最初SMTP的局限之一在于它没有对发送方进行身份验证的机制,所以用户会收到垃圾邮件,因此行业开发了一种新方法SPF(发送者策略框架)。
当使用SPF,域名所有者可以发布域名系统(DNS)记录,这些记录定义了授权使用其域名发送电子邮件的IP地址。在接收端,邮件服务器可以查询发送者域的SPF记录,以判断发送者的IP地址是否被授权代表该域发送电子邮件。
SMTP是一种提供可靠且有效电子邮件传输的协议。它是建立在FTP文件传输服务上的一种邮件服务,主要用于传输系统之间的邮件信息并提供来信有关的通知。
比如,假设在example.com 上的 Alice向example.org上的 Bob 发送一封电子邮件。如果没有 SPF,Alice 和 Bob 的电子邮件服务器将进行类似于以下的 SMTP 对话,使用 HELO 而不是 EHLO简化了该对话,但并不会以显着改变基本结构的方式进行:
回到example.net上的假设, “from”Alice……这将涉及两个级别的模仿(或伪造),现在许多人认为可以或应该通过自动化的技术检查来检测和阻止这种虚假的电子邮件消息。第一个是 SMTP 信封级别,第二个是邮件标题级别。SPF提供SMTP信封级别检查,后来的防伪和邮件身份验证协议DKIM和DMARC在邮件标题和邮件消息首部级别提供检查。
SPF是发送方策略框架 (Sender Policy Framework) 的缩写,它是一种电子邮件验证系统,可以使用为域发布的特定 SPF 记录(其中包含域管理员允许的主机详细信息的仿冒邮件)识别出仿冒/伪造的电子邮件。
根据2022年发表的一项研究,在调查15亿个域名中,约32%有SPF记录。其中,7.7%语法无效,1%使用了已弃用的PTR记录,该记录将IP地址指向域名。但SPF的使用速度很慢,而且确实存在缺陷,这可能也会导致另一个问题——有多少域拥有过度许可的SPF记录?
比如,以收到的一封自称来自法国保险公司 Prudence Cré ole 的电子邮件,但带有垃圾邮件和欺骗的特征为例。
虽然伪造邮件的From: address 邮件标头很简单,但通过检查完整的邮件标头并发SMTP信封的MAIL FROM: address reply@prudencecreole.com中的域发现它已通过 SPF。
这是一个巨大的 IPv4 地址块,178.33.104.0/2包含 25% 的 IPv4 地址空间,取值范围为128.0.0.0-191.255.255.255 。 超过10亿个IP地址被批准为Prudence Creole域名的发送者,该域名可以算是垃圾邮件发送者的天堂。
为了确认该情况,笔者重新设置了一个电子邮件服务器,通过互联网服务提供商分配的一个随机但符合条件的 IP 地址,并成功向自己发送了一封欺骗prudencecreole.com的电子邮件。
△记录显示成功
为域创建 SPF 记录并不能完全打击垃圾邮件发送者的欺骗行为。但如果配置安全,使用SPF可能会拦截许多垃圾邮件。因为 SPF 设置需要两个人配合,发件人和收件人都需要协调各自的电子邮件安全策略,以防电子邮件因双方采用过于严格的规则而无法送达。
考虑到垃圾邮件散布者欺骗您的域名可能带来的潜在风险和损害,您可以了解或采用以下建议 :
01
为所有的HELO/EHLO身份创建SPF记录;
02使用带有“ - ”或“ ~ ”限定符的all机制,而不是使用“ ?”限定符,因为后者能有效允许任何人欺骗用户的域名;
03为每个域和子域设置“删除所有内容”规则 ( v=spf1 -all ),该规则不应生成(互联网路由)电子邮件或出现在HELO/EHLO或MAIL FROM: 命令的域名部分;
04作为指导原则,要确保SPF记录很小,最好不超过512个字节;
05确保SPF记录中只授权一组有限且受信任的IP地址。
SMPT的广泛使用创造了一种新的 IT 文化,它专注于可靠、高效地传输电子邮件,而不是安全和隐私。重新调整以安全为中心的文化虽然是个缓慢的过程,但鉴于泛滥的垃圾邮件以及钓鱼邮件对用户带来的困扰和巨大损失,这一过程应该重新提上日程。
-END-
https://baike.baidu.com/item/SMTP?fromModule=lemma_search-box
https://baike.baidu.com/item/SPF/18073817?fr=aladdin
01
02
03解读 | 关于修改《中华人民共和国网络安全法》的决定(征求意见稿)04网络安全意识 | 员工是企业网络安全工作的最后一道防线