垃圾邮件发送者、钓鱼者、其他互联网犯罪分子会被警告。
本周二,一家主要的互联网标准机构初步批准了一项旨在发现和过滤虚假电子邮件的技术。这一技术名为DomainKeys Identified Mail,能使用户过滤无穷无尽的欺诈性电子邮件。
雅虎、思科、Sendmail、PGP Corporation是DomainKeys的支持者,它们在一份联合声明中说,通过提供电子邮件认证和跟踪能力,帮助认定电子邮件是否合法,DomainKeys能够向企业提供更好的帮助。
与其它反垃圾邮件和反钓鱼技术相比,互联网工程工作小组采用的这一草案标准更有前途,使用了安全数字签名来打击网络犯罪活动。工作原理很简单:如果PayPal向客户发送有关帐户的电子邮件,其发送服务器会在合法电子邮件中悄悄地插入一个数字签名。
我们假设接受用户使用雅虎的电子邮箱,雅虎电子邮件服务器会自动地检查PayPal互联网域名清单 ,验证数字签名的有效性,以及这一电子邮件真的来自Paypal.com。系统也可以使用授权的第三方提供的签名。
如果签名不合格,这封电子邮件就可能是垃圾邮件,或者是钓鱼式攻击邮件。尽管DomainKeys标准没有规定无效签名的电子邮件应当被标志为垃圾邮件,互联网服务提供商可能会这样做。
所有这些措施代表着解决互联网电子邮件一个与生俱来问题的“迟来的努力”:它诞生于一个更清白的时代,本身几乎没有什么安全措施。
与现有反垃圾邮件和反钓鱼邮件技术相比,从长期来看,DomainKeys更有前途。但垃圾邮件发送者发明了越来越有创新性的反攻击措施,例如在电子邮件文本中插入图像化广告,欺骗流行的反垃圾邮件方法。
DomainKeys代表着钓鱼攻击者和互联网用户之间军备竞赛中的一个重大转变:它是一种无法被反击的战术核武器攻击。数字签名被认为是不可伪造的。
但DomainKeys方法面临着一个严重的短期问题:只有当发送者和接收者的系统都支持这一标准的情况下,这一技术才有效。它还不会标志合法公司发送的垃圾邮件,或识别来自具有DomainKeys域名的垃圾邮件。但是雅虎认为,通过限制垃圾邮件发送者只能访问有限的域名,发送域名会随着时间推移获得一个声誉档案。
DomainKeys其它支持者包括反垃圾邮件技术厂商和大量发送电子邮件的组织:AOL、EarthLink、IBM、VeriSign、IronPort Systems、Cox Communications、趋势。
互联网工程任务小组的初步批准使得DomainKeys成为官方推荐标准,它是达到这一发展阶段的唯一类似技术,微软Sender ID还没有达到这一阶段,DomainKeys在这方面拥有很明显的优势。
在本周二的一篇博客中,雅虎工程师马克说,所有一切都取决于大规模普及。DomainKeys已经进入Standards Track状态,在全球普及的障碍已经大大减少,但并没有完全消除。
Sender ID在原理上与DomainKeys相似,但普及受到了影响,因为微软不同意以与GPL兼容的方式许可其专利。雅虎已经同意开放大量与DomainKeys相关的专利。
【相关文章】