STARTTLS、DKIM 和 DMARC 等協定如何促進電子郵件安全?

/ / 出版於 網路安全, EITC/IS/ACSS 高級計算機系統安全, 消息, 消息安全, 考試複習

STARTTLS、DKIM(網域金鑰識別郵件)和 DMARC(基於網域的訊息驗證、報告和一致性)等協定在增強電子郵件通訊的安全性方面發揮關鍵作用。這些協定中的每一個都涉及電子郵件安全的不同方面,從加密到身份驗證和策略執行。這項詳細的探索闡明了他們各自的角色和對保護電子郵件通訊的貢獻。

STARTTLS:保護電子郵件傳輸

STARTTLS 是簡單郵件傳輸協定 (SMTP) 的擴展,允許使用傳輸層安全性 (TLS) 或其前身安全通訊端層 (SSL) 將現有純文字連線升級為安全的加密連線。該協定對於在電子郵件伺服器之間傳輸期間保護電子郵件訊息的完整性和機密性非常重要。

機制和功能

發送電子郵件時,它通常會跨越多個伺服器,然後到達最終目的地。如果沒有加密,這些電子郵件的內容可能會被惡意行為者攔截和讀取。 STARTTLS 透過啟用電子郵件流量加密來降低此風險。

1. 初始連接:當電子郵件用戶端連接到電子郵件伺服器時,它會以普通 SMTP 連線開始。
2. 啟動TLS指令:客戶端向伺服器發送 STARTTLS 命令,表示希望將連線升級為安全連線。
3. TLS 握手:如果伺服器支援STARTTLS,則做出肯定回應,客戶端和伺服器雙方發起TLS握手,建立加密會話。
4. 加密通訊:握手完成後,客戶端和伺服器之間的所有後續通訊都會加密。

考慮一封電子郵件是從“[email protected]` 到 `[email protected]`。電子郵件首先從寄件者的電子郵件用戶端傳輸到寄件者的電子郵件伺服器。如果寄件者和收件者的伺服器都支援 STARTTLS,則電子郵件會在這些伺服器之間傳輸期間加密,以確保任何攔截嘗試都會導致資料不可讀。

DKIM:驗證電子郵件來源

DKIM 是一種電子郵件驗證方法,旨在偵測電子郵件中的偽造寄件者地址,這是網路釣魚和電子郵件欺騙攻擊中常用的策略。它允許收件者驗證聲稱來自特定網域的電子郵件是否確實經過該網域擁有者的授權。

機制和功能

DKIM 的工作原理是向電子郵件標頭添加數位簽名,然後由收件者的電子郵件伺服器使用 DNS 記錄中發布的寄件者公鑰進行驗證。

1. 密鑰對生成:域所有者產生公私密鑰對。私鑰用於簽署外發電子郵件,公鑰在網域的 DNS 記錄中發布。
2. 電子郵件簽名:發送電子郵件時,寄件者的電子郵件伺服器使用私鑰根據電子郵件標頭和正文的內容建立數位簽章。
3. 簽名添加:此簽章會作為 DKIM 簽章欄位新增至電子郵件標頭。
4. 驗證狀態:收到電子郵件後,收件者的伺服器從 DNS 記錄中檢索寄件者的公鑰,並使用它來驗證數位簽章。如果簽名匹配,則確認電子郵件未更改並且確實來自聲稱的寄件者。

來自`的電子郵件[email protected]` 到 `[email protected]` 其標頭中將包含 DKIM 簽章。當`[email protected]` 的伺服器收到電子郵件後,會在 DNS 記錄中尋找 `example.com` 的公鑰並驗證簽章。如果簽名有效,則電子郵件被視為真實。

DMARC:執行電子郵件驗證策略

DMARC 基於 DKIM 和 SPF(寄件者策略框架)構建,為網域擁有者提供了一種發布有關如何處理未通過身份驗證檢查的電子郵件的策略的方法。它還提供了一種機制,用於向網域所有者報告通過或未通過這些檢查的電子郵件。

機制和功能

DMARC 透過指定如何處理未通過驗證的電子郵件來增強電子郵件安全性,從而有助於防止網路釣魚和欺騙。

1. 政策發布:網域擁有者在 DNS 記錄中發佈 DMARC 政策。此策略包括有關如何處理未通過 DKIM 和/或 SPF 檢查(例如拒絕、隔離或無檢查)的電子郵件的說明。
2. 對準檢查:DMARC 要求 From: 標頭中的域與 DKIM 和 SPF 檢查中使用的域一致。這種對齊確保電子郵件不僅經過身份驗證,而且來自預期的網域。
3. 強制:當電子郵件未通過 DKIM 或 SPF 檢查時,收件者的伺服器會查閱 DMARC 策略以確定適當的操作(例如,拒絕電子郵件、隔離電子郵件或接受但帶有警告)。
4. 報告儀表板:DMARC 提供了一種報告機制,收件者伺服器可以將聚合和取證報告傳送回網域擁有者。這些報告包含有關通過或未通過身份驗證檢查的電子郵件的資訊。

網域「example.com」可能會發布 DMARC 策略,指示收件者伺服器拒絕任何未透過 DKIM 或 SPF 檢查的電子郵件。如果攻擊者試圖欺騙來自“[email protected]`,且電子郵件未通過 DKIM/SPF 檢查,收件者的伺服器將根據 DMARC 政策拒絕電子郵件。

電子郵件安全中的協同作用

雖然每個協議都獨立增強了電子郵件安全性,但它們的組合實施可提供針對各種基於電子郵件的威脅的強大防禦。

1. STARTTLS 確保電子郵件內容在傳輸過程中加密,防止竊聽和中間人攻擊。
2. 德基姆 提供了一種驗證寄件者真實性的機制,確保電子郵件未被篡改並且確實來自所聲明的網域。
3. DMARC 強制執行有關如何處理未通過身份驗證檢查的電子郵件的策略,並透過報告提供對電子郵件流量的可見性。

實際實施與挑戰

實施這些協定需要網域擁有者、電子郵件服務提供者和 DNS 管理員之間的協調。以下是關鍵考慮因素和潛在挑戰:

1. STARTTLS 實施:發送和接收伺服器都必須支援 STARTTLS。管理員應確保其電子郵件伺服器已配置為使用 STARTTLS 並且憑證得到正確管理。
2. DKIM 金鑰管理:網域擁有者必須產生並安全地儲存私鑰,同時在 DNS 記錄中發布對應的公鑰。建議定期輪換密鑰以增強安全性。
3. DMARC 策略配置:制定有效的 DMARC 策略涉及分析電子郵件流量並逐漸收緊策略,從“無”到“隔離”,最終到“拒絕”。網域所有者應監控 DMARC 報告,以了解其策略的影響並根據需要進行調整。

實際應用

考慮一個大型組織“examplecorp.com”,它實施這些協議來保護其電子郵件通訊。 IT 部門將電子郵件伺服器設定為支援 STARTTLS,確保在「examplecorp.com」和其他網域之間發送的所有電子郵件在傳輸過程中都經過加密。他們還產生 DKIM 金鑰並簽署所有外發電子郵件,在 DNS 記錄中發佈公鑰。最後,他們針對未通過 DKIM 或 SPF 檢查的電子郵件發布帶有「隔離」指令的 DMARC 策略,並監控 DMARC 報告以識別潛在問題並相應調整策略。

透過實施 STARTTLS、DKIM 和 DMARC,「examplecorp.com」 顯著增強了其電子郵件安全狀況,防止竊聽、欺騙和網路釣魚攻擊。

最近的其他問題和解答 EITC/IS/ACSS 高級計算機系統安全:

查看 EITC/IS/ACSS 高級計算機系統安全中的更多問題和解答

更多問題及解答:

標記下: , , , , , , ,