電子郵件如何運作
最重要的是因為它最終會成為垃圾郵件
由於這是一個複雜的主題,需要進行廣泛的技術討論,為了讓“普通”公眾能夠理解它,我嘗試對其進行簡化。 假設我們有兩個互相寫信的朋友,發件人 A 稱為 科索 接收者 B 被稱為 布戈.
科索給布戈寫了一封電子郵件。 幕後發生了什麼?
Coso 的服務器 A 向 Bugo 的服務器 B 發送電子郵件。
簡單來說, cosi@vattelapesca.it 寫信給 bugo@nonmissassare.com.
對你來說一切都好。 哪裡有問題? 事實上並不完全是這樣。 這種事經常發生。 我省略了郵件如何“打包”並以數據包的形式發送到互聯網世界中的幾個不同路線,然後由 Bugo 郵件服務器重新組裝的細節,因為它變得很長,我們會偏離軌道。
我們從 cosi@vattelapesca.it 誰寫信給 bugo@nonmissassare.com.
科索沒有收到任何回應。 日子一天天過去,仍然沒有得到任何回應。 但這是一次重要的溝通! 於是他給 Bugo 打電話,但 Bugo 回复說他從未收到過電子郵件!
一般來說,Bugo 然後會打電話給他的 IT 經理或託管經理,然後提供郵箱和郵件服務器的人開始咆哮:“這裡! 把我的錢還給我,小偷! 郵箱不能用!!! 我沒有收到來自以下地址的電子郵件 cosi@vattelapesca.it.
你們都遇到過這個問題。 重點是,一旦一切都過去了,今天由於存在安全問題,情況發生了變化,還要感謝你們這些偉大的笨蛋.
當 Coso 向 Bugo 發送電子郵件時,Bugo 郵件服務器會進行檢查,點贊鮭魚並沿著收到電子郵件的反向路徑進行追踪。 並檢查幾件事:
它檢查的第一件事是發件人是否確實是他們所說的人。 這對你來說可能看起來微不足道,但事實並非如此! 事實上你是 cosi@vattelapesca.it 這毫無意義。
事實上,Bugo 郵件服務器會檢查發件人主機的 IP,即“vattelapesca.com” 在本例中,匹配郵件服務器的 IP。 平庸? 不! 這通常是遇到的第一個問題。 公司內部 IT 經理經常犯一個簡單的錯誤,即錯誤配置域的 DNS 區域以及未正確分配郵件服務器 IP。 如果一台服務器上有多個不同的域,則尤其如此。 通常,對於那些通過對他們管理的服務器進行分區來銷售託管服務的人來說,他們在這一點上是錯誤的。 大型提供商以系統的方式處理這個問題,因此幾乎從未遇到過這個問題。 但在大中型公司中,IT 經理的水平不夠高,他們在內部管理自己的郵件服務器,這個問題變得很常見。
基本上,Bugo 郵件服務器將電子郵件歸檔為垃圾郵件,因為它不了解發件人的實際身份。 在這些情況下,甚至電子郵件也會被完全燒毀,甚至無法從垃圾郵件文件夾中恢復。
相反,讓我們確保發件人郵件服務器的配置正確,並且 Bugo 郵件服務器通過執行相反的操作來證明 IP 正確,因此發件人就是他所說的那個人。
但郵件仍然沒有到達目的地。 Bugo 再次打電話給他的 IT 經理等等……IT 經理檢查並驗證 SPF 標記是否丟失。 哎喲! 什麼是SPF標記?
發件人策略框架 (SPF) 是一種電子郵件驗證系統,旨在檢測電子郵件欺騙嘗試。 該系統為電子郵件域的管理員提供了一種機制,用於定義有權從該域發送郵件的主機,允許收件人檢查其有效性。[已發布授權為給定域發送電子郵件的主機列表以特殊格式的 TXT 記錄的形式存在於該域的域名系統 (DNS) 中。 網絡釣魚,有時甚至是垃圾郵件,都使用虛假的發件人地址,因此發布和驗證 SPF 記錄可以部分視為一種反垃圾郵件技術。
換言之,Bugo 郵件服務器會檢查 Coso 郵件服務器是否有權從 Coso 主機(即 cosi@vattelapesca.it)發送郵件,從而驗證發件人和授權主機列表的有效性。 如果 SPF 標記丟失,許多郵件服務器(至少是當今最嚴重的郵件服務器)會燒毀郵件,通常您甚至在垃圾郵件箱中都找不到它。
完成的? 不!
讓我們假裝 cosi@vattelapesca.it 還正確配置了 SPF 標記。
電子郵件仍然沒有到達。 Bugo 再次給他的 IT 經理和負責控制的 IT 經理打電話。 他發現了什麼?
Appero 缺少 DKIM 標記! 這是什麼? 這是什麼邪門?
域密鑰識別郵件 (DKIM):允許域管理員通過私鑰向電子郵件添加數字簽名。 因此,DKIM 添加了另一個工具來驗證發件人與其所屬域之間的對應關係。
再次,為了簡化它,通過電子郵件, cosi@vattelapesca.it 它還發送一個鏈接到駐留在域的 DNS 區域中的公鑰的隨機私鑰 瓦特拉佩斯卡網站 收件人的郵件服務器檢查密鑰是否已鏈接。 如果不是,電子郵件最終會成為垃圾郵件。
完美的控制就是Reverse+SPF+DKIM。 如果電子郵件未通過此檢查,則該電子郵件將被燒毀。
經常有一些客戶要求我將域名列入白名單 瓦特拉佩斯卡網站 但如果反過來,IP仍然不正確,白名單也沒用。 此外,這是一個不正確的請求,原因很簡單:您無法知道相關發件人是否“善意”,因為有時,甚至發件人本人也不知道他是“善意的”。 這就好像你有一個住在游牧營地附近的朋友,你“真誠地”要求他把前門打開。
但讓我們繼續吧。
在檢查時,我們假設 DKIM 加密也沒有問題。 或者也許根本沒有必要。 但電子郵件沒有到達。
Bugo 再次給他已經筋疲力盡的 IT 經理打電話。 請求是確定的: put cosi@vattelapesca.it 列入白名單。
但你不能。 您違反了安全協議,使整個公司面臨嚴重危險。 IT 經理檢查並……
vattelapesca 域位於多個 RBL/DNSBL 中。 啊! 雀躍! 但它們是什麼?
基於 DNS 的黑洞列表(也稱為 DNSBL、實時黑洞列表或 RBL)是一種可以以特殊格式發布 IP 地址列表的方法,可以通過互聯網輕鬆“查詢”。 顧名思義,其工作機制是基於DNS(域名系統)的。 DNSBL 主要用於以某種方式發布與垃圾郵件發送者相關的 IP 地址。 大多數郵件服務器都可以配置為拒絕或標記從一個或多個列表上的主機發送的郵件。
但此時 Bugo 的 IT 經理回复他的雇主說:“伙計們,如果他們在 RBL 中註冊,我們就不需要了解原因並解決問題,而是發件人的 IT 經理必須考慮這個問題”。
電子郵件最終被扔進了垃圾箱。
還有很多東西要補充,但我想就此打住。 然而,我們可以說,所有這些都是不可或缺的最低限度,不足以阻止壞人,還添加了其他控件,而且還存在 DKIM 協議固有的問題,這些協議是開放且可解釋的協議,因此不存在統一性,因此以至於在 Libero、Virgilio、Gmail 等上的郵箱發送/接收時經常出現問題……。 這些都是非常難解決的問題。 除此之外,還存在與經常違反網絡禮儀的個人行為相關的問題,例如不正確使用電子郵件標題、同時向多個不同用戶發送未加密的信息等。
一個世界打開了,技術人員、計算機科學家、工程師、數學家、物理學家相互對抗,但原則上都沒有成功地找到解決方案(在我看來,他們永遠不會找到它)。
我能說的是,選擇一個好的託管服務必須考慮各種因素,而不僅僅是價格,最重要的是它必須滿足安全需求,這應該是當今在各種不同的互聯網上暴露的每個公司的基本知識。形式和各種方式。
//