爱思华宝邮件服务器:域密钥技术
摘要
Developers of „爱思华宝邮件服务器“:/products/ 的开发商近日推出了(从 8.2.7 beta 版本开始) 一个新的安全技术,它是易于使用的邮件发送者域验证技术 – 域密钥。域密钥技术,最初由 Yahoo! 的 Mark Delany 设计,随后在邮件服务器的程序人员和开发者间引起轰动。
全文
PRAGUE 09/05/2005:
„爱思华宝公司.“:/ 软件公司的主打产品爱思华宝邮件服务器现在增加一个关键并且强大的安全增强 – 域密钥 技术。
域密钥技术建议邮件认证系统验证并证明一封邮件发送者的真实性同时确保邮件内容的完整性和一致性。
域密钥执行类似于发件人策略框架 ( „SPF“:http://spf.pobox.com/ )的功能,因为它也将停止邮件发件人域的伪造。但是,域密钥技术比 SPF 更复杂,因为它同时能确保邮件内容不被改变或邮件在被 SMTP 中转时不会以任何方式改变。
该技术的主要 优势 如下:
- 如果域密钥分析完成,邮件的接收者可以信任邮件发件人和邮件的内容。 – 域黑名单和白名单提高效率 – 更有效的反垃圾控制和自动动作选项可参照域密码的分析结果 – 滥发域名的所有者现在可以被追溯 – 域密码完全兼容所有 SMTP 和基于 DNS 的服务器
域密钥的签名过程基本上非常简单。它通过应用一个哈希到出站邮件信息的正文(比如使用 SHA1 算法)并使用 RSA 私钥签名的结果进行工作。原来 Mark Delany 的草案还包括额外的用户高度加密数据的 Base64 编码。输出字符串随后插入到邮件信息的第一个信息头位置处,名称为 "DomainKey-Signature:â€?
在接收端的通信过程中, SMTP 服务器收到一封使用源域名的邮件,来自邮件信头的 _domainkey 字符串和选择器,以及从 DNS 的 TXT 记录获取一个 DNS 查询。DNS 查询的结果还包括发件域的 RSA 公钥。接收服务器的域密钥解码出信头的哈希值并用此值解码整个电子邮件的正文。如果两个值匹配,则邮件服务器是真正来自原始域,并且内容在传输过程中没有被改变。
除了如此杰出的透明性,爱思华宝即时反垃圾 也利用域密钥技术大幅提高效率。爱思华宝即时反垃圾基于 “方法计分增量”,因此可以很容易利用域密钥的优势。关于入站邮件的解码和哈希值匹配,基本上只会有三种结果:
- 解码信头与重计算信息正文的哈希值两者匹配。这是典型的正常邮件,因此没有计分被 MIAS 添加到邮件的总分中。- 域密钥签名无效或丢失,但原始域有一个 DNS TXT 记录。这是可疑和伪造电子邮件的特征,应该对这种邮件行为进行警告。爱思华宝即时反垃圾的邮件总计分将增加。- 域名没有 DNS 记录,并且邮件信头中没有 „DomainKey-Signature:“ 标签, 则状态未知根据 MIAS 设置不同而采取的动作也不同
使用域密钥也会有一些 不利因素 。主要问题包括:
- DNS 目前不够安全,但预计安全问题将通过安全的 DNS 解决,该菜案的名称叫 DNSSEC。- 域密码的建立增加了 DNS 的负载;如果你是一个 DNS 服务器运营商,可能需要为增加的查询进行准备 – 未授权访问你的私钥及未授权访问你的身份 – 由于频繁的哈希校验导致 CPU 消耗增加
总之,缺点总是技术发展的源动力,因此在域密钥部署方面完全没有必要等待。更新你的邮件服务器到最新版本爱思华宝系统,因此使用爱思华宝邮件服务器,你随时能够使用最新技术的软件。
关于爱思华宝
** 爱思华宝公司 ** 从 1999 年开始开发爱思华宝 V1 版本。爱思华宝卓越的产品稳定性、性能和可靠地快速升级让全球范围内的 ISP 和企业迅速采纳。这已产生强劲的销售和两位数的销售增长率.多年来,通过推进爱思华宝不断创造一个又一个行业第一,爱思华宝一直保持技术领袖地位,包括:
- 首个支持 SSL 的邮件服务器 – 首个带 Web Mail 的邮件服务器 – 首个集成多线程反病毒 – 首个集成反垃圾 – 首个协同工作 API (基于 ODBC ) – 以及现在,首个集成 FTP 和 Web 服务器功能的邮件服务器。
联系地址
爱思华宝公司位于
中国广东省深圳市罗湖区嘉宾路爵士大厦17A11
CY-3040 Limassol,
Cyprus
info@icewarp.com