網域認證鑰匙 DomainKeys

辨識偽造的寄件者,全面防堵網路詐騙

偽裝郵件 (Email spoofing) 是許多垃圾信寄送者常用的伎倆 - 透過偽造個人或是公司的寄件者名稱來取得收件者的信任感,收件者鬆懈了警覺心而打開這封信件,進而在信件內填入相關個人資料導致被詐騙集團利用。垃圾信寄送者常用的伎倆

目前許多詐騙集團正利用偽裝郵件的技術進行「網路釣魚(Phishing)」,透過偽裝成一些公司機構,來騙取網友的個人資料,或是帳號密碼。收信人在毫無懷疑的情況下提供了他們的資訊,然而就在短時間內,那些資料就有可能使收信人蒙受巨大損失。

如果能對寄件者在寄信時進行認證與辨識,那麼在第一時間就能夠有效地阻絕偽裝信件的攻擊以及網路詐騙行為。

網域認證鑰匙(DomainKeys)是Yahoo!反垃圾信小組所研發的獨家技術,反垃圾信技術發展的一大突破。能有效地判斷寄件者的網域(Domain)是否是偽造的以及寄出信件是不是來自於偽造的網域。一旦網域經過認證,網域認證鑰匙馬上再去比對信件裡的寄件者是否符合這個網域。一旦發現不符合,這封信很有可能是垃圾信或詐騙信,那麼網域認證鑰匙就在第一時間過濾掉這種信件。

通過認證的網域以及寄件者,網域認證鑰匙會將其加入寄件者評價資料庫,並將這套評價資料庫分享給其他電子信箱提供者參考。

網域認證鑰匙 如何運作

網域認證鑰匙 運作流程

網域認證鑰匙 如何運作 - 寄信伺服器

首先,網域認證鑰匙將先進行兩道設定措施:

  1. 設定鑰匙:網域在寄信時產生兩組「鑰匙」,公開鑰匙以及非公開鑰匙。公開鑰匙將在寄信的過程中被存入「網域名稱伺服器(DNS)」中,而非公開鑰匙將暫時存在寄信伺服器中。即右圖寄信流程中的步驟 "A"。此時虛擬的網域將在第一時間被系統排除。
  2. 傳送鑰匙:當網域經過認證後,此時系統會根據非公開鑰匙而自動產生一組數位認證簽名檔,此簽名檔將會依附在寄出信件的標頭中,並且傳送到收件者的郵件伺服器裡。即右圖寄信流程中的步驟 "B"。

網域認證鑰匙 如何運作 - 收信伺服器

接下來,網域認證鑰匙將採取三道確認過程:

  1. 蒐集鑰匙:在網域認證鑰匙運作下,收信伺服器將收到夾帶在寄出信件裡的非公開鑰匙以及自動擷取「網域名稱伺服器(DNS)」裡的公開鑰匙。即右圖寄信流程中的步驟 "C"。
  2. 比對鑰匙:系統將開始比對兩組鑰匙,比對信件的寄件者名稱是否符合此網域,一旦發現兩組鑰匙不相符,代表著這封信是偽造他人網域而寄出信件,很有可能就是垃圾信或是詐騙信。
  3. 確定傳送:在比對結束後,比對成功的信件將被順地地寄到收件者的信箱中,而比對失敗的信件將會被系統阻擋、加上標記或是被系統隔離。即右圖寄信流程中的步驟 "D"。

通常,網域認證鑰匙將是由收信伺服器所認證並執行。


常見問題

我是一般電子信箱的使用者,我會受到影響嗎?

別擔心,您將不會受到任何影響。「網域認證鑰匙」是針對垃圾信以及詐騙信所研發出的後端反制技術,一般電子信箱使用者將不會有任何感覺,您還是可以正常地收發信件。而如果您是Yahoo!奇摩電子信箱的使用者,您將可以免費地享有這最新的防護功能。

我要做什麼設定才能享有網域認證鑰匙的防護效果?

如果您是Yahoo!奇摩電子信箱的使用者,您不需做任何設定就可以免費享有這最新的防護功能。Yahoo!奇摩電子信箱反垃圾信系統將會自動將「網域認證鑰匙」加入您的垃圾信攔截系統中。使用Yahoo!奇摩電子信箱將更安心更輕鬆。

如果您是自己架設信箱伺服器而想使用網域認證鑰匙,建議您參考Yahoo!反垃圾信小組所開放的原始碼,並將這些原始碼安裝至您的MTAs(Mail Transfer Agents)中。

網域認證鑰匙如何有效地阻擋垃圾信?

幾個方式。首先,沒有經過認證的信件(垃圾信及詐騙信)將會被系統自動地斷絕或是隔離,因此可以有效地阻擋垃圾信及詐騙信。第二,這樣的寄件者認證系統可以建立「寄件者評價資料庫」,並且將此資料庫公開在網路上分享給其他電子信箱提供者,其他電子信箱提供者可以參考這樣的評價系統。

例如,針對 www.example.com.tw 公司寄發的信件,在網域認證鑰匙的運作下,它將會有相關的資料存在「寄件者評價資料庫」中,而其他電子信箱提供者將可以參考這份評價,來設定對於 www.example.com.tw 的相關規定。第三,藉由追蹤寄信伺服器來阻絕偽造的寄件者地址,通常寄送垃圾信的人不會希望他們的寄信伺服器被追蹤,因此他們將在網域認證鑰匙的運作下無所遁形。

網域認證鑰匙如何阻止網路詐騙 / 網路釣魚攻擊?

通常網路釣魚的方式就是偽裝成某公司寄送信件,而要求收件者填入相關個人資料。當公司發現有人在冒用公司的名稱而進行寄送垃圾信或進行網路詐騙時,該公司可以馬上採用網域認證鑰匙機制,如此一來,這些詐騙的信件將會因為偽造寄件者而被系統視為垃圾信或是詐騙信。

舉例,如果某公司 www.example.com.tw 採用了網域認證鑰匙機制,Yahoo! 反垃圾信小組可加過濾條件至垃圾信剋星中,未來,寄件者來自於 www.example.com.tw 的名稱,可是寄出的信件卻沒有未公開鑰匙,這些信件就會被視為偽造的信件,進而被阻絕,而能夠有效地減少網路詐騙或是網路釣魚事件。

難道寄送垃圾信的人不會使用網域認證鑰匙嗎?

我們非常希望這些人能使用這套系統,因為如此一來他們就會在網域認證鑰匙機制下無所遁形,如果他們有不法的行為時,我們更能有效地掌握。增加寄件者網域的真實性將能有效地增加攔截垃圾信的準確率。

網域認證鑰匙根據什麼來認證?

網域認證鑰匙檢視寄件者的來源以及寄件者的網域,藉由兩邊交叉檢驗來認證信件是不是偽造信件。

為什麼要認證信件?

在認證信件的過程中,除了與網域相互比對,看是否符合該網域外,還可以檢驗在傳送的過程中,信件是否被竄改或是做了變化,因為有許多的垃圾信通常在傳送的過程中還會做變化,導致一些反垃圾信技術無法攔截該信件。

網域認證鑰匙會對每封信件加密嗎?

網域認證鑰匙並沒有進行信件加密,而是在信件的標頭部份加上一段數位簽名來辨識信件。

我該如何裝設網域認證鑰匙?

如果您是Yahoo!奇摩電子信箱的使用者,不論您要寄信或是收信,您都不需做任何動作即可享有網域認證鑰匙的防護效果。

如果您是自己架設信箱伺服器,您必須先安裝有網域認證鑰匙的MTA,相關設定請參考 DomainKey Distribution Options