我了解DKIM可以用来防止电子邮件中“From:” Headers 的欺骗 . 电子邮件接收者可以验证DKIM签名以验证“发件人:” Headers .
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed; **d=example.com**;
h=from:to:subject:content-type; **s=smtpapi**;
bh=Qdu07jaeIipfZPkXZqzhD3HXzeo=; b=skdennE1MwDXUGfm/mox/OF8MJjaq
jrE3ETrbeE4PdvokFigU5qTuf2LJ8M9MmxCm4ji6G+CG4u7eKeCdMgAFgEwZCVhp
8UFYUwXkHFqgzKznGremWWHaXU9aIzUtWyFuOziZhqcP3Jn7/V8xyaCEIPP0dz6b
aaaI87oazVBMp8=
From: CEO <ceo@example.com>
例如,在此电子邮件 Headers 中,DKIM-Signature将检查“smtpapi._domainkey.example.com”以查找用于对电子邮件标头进行签名的公钥 .
但攻击者难道不能简单地将整个DKIM-Signature内容替换为指向他们控制的另一个域,并使用他们拥有的一组密钥重新生成DKIM-Signature吗?这将创建有效的DKIM签名,但允许电子邮件欺骗 .
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed; **d=attackerDomain.net**;
h=from:to:subject:content-type; **s=attackerKey**;
bh=Qdu07jaeIipfZPkXZqzhD3HXzeo=; b=skdennE1MwDXUGfm/mox/OF8MJjaq
jrE3ETrbeE4PdvokFigU5qTuf2LJ8M9MmxCm4ji6G+CG4u7eKeCdMgAFgEwZCVhp
8UFYUwXkHFqgzKznGremWWHaXU9aIzUtWyFuOziZhqcP3Jn7/V8xyaCEIPP0dz6b
aaaI87oazVBMp8=
From: CEO <ceo@example.com>
使用DKIM,电子邮件接收者是否能够确定第一封电子邮件是有效的,而第二封电子邮件是欺骗性的?电子邮件接收方如何知道哪些DKIM服务器对“example.com”域具有权威性? (example.com vs attackerDomain.net)
1 回答
如果他们创建了一个新的密钥对并将其指向他们的域,那么他们将在所述域上进行身份验证,而不是他们试图欺骗的域 .
为了让他们欺骗合法域,他们需要获取您的私钥 . 因此,使用私钥注销其邮件服务器 .
但是,它们不会通过SPF身份验证,因为他们发送的服务器未经授权 .
当您的合法邮件服务器发送邮件时,它将使用您的私钥使用加密签名对邮件进行签名 . 接收电子邮件服务器会查找公钥(请记住,您自己发布的公钥)并对其进行验证 .