IRCERT - اثبات هویت فرستنده ایمیل و حفاظت از آن

صفحه اول > مقالات

DomainKeys: اثبات هویت فرستنده ایمیل و حفاظت از آن

آیا تا کنون جمله زیر توجه شما را جلب کرده است؟

Yahoo! DomainKeys has confirmed that this message was sent by yahoo.com

اخیراً هنگامی که ایمیل های خود را در یاهو چک می کنید، چنانچه فرستنده هم از اکانت یاهو استفاده کرده باشد، در قسمت From: و بعد از نام فرستنده، جمله فوق را می بینید.

جعل ایمیل که عبارتست از جعل آدرس ایمیل شخص یا شرکت دیگر به منظور جلب اعتماد کاربران برای بازکردن پیام ها، یکی از بزرگترین چالش هایی است که امروزه جامعه اینترنت و تکنولوژی های ضداسپم با آن مواجه هستند. ارائه کنندگان سرویس های ایمیل بدون تأیید هویت فرستنده و امکان ردگیری آن، هرگز نمی توانند مطمئن باشند که آیا یک پیام اصلی است یا جعلی و بنابراین مجبورند برای آنکه مشخص شود کدام ایمیل ها را تحویل گیرنده بدهند یا کدام را مسدود کنند و کدام را قرنطینه کنند، از بعضی روش های مبتنی بر حدس استفاده کنند.

DomainKeys یک طرح پیشنهادی فنی از طرف یاهو است که می تواند پاسخی واضح به پروسه تصمیم گیری در مورد صحت ایمیل بدهد. این تکنولوژی امکان این عمل را با ارائه مکانیسمی برای تأیید دامنه هر فرستنده ایمیل و جامعیت پیام های ارسالی میسر می کند (جامعیت یعنی ایمیل ها در طول ارسال تغییر نکرده اند). هنگامی که وجود دامنه مورد تأیید قرار بگیرد، می توان آن را با دامنه استفاده شده توسط فرستنده در فیلد From: پیام مقایسه کرد تا در صورت جعل، مشخص گردد. اگر جعلی باشد، یا هرزنامه (اسپم) است یا پیام تقلبی و می توان بدون دخالت کاربر پیام را حذف کرد. اگر جعلی نباشد، دامنه شناخته شده است و یک پروفایل ماندگار می تواند برای دامنه ارسال کننده برقرار گردد و به ارائه کنندگان سرویس ارائه و حتی برای کاربران نمایش داده شود.

برای شرکت های شناخته شده که معمولاً ایمیل تجاری به مشتریان می فرستند، مانند بانک ها و سرویس های تجارت الکترونیک، فایده تأیید هویت بسیار بیشتر است، چرا که می توانند به کاربرانشان در حفاظت از «حملات phishing یا هویت ربایی» کمک کند.

برای مشتریان، مانند کاربران ایمیل یاهو یا سایرین، حمایت از تکنولوژی های تأیید هویت به این معنی است که می توانند اعتماد به ایمیل را از سر بگیرند و ایمیل می تواند به نقش خود به عنوان یکی از قویترین ابزارهای ارتباطی در زمان ما ادامه دهد.

استانداردسازی

شرکت یاهو سعی دارد DomainKeys را به یک استاندارد اینترنتی تبدیل کند. یاهو امیدوار است که DomainKeys پروسه استانداردهای اینترنتی IETF (Internet Engineering Task Force) را طی کند و نهایتاً به عنوان یک استاندارد اینترنتی IETF تصویب شود.

DomainKeys چگونه کار می کند؟

سرورهای ایمیل فرستنده

برای امضاء کردن یک ایمیل با DomainKeys دو مرحله وجود دارد:

۱- Set up (راه اندازی): صاحب دامنه (معمولاً تیمی که سیستم های ایمیل را در یک شرکت یا ارائه کننده سرویس اداره می کند) یک جفت کلید عمومی/اختصاصی را برای استفاده در امضای تمام پیامهای خروجی تولید می کند. کلید عمومی در DNS (Domain Name System) منتشر می شود و کلید اختصاصی در اختیار سرویس دهنده ارسال ایمیل قرار داده می شود. مرحله «A» در شکل نشانگر این بخش است.

۲- Siging (امضاءکردن): هنگامی که هر ایمیل توسط یک کاربر مجاز آن دامنه، ارسال می شود، سیستم ایمیل مجهز به DomainKeys، به صورت خودکار از کلید اختصاصی ذخیره شده برای تولید امضای دیجیتالی پیام استفاده می کند. این امضاء سپس به header ایمیل الصاق می شود و ایمیل به سرور ایمیل گیرنده ارسال می شود. این مرحله «B» است که در شکل نشان داده شده است.

سرورهای ایمیل گیرنده

۱- Preparing (آماده سازی): سیستم دریافت کننده ایمیل مجهز به DomainKeys امضاء و «دامنه ارسال کننده ادعاشده» (Claimed From: Domain) را از داخل header ایمیل استخراج می کند و کلید عمومی مربوط به دامنه ارسال کننده ادعاشده را از DNS می گیرد. این مرحله «C» در شکل نشان داده شده است.

۲- Verifying (تأیید هویت): سپس با استفاده از کلید عمومی گرفته شده از DNS، سیستم دریافت کننده ایمیل کنترل می کند که امضاء توسط کلید اختصاصی متناظر تولید شده باشد. این امر ثابت می کند که ایمیل واقعاً توسط فرستنده ادعا شده در ابتدای ایمیل و با اجازه وی ارسال شده است و اینکه header و محتوا درطول ارسال تغییر نکرده است.

۳- Delivering (تحویل): سیستم دریافت کننده ایمیل سیاست های محلی را براساس نتیجه بررسی امضاء اعمال می کند. اگر دامنه مورد تأیید قرار بگیرد و سایر بررسی های ضداسپم نیز تشخیص اسپم ندهند، ایمیل می تواند به inbox کاربر تحویل داده شود. اگر امضاء تأیید نگردد یا وجود نداشته باشد، ایمیل می تواند حذف شود، علامت زده شود یا قرنطینه شود. مرحله «D» در شکل، این بخش را نشان داده است.

عموماً یاهو انتظار دارد که DomainKeys توسط سرورهای دریافت کننده ایمیل تأیید گردد. به هرحال، سرویس گیرنده های ایمیل می توانند برای داشتن قابلیت تأیید امضاء، تغییر داده شوند و براساس نتایج بررسی و سیاست هایشان، در مورد ایمیل های دریافتی تصمیم گیری کنند.

مرجع: Yahoo!