电子邮件如何运作
最重要的是因为它最终会成为垃圾邮件
由于它是一个复杂的主题,需要进行广泛的技术讨论,因此为了让“普通”公众理解它,我尝试对其进行简化。 假设我们有两个互相写信的朋友,发件人 A 被称为 COSO 收件人 B 被称为 步高.
Coso 给 Bugo 写了一封电子邮件。 幕后发生了什么?
Coso 的服务器 A 向 Bugo 的服务器 B 发送电子邮件。
简单来说, cosi@vattelapesca.it 写入 bugo@nonmissassare.com.
对你来说一切都好。 哪里有问题? 事实上并不完全是这样。 这种事经常发生。 我省略了邮件如何“打包”并以数据包的形式发送到互联网世界中的几个不同路线,然后由 Bugo 邮件服务器重新组装的细节,因为它变得很长,我们会偏离轨道。
我们回去吧 cosi@vattelapesca.it 谁写信给 bugo@nonmissassare.com.
Coso 没有收到任何回复。 几天过去了,仍然没有得到回应。 然而,这是一次重要的交流! 于是他打电话给 Bugo,Bugo 回复说他从未收到过电子邮件!
通常,Bugo 然后会打电话给他的 IT 经理或托管经理,然后提供邮箱和邮件服务器的人开始咆哮:“在这里! 把我的钱还给我,小偷! 邮箱打不开!!! 我没有收到来自 cosi@vattelapesca.it.
你们都遇到过这个问题。 关键是,一旦一切都过去了,今天由于存在安全问题,情况发生了变化,也感谢你们这些伟大的笨蛋.
当 Coso 向 Bugo 发送电子邮件时,Bugo mailserer 会检查回来,喜欢鲑鱼并追溯收到的电子邮件的反向路径。 并检查几件事:
它检查的第一件事是发件人是否真的如他们所说的那样。 这对你来说可能看起来微不足道,但它根本不是! 你是的事实 cosi@vattelapesca.it 这毫无意义。
事实上,Bugo 邮件服务器会检查发件人主机的 IP,即“www.vattelapesca.com” 在这种情况下,匹配邮件服务器的 IP。 平庸? 不! 它通常是遇到的第一个问题。 公司内部的 IT 经理经常犯错误配置域的 DNS 区域和不正确分配邮件服务器 IP 的简单错误。 如果一台服务器上有多个不同的域,则尤其如此。 通常,对于那些通过划分他们管理的服务器来销售托管服务的人来说,他们在这一点上是错误的。 大供应商以系统的方式处理这个问题,因此几乎从未遇到过这个问题。 但在大中型公司,IT 经理水平不高,在内部管理自己的邮件服务器,这个问题就很常见。
基本上,Bugo 邮件服务器将电子邮件归档为垃圾邮件,因为它不了解发件人的真实身份。 在这些情况下,甚至电子邮件都被完全烧毁,甚至无法从垃圾邮件文件夹中恢复。
相反,让我们确保发件人的邮件服务器的配置是正确的,并且 Bugo 邮件服务器通过相反的操作来证明 IP 是正确的,因此发件人是他所说的那个人。
但是邮件仍然没有到达目的地。 Bugo 再次打电话给他的 IT 经理等……IT 经理检查并确认 SPF 标记丢失。 哎哟! 什么是 SPF 标记?
发件人策略框架 (SPF) 是一种电子邮件验证系统,旨在检测电子邮件欺骗尝试。 该系统为电子邮件域的管理员提供了一种机制,用于定义授权从该域发送消息的主机,允许收件人检查其有效性。[已发布授权发送给定域的电子邮件的主机列表在该域的域名系统 (DNS) 中,以特殊格式的 TXT 记录的形式。 网络钓鱼,有时甚至是垃圾邮件,都使用虚假的发件人地址,因此可以将发布和验证 SPF 记录部分视为一种反垃圾邮件技术。
换句话说,Bugo 邮件服务器检查 Coso 邮件服务器是否有权从 Coso 主机发送邮件,即 cosi@vattelapesca.it,从而验证发件人的有效性和授权主机列表。 如果缺少 SPF 标记,许多邮件服务器(至少是当今最重要的邮件服务器)会烧毁邮件,通常您甚至无法在垃圾邮件箱中找到它。
完成的? 不!
让我们假装 cosi@vattelapesca.it 还正确配置了 SPF 标记。
电子邮件仍然没有到达。 Bugo 又给他的 IT 经理和负责控制的 IT 经理打了电话。 他发现了什么?
DKIM 标记缺失 Appero! 这是什么? 这是什么鬼东西?
DomainKeys Identified Mail (DKIM):允许域管理员通过私钥向电子邮件添加数字签名。 因此,DKIM 添加了一个进一步的工具来验证发件人与其所属域之间的对应关系。
再次,为了简化它,通过电子邮件, cosi@vattelapesca.it 它还会发送一个随机私钥,该私钥链接到驻留在域的 DNS 区域中的公钥 瓦特拉佩斯卡.it 并且收件人的邮件服务器检查密钥是否已链接。 如果不是,则电子邮件最终会变成垃圾邮件。
完美的控制就是Reverse+SPF+DKIM。 如果电子邮件未通过此检查,则该电子邮件将被销毁。
通常一些客户要求我将域列入白名单 瓦特拉佩斯卡.it 但如果反过来,IP仍然不正确,白名单也没用。 此外,这是一个不正确的请求,原因很简单:您无法知道相关发件人是否“善意”,因为有时发件人本人甚至不知道自己是“善意的”。 这就好像你有一个朋友住在游牧营地附近,你要求他“真诚地”让前门保持打开状态。
但是让我们继续。
在检查时,让我们假设 DKIM 加密也没有问题。 或者甚至没有必要。 但是电子邮件没有到达。
Bugo 又一次给他的 IT 经理打了电话,他现在已经筋疲力尽了。 请求是确定的:put cosi@vattelapesca.it 列入白名单。
但你不能。 你违反了安全协议,将整个公司置于严重危险之中。 IT 经理检查并……
vattelapesca 域位于多个 RBL/DNSBL 中。 啊! 刺山柑! 但它们是什么?
基于 DNS 的黑洞列表(也称为 DNSBL、实时黑洞列表或 RBL)是一种可以通过 Internet 轻松“查询”的特殊格式发布 IP 地址列表的方法。 顾名思义,其运作机制基于 DNS(域名系统)。 DNSBL 主要用于以某种方式发布与垃圾邮件发送者相关的 IP 地址。 大多数邮件服务器都可以配置为拒绝或标记从一个或多个列表中的主机发送的邮件。
但就在那时,Bugo 的 IT 经理回复他的雇主说:“伙计们,如果他们在 RBL 中注册,则不是我们必须了解原因并解决问题,发件人的 IT 经理必须考虑一下”。
电子邮件最终进入垃圾箱。
还有很多要补充的,但我想就此打住。 然而,假设所有这些都是必不可少的最低限度,仅仅阻止坏人是不够的,添加了其他控件以及 DKIM 协议固有的问题,这些协议是开放和可解释的协议,因此没有统一性,所以以至于经常在 Libero、Virgilio、Gmail 等邮箱中发送/接收问题……。 它们是很难解决的问题。 除此之外,还有与个人行为有关的问题,这些人通常违反网络礼节,例如电子邮件标头的不正确使用、同时向多个不同用户发送未加密的邮件等。
一个世界打开了,技术人员、计算机科学家、工程师、数学家、物理学家在没有原则上成功地找到解决方案的情况下相互对抗(在我看来他们永远不会找到它)。
我能说的是,选择一个好的托管服务必须考虑各种因素,而不仅仅是价格,最重要的是它必须响应安全需求,这应该是当今在互联网上以各种方式公开的每家公司的基础知识形式和方式多种多样。
//