对付企业垃圾邮件网络钓鱼的新武器：DKIM标准

进行电子邮件欺诈、发送垃圾邮件及从事网络钓鱼的人要当心了，目前出现了一件新武器：域名密钥识别邮件标准（DKIM），它让企业可通过密码对进出站的电子邮件进行签名，证实所发送邮件的真实性。这样，企业可用来打击屡禁不止的电子邮件欺诈活动。目前，网络界的几家重量级公司：包括雅虎、谷歌、贝宝、美国在线和思科等开始运用这件武器。

这项新兴的电子邮件验证标准域名密钥识别邮件标准（DKIM），由互联网工程任务组（IETF）开发而成。针对的目标是互联网最严重的威胁之一：电子邮件欺诈。据验证和网上信任联盟（AOTA）在1月底发布的报告显示，来自各大知名公司、银行和互联网服务提供商（ISP）的电子邮件中，80%以上是欺诈邮件。AOTA分析了五个月内从《财富》500强公司发出来的1亿多封电子邮件后得出了上述结论。

AOTA的主席Craig Spiezle说：“IT专业人士不但需要把电子邮件验证看成是保护员工避免进入到公司网络上的欺诈或者伪造性电子邮件的手段，更要看成是一种竞争优势，用来保护自身品牌和客户避免这些漏洞。”

DKIM的支持者表示，这项标准是消费者对电子邮件重新树立信心的一个重要步骤。

思科公司的知名工程师Jim Fenton是这项标准的起草者之一，他说：“DKIM增强了人们对收到电子邮件的信任程度。DKIM无法消除网络钓鱼行为，但有望加大实施网络钓鱼攻击的难度，对此我充满信心。”

DKIM自2004年以来就开始开发，如今终于达到了预期效果。预计会在今年得到广泛部署，尤其是在金融服务和电子商务公司当中。早期采用者包括美国银行、美国礼品公司（American Greetings）和思科。

Sendmail在去年11月就开始交付符合DKIM标准的电子邮件设备，该公司负责产品管理的主管Greg Olson预测：“我认为，《财富》1000强公司中恐怕有一半会在2008年使用DKIM对电子邮件进行签名。”

Patrick Peterson是支持DKIM的电子邮件设备厂商IronPort公司的技术副总裁，他说：“我确实认为，就DKIM而言，各种条件会在2008年开始成熟，我们拥有互联网标准，我们还得到了厂商的大力支持……DKIM稳若磐石。”

DKIM的工作原理

DKIM让企业可以把加密签名插入到出站的电子邮件中，然后把该签名与域名关联起来。签名随电子邮件一起传送，而不管是沿着网络上的哪条路径传送。电子邮件收件人则可以使用签名来证实邮件确实来自该企业。

Olson解释：“眼下，邮件收件人无法确认收到的邮件就是对方发过来的邮件。DKIM的这种方法却可以让邮件收件人证实，邮件确实是对方发送过来的。”

DKIM不会完全消除电子邮件欺诈，但可以帮助被网络钓鱼者盯上的公司为客户提供一种安全的方法，确保邮件确实是它们发过来的。

Olson说：“如果收件人确信，声称美国银行发过来的某封电子邮件确实来自美国银行，那么他们就用不着担心有人企图窃取自己的社会保障号码了。”

DKIM结合了两种协议：雅虎开发的域名密钥（DomainKeys）协议和思科开发的互联网邮件识别（Identified Internet Mail）协议。这两家公司携手其他邮件服务厂商和ISP，与IETF的DKIM工作组一起制订技术规范，这些规范差不多已经完成了。

Fenton说：“DKIM是一项稳定的规范，该规范得到了非常明确而全面的定义，它阐明了如何对邮件进行签名、如何证实签名的真伪。它非常确定。”

IETF下设的DKIM工作组仍在修改发件人签名实践（Sender Signing Practices，SSP），这种文档将描述发件人如何在DKIM记录中提供信息，以便收件人可以用来决定对发件人发过来的邮件采取什么措施。

Olson解释：“如果我对自己的所有邮件进行签名，你收到了一封邮件声称是我发过来的，但未签名，那么你可以认定该邮件不是我发过来的。该策略将放在与发件人有关的DNS记录里头。眼下SSP草案有了第10个版本……我希望最终版本很快就会出台。”

网络厂商们声称，业界已经准备好了部署DKIM。去年11月，20家ISP和邮件服务厂商对部署的DKIM进行了互操作性测试。参与这次DKIM互操作性测试的厂商们表示，这项标准确实可行，目前没有发现任何技术障碍。

Olson说：“我们确实发现在某些情况下，需求建议书（RFC）需要作一些阐明。但测试表明，独立开发的多家厂商能够在DKIM上做到协同工作。”

目前，许多厂商提供了符合DKIM的软件和设备，其中包括Sendmail、IronPort、Alt-N Technologies、Message Systems、Port25 Solutions、StrongMail Systems等公司。

Fenton说：“企业部署DKIM相当容易，因为现在有足够多的商用产品在支持DKIM。”