据我所知,DKIM可用于防止欺骗" From:"在电子邮件中标题。电子邮件接收者可以验证DKIM签名以验证"来自:"报头中。
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed; **d=example.com**;
h=from:to:subject:content-type; **s=smtpapi**;
bh=Qdu07jaeIipfZPkXZqzhD3HXzeo=; b=skdennE1MwDXUGfm/mox/OF8MJjaq
jrE3ETrbeE4PdvokFigU5qTuf2LJ8M9MmxCm4ji6G+CG4u7eKeCdMgAFgEwZCVhp
8UFYUwXkHFqgzKznGremWWHaXU9aIzUtWyFuOziZhqcP3Jn7/V8xyaCEIPP0dz6b
aaaI87oazVBMp8=
From: CEO <ceo@example.com>
例如,在此电子邮件标题中,DKIM-Signature说要检查&#34; smtpapi._domainkey.example.com&#34;用于对电子邮件标题进行签名的公钥。
但攻击者无法简单地将整个DKIM-Signature内容替换为他们控制的另一个域,并使用他们拥有的一组密钥重新生成DKIM-Signature?这将创建一个有效的DKIM签名,但允许电子邮件欺骗。
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed; **d=attackerDomain.net**;
h=from:to:subject:content-type; **s=attackerKey**;
bh=Qdu07jaeIipfZPkXZqzhD3HXzeo=; b=skdennE1MwDXUGfm/mox/OF8MJjaq
jrE3ETrbeE4PdvokFigU5qTuf2LJ8M9MmxCm4ji6G+CG4u7eKeCdMgAFgEwZCVhp
8UFYUwXkHFqgzKznGremWWHaXU9aIzUtWyFuOziZhqcP3Jn7/V8xyaCEIPP0dz6b
aaaI87oazVBMp8=
From: CEO <ceo@example.com>
使用DKIM,电子邮件接收者是否能够确定第一封电子邮件是有效的,而第二封电子邮件是欺骗性的?电子邮件接收器如何知道哪些DKIM服务器对于&#34; example.com&#34;域? (example.com vs attackerDomain.net)
答案 0 :(得分:0)
如果他们创建了一个新的密钥对并将其指向他们的域,那么他们将在所述域上进行身份验证,而不是他们试图欺骗的域。
为了让他们欺骗合法域,他们需要获取您的私钥。因此,使用私钥注销其邮件服务器。
但是,他们不会通过SPF身份验证,因为他们发送的服务器未经授权。
当您的合法邮件服务器发送邮件时,它将使用您的私钥使用加密签名对邮件进行签名。接收电子邮件服务器会查找公钥(请记住,您自己发布的公钥)并对其进行验证。