【計世網 】進行電子郵件欺詐、發送垃圾郵件及從事網絡釣魚的人要當心了，目前出現了一件新武器——域名密鑰識別郵件標準（DKIM），它讓企業可通過密碼對進出站的電子郵件進行

　　簽名，證實所發送郵件的真實性。這樣，企業可用來打擊屢禁不止的電子郵件欺詐活動。目前，網絡界的幾家重量級公司：包括雅虎、谷歌、貝寶、美國在線和思科等開始運用這件武器。

　　這項新興的電子郵件驗證標準——域名密鑰識別郵件標準（DKIM），由互聯網工程任務組（IETF）開發而成。針對的目標是互聯網嚴重的威脅之一：電子郵件欺詐。據驗證和網上信任聯盟（AOTA）在1月底發布的報告顯示，來自各大知名公司、銀行和互聯網服務提供商（ISP）的電子郵件中，80%以上是欺詐郵件。AOTA分析了五個月內從《財富》500強公司發出來的1億多封電子郵件后得出了上述結論。

　　AOTA的主席Craig Spiezle說：“IT專業人士不但需要把電子郵件驗證看成是保護員工避免進入到公司網絡上的欺詐或者偽造性電子郵件的手段，更要看成是一種競爭優勢，用來保護自身品牌和客戶避免這些漏洞。”

　　DKIM的支持者表示，這項標準是消費者對電子郵件重新樹立信心的一個重要步驟。
　
　　思科公司的知名工程師Jim Fenton是這項標準的起草者之一，他說：“DKIM增強了人們對收到電子郵件的信任程度。DKIM無法消除網絡釣魚行為，但有望加大實施網絡釣魚攻擊的難度，對此我充滿信心。”

　　DKIM自2004年以來就開始開發，如今終于達到了預期效果。預計會在今年得到廣泛部署，尤其是在金融服務和電子商務公司當中。早期采用者包括美國銀行、美國禮品公司（American Greetings）和思科。

　　Sendmail在去年11月就開始交付符合DKIM標準的電子郵件設備，該公司負責產品管理的主管Greg Olson預測:“我認為，《財富》1000強公司中恐怕有一半會在2008年使用DKIM對電子郵件進行簽名。”

　　Patrick Peterson是支持DKIM的電子郵件設備廠商IronPort公司的技術副總裁，他說：“我確實認為，就DKIM而言，各種條件會在2008年開始成熟，我們擁有互聯網標準，我們還得到了廠商的大力支持……DKIM穩若磐石。”

　　DKIM的工作原理

　　DKIM讓企業可以把加密簽名插入到出站的電子郵件中，然后把該簽名與域名關聯起來。簽名隨電子郵件一起傳送，而不管是沿著網絡上的哪條路徑傳送。電子郵件收件人則可以使用簽名來證實郵件確實來自該企業。

　　Olson解釋：“眼下，郵件收件人無法確認收到的郵件就是對方發過來的郵件。DKIM的這種方法卻可以讓郵件收件人證實，郵件確實是對方發送過來的。”

　　DKIM不會完全消除電子郵件欺詐，但可以幫助被網絡釣魚者盯上的公司為客戶提供一種安全的方法，確保郵件確實是它們發過來的。

　　Olson說：“如果收件人確信，聲稱美國銀行發過來的某封電子郵件確實來自美國銀行，那么他們就用不著擔心有人企圖竊取自己的社會保障號碼了。”

　　DKIM結合了兩種協議：雅虎開發的域名密鑰（DomainKeys）協議和思科開發的互聯網郵件識別（Identified Internet Mail）協議。這兩家公司攜手其他郵件服務廠商和ISP，與IETF的DKIM工作組一起制訂技術規范，這些規范差不多已經完成了。

　　Fenton說：“DKIM是一項穩定的規范，該規范得到了非常明確而全面的定義，它闡明了如何對郵件進行簽名、如何證實簽名的真偽。它非常確定。”

　　IETF下設的DKIM工作組仍在修改發件人簽名實踐（Sender Signing Practices，SSP），這種文檔將描述發件人如何在DKIM記錄中提供信息，以便收件人可以用來決定對發件人發過來的郵件采取什么措施。

　　Olson解釋：“如果我對自己的所有郵件進行簽名，你收到了一封郵件聲稱是我發過來的，但未簽名，那么你可以認定該郵件不是我發過來的。該策略將放在與發件人有關的DNS記錄里頭。眼下SSP草案有了第10個版本……我希望終版本很快就會出臺。”

　　網絡廠商們聲稱，業界已經準備好了部署DKIM。去年11月，20家ISP和郵件服務廠商對部署的DKIM進行了互操作性測試。參與這次DKIM互操作性測試的廠商們表示，這項標準確實可行，目前沒有發現任何技術障礙。

　　Olson說：“我們確實發現在某些情況下，需求建議書（RFC）需要作一些闡明。但測試表明，獨立開發的多家廠商能夠在DKIM上做到協同工作。”

　　目前，許多廠商提供了符合DKIM的軟件和設備，其中包括Sendmail、IronPort、Alt-N Technologies、Message Systems、Port25 Solutions、StrongMail Systems等公司。

　　Fenton說：“企業部署DKIM相當容易，因為現在有足夠多的商用產品在支持DKIM。”

　　應用如火如荼

　　目前，國際上一些企業正在加快采用DKIM的步伐，銀行、抵押公司和保險公司更是如此。

　　認證電子郵件服務商Goodmail會在今年5月份支持DKIM，該公司的全球業務開發主管Charles Stiles說：“我認為，DKIM會得到迅速采用。事實證明，該標準非常成功。世界上的人才都致力于此。它為我們提供了一種十分安全、防止欺詐的郵件驗證方式。”

　　美國100大金融機構組成的BITS組織去年建議：其成員應當在2008年10月之前全部采用DKIM。BITS還建議采用另外兩項標準來保護電子郵件的安全：一是傳輸層安全（TLS），用于對服務器之間傳輸的電子郵件進行加密；二是發件人身份框架（SIDF）或者發件人策略框架（SPF），用于證實收到的電子郵件確實來自某個域里面的授權郵件服務器。

　　Peterson說：“BITS在這方面的作為，所有成員一致的步調，都具有巨大的影響力，讓人們對DKIM充滿了信心。我們之前從未見過這股強大的動力。”

　　ISP們也在采用DKIM，原因是它們希望保護客戶遠離間諜郵件和網絡釣魚騙局。電子郵件發件人正在設法保護各自的品牌、身份，讓自己的客戶遠離網絡釣魚騙局。

　　貝寶和eBay已聯合雅虎，運用DKIM共同打擊網絡釣魚攻擊。貝寶和eBay正用DKIM對自己的郵件進行簽名，而Yahoo Mail則將阻擋那些號稱由eBay和貝寶發過來、卻沒有通過DKIM進行簽名的電子郵件。

　　貝寶（隸屬eBay）的賬戶保護主管Mike Vergara說：“eBay和貝寶一直在被詐騙犯和網絡釣魚者等各色各樣的人注意。我們的客戶看到，其實有太多電子郵件不是由我們發過來的。DKIM采用了一種好辦法：基于整個行業統一的標準。我們為自己的電子郵件添加了強驗證機制，那樣客戶就能確信郵件確實是我們發過來的。而我們需要促使ISP采用這項標準，以便可以向他們表明:如果該郵件不是我們發過來的，請不要轉送。”
　　
　　貝寶之前已部署了發件人策略框架（SPF），得到微軟支持的這項互補性標準是簡單郵件傳輸協議（SMTP）的一種擴展。貝寶現正在部署DKIM。SPF讓軟件可以拒絕接收偽造地址發過來的電子郵件。

　　Vergara說，部署DKIM方面困難的地方是，必須要搞清楚企業的電子郵件基礎設施，以便查明向客戶發送電子郵件的所有系統和域名。

　　他說：“eBay或者貝寶沒有什么郵政局長，因此，需要大量時間才能弄清楚我們在發送的所有電子郵件，包括交易型電子郵件、營銷型電子郵件、客戶支持型電子郵件等；另外還要弄清楚這些郵件是從地球上的哪個角落發過來的。我們花了12個月才搞清楚這個問題。而部署電子郵件設備、升級到DKIM只用了幾周時間。”

　　他說，DKIM發揮了作用。他表示，雅虎每天阻止的據稱來自eBay或者貝寶、但由于未采用DKIM簽名而屬于非法的郵件多達幾十萬封，有時多達上百萬封。

　　如今，貝寶正與其他ISP進行探討，說服對方禁止eBay或者貝寶發過來、但未采用DKIM簽名的郵件。

　　Vergara說：“我們靠自身的力量解決不了這個電子郵件欺詐問題。我們正在竭力催促ISP行動起來，幫助我們為使用服務的那些客戶解決這個問題。”

　　DKIM也有其局限性。用DKIM對出站郵件進行簽名的公司只有一小部分；而檢查入站郵件上的DKIM簽名的公司更是寥寥無幾。但這項技術的支持者希望，隨著各大ISP和銀行采用DKIM，這個問題會得到解決。

　　“如果我對自己的所有郵件進行簽名以保護自身品牌，可是收到郵件的人或者其ISP并未檢查簽名，那么這對收件人來說沒什么兩樣。我充滿信心地認為，今后一年，30%的公司會對郵件進行簽名。雅虎和Gmail已經采用DKIM。美國銀行和貝寶也一直非常支持。”Vergara說。