规范新电子邮件验证工具来帮助打击网络钓鱼邮件和垃圾邮件被IETF昨日公布,打开软件供应商和电子邮件服务提供商找到更好的方法来保护电子邮件收件人。
规范被宣布DomainKeys确认邮件(DKIM),一项新技术,它结合了几种现有的钓鱼和反垃圾邮件方法创建一个改进方法和识别合法的电子邮件。独立软件供应商的规格提供细节和电子邮件服务提供者可以使用它来构建立即保护到他们的产品和服务。
而不是使用传统的IP地址来确定每个消息的发送方,DKIM添加一个数字签名与组织的相关域名。然后验证签名无形的收件人。“白名单”和“黑名单”然后电子邮件使用的基础设施软件来验证发送方的声誉。
“比IP地址的域名更稳定,”戴夫·克罗克说,IT顾问和贡献者DKIM项目。“域名结合组织远比一个IP地址。”
因为它包含一个数字签名”,它允许将一个电子邮件确认肯定是有人的,”而不是电子邮件来自一个IP地址,由多人使用或垃圾邮件机器人,”他说。“这是一个一步恢复信任在电子邮件,“克罗克补充道。
DKIM中使用的核心技术已经存在很多年了,他说。“我们正在做现有的碎片和以新的方式一起使用它们。”
DomainKeys项目开始几年前由雅虎(Yahoo inc .)打击网络钓鱼和垃圾邮件;确定互联网邮件项目是由思科(csco . o:行情)开始的。
DomainKeys项目特别是创新,因为它指定域名的使用而不是IP地址验证发送方,克罗克说。DomainKeys还利用现有DNS传播所需的公钥加密,而不是添加另一个基础设施层。
非正式财团的十几个供应商和组织,包括雅虎、思科、EarthLink,微软,PGP, StrongMail系统,VeriSign和Sendmail,遇到一年为DKIM创建新的规范。首次提交IETF考虑作为一个新的电子邮件标准打击网络钓鱼邮件和垃圾邮件在2005年7月。
使它工作,DKIM现在必须被采用,并由独立软件供应商合并到他们的电子邮件应用程序和相关的基础设施。主管保罗•霍夫曼域保证委员会贸易领域声誉行业协会表示,他认为电子邮件服务提供商如雅虎和谷歌(Google inc .)将领导方式。
“你将会看到一堆采用从接收器在接下来的六个月,这将刺激发送者,”霍夫曼说。“一旦接收器说有一个更高的机会你会得到那些列入“白名单”,发送方会说,“太好了,我签字。”
“我们可以,告诉所有主要实现它(电子邮件服务)非常感兴趣,”他说。从他们说,“我们相信他们会包括DKIM的白名单列表技术相当高。”
然而,微软(Microsoft Corp .)可能需要更长的时间来接受它,霍夫曼说。“我可能会把它们,因为它们是真的大量投资于发送者身份,”他说。
霍夫曼说,DKIM并不难实现,他并不感到惊讶看到它在未来版本的主要电子邮件支持应用程序(如IBM的Lotus Notes和微软Exchange服务器。
英里的利反垃圾邮件产品经理雅虎邮箱和DKIM的作者之一,表示,雅虎一直在其使用原始DomainKeys入站和出站系统。他说,雅虎计划切换到新的DKIM规格,但不确定这将在什么时候发生。
IETF的出版规范,后来导致正式稿,然后最终的最终批准,是一种广泛采用的第一步,利说。“经历了IETF过程和整个互联网行业获得共识,我们调试几个问题围绕着原始域的实现关键,”他说。“一旦你有正式的,你更相信规范将是稳定的。”
埃里克·奥尔曼说,首席科学官Sendmail DKIM规范和标准将为用户是非常重要的。“我相信这是最初对钓鱼产生重大影响,”他说。
一个好处是,它将在幕后处理,而不是现在的一些方法,让用户决定是否接受或拒绝传入的消息。“很多用户可以处理,很多用户感到困惑,”他说。“最简单的事情让他们看到网络钓鱼(消息)就是不出现在他们的电子邮件箱。”
Sendmail增加DKIM的产品,他说。
一旦一些著名的网站如雅虎、Paypal和其他人开始使用DKIM,大量的采用会发生,他说。“我认为你将会看到的是一个的地方,会很快安装它,然后它会慢下来,”奥尔曼说。“重要的是我们会有一个核心的网站很快。”
这个故事,“新的钓鱼,反垃圾邮件规范公布了“最初发表的《计算机世界》 。