Cyr*_* N. 5 email authentication arc-signature
我正在尝试了解ARC 策略,根据我的理解,带有 ARC 标头的电子邮件意味着之前的身份验证结果标头已由发件人验证。或者,来自维基百科:
Authenticated Received Chain (ARC) 是一种电子邮件身份验证系统,旨在允许邮件列表或转发服务等中间邮件服务器对电子邮件的原始身份验证结果进行签名。当中间服务器的处理导致电子邮件的 SPF 和 DKIM 记录无效时,这允许接收服务验证电子邮件。
例如,作为中间人,我收到某人发来的一封使用 DKIM 签名的电子邮件。我验证 SPF、DKIM 和 DMARC,相应地设置 AR 标头,并用 ARC (AAR/AS/AMS) 包装它们。然后,我更改主题以添加“[FWD] - {subject}”,并从我的服务器发送它,返回路径是我从客户端获得的路径,我没有 SPF 策略要发送的路径。
接收方如果处理 ARC,将看到该消息已签名,并且原始 SPF/DKIM/DMARC 受到尊重,以及我的返回路径,现在是错误的(因为我的服务器 IP 无权发送电子邮件)由于 ARC,来自发件人域的邮件仍被接受。由于 ARC,现在由于主题更改而失败的 DKIM 也被接受。
如果我的理解是正确的,到目前为止,这很好。
但
接收方如何确定我是合法的?
根据这个规范,我完全可以制作一封假邮件,说最初尊重SPF/DKIM/DMARC,并用ARC包裹整个邮件。然后我可以使用(假的)返回路径发送此电子邮件,并相信该电子邮件是有效的,无论其失败如何,因为我已经与 ARC 签署了。
我不认为(我不希望)在使用 ARC 时存在可以信任的“允许的”注册商列表,并且作为中间人,我需要在这里注册,因为这破坏了 ARC 的结构。互联网。(是的)。
所以我的问题如下:
接收方如何认为使用 ARC 签署电子邮件的发件人是合法且值得信任的——或者不可信?
抱歉消息太长,这是一个土豆:
接收方如何认为使用 ARC 签署电子邮件的发件人是合法且值得信任的——或者不可信?
你说得对,他们不能。ARC 旨在扩展信任,因此 ARC 印章本身不能用作 DKIM 传递先前中继的证明。这比什么都没有好,而且它对于像 Google 运行的那些受信任的中继有很大帮助,但对于像一些随机邮件列表服务器这样的未知中继并没有真正的帮助。
除非您参与生成和维护信誉列表(这意味着您可能参与反垃圾邮件业务),否则您无法自动执行此操作,因为 ARC 印章可以伪造。但是,您可以将其用作手动调查的工具。理论上,您还可以将信任扩展到谷歌和雅虎等大型服务。
| 归档时间: |
|
| 查看次数: |
820 次 |
| 最近记录: |