如何防止 RFC5322.From 标头欺骗

Question

我在域 example.com 中有一个电子邮件服务。如何保护它免受 From 标头中的 USER 电子邮件地址的欺骗？

场景：

攻击者从 malory@example.com 发送电子邮件 - 连接到我的 SMTP 服务，正确验证为 malory 并发送标头为 From: alice@example.com 的消息

SPF 无能为力，因为攻击者使用我的合法 SMTP 服务，拥有自己的帐户并正确验证。

DKIM 也无能为力，出于同样的原因 - 攻击者使用真实、合法的电子邮件帐户，因此按摩具有正确的数字签名。

DMARC 无能为力，因为只检查信封和 RFC5322.From 域是否匹配，而不是用户帐户。

有没有办法检查信封和From WHOLE 地址是否匹配？如何正确保护 SMTP 服务免受欺骗？

感谢您的帮助！

Answer 1

为了防止在您的情况下进行欺骗，您的电子邮件服务器 example.com 必须包含一个解析为您自己的域的 DKIM-Signature 邮件标头。仅当使用的私有加密密钥对您的组织而言是唯一的并且不像您指出的那样在服务用户之间共享时，这才有效。

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple; s=subdomain; d=mydomain.com; ...

为此，您的电子邮件服务器需要向您提供公钥或将其发布到他们自己的域中。使用后一种情况，您将使用 DNS CNAME 记录指向公钥。

TXT subdomain._domainkey.mydomain.com "p=..."

或

CNAME subdomain._domainkey.mydomain.com uniqueid.xxx.example.com