跳至內容
最後更新: 2022-04-27

寄件者檢查如何工作

寄件者檢查是用來驗證電子郵件來源的真實性。

本主題探討的是 Sophos Email Security 用來為您提供非法郵件防護所用的寄件者檢查類型。

注意

本主題簡要說明寄件者檢查如何運作,但不包括設定 DNS 紀錄(DMARC、DKIM、SPF)等詳細資訊,因為我們的焦點在於傳入郵件所發生的事情。

SPF

寄件者原則架構 (SPF) 能讓您驗證傳入郵件確實來自經由寄件網域管理員授權的 IP 位址或寄件主機。

寄件者會建立 SPF 紀錄,當中指明經授權可傳送該網域郵件的主機、IP 位址和子網路。

Sophos Email Security 收到郵件後,會查看寄件郵件伺服器的位址,然後與 SPF 紀錄中的獲授權寄件者進行比較。如果資訊不符,就無法通過 SPF 檢查。

DKIM

網域名稱金鑰識別郵件 (DKIM) 是透過驗證數位簽章的方式授權電子郵件之用,數位簽章會建立網域名稱及電子郵件之間的關聯性。

由寄件者決定想要簽署郵件的哪些部分(標頭及/或內文),然後他們會設定郵件伺服器,以建立這些部分的雜湊。接著,以私密金鑰加密雜湊。他們也會發佈 DKIM 紀錄,當中包含用來解密簽章的公開金鑰。

Sophos Email Security 發現郵件包含 DKIM 簽章時,會進行 DNS 查詢,以找尋與寄件網域有關聯的 DKIM 紀錄。會使用公開金鑰,將數位簽章解密回雜湊值。然後利用已簽章的訊息元素自建雜湊,並與解密雜湊比較。如果資訊不符,就無法通過 DKIM 檢查。

請參閱 DKIM

DMARC

基於網域的訊息驗證、報告和一致性 (DMARC) 利用 DKIM 和 SPF 兩者,驗證電子郵件的真實性。

寄件者會建立 DMARC 紀錄指示收件者執行 DMARC 檢查,且包含未通過 DMARC 時應如何處理的相關資訊。

收到電子郵件後,Sophos Email Security 會執行 DNS 檢查,針對電子郵件的寄件者(標頭)地址中指定的網域,查找 DMARC 紀錄。DMARC 紀錄會告知收件者(本例中是 Sophos Email Security)應檢查 DMARC,並指明未通過 DMARC 檢查時應如何處理電子郵件。針對未通過 DMARC 檢查的訊息,Sophos Email Security 預設選項是 符合寄件者原則,即處理訊息的方式取決於 DMARC 紀錄中的定義。會根據 SPF 和 DKIM 紀錄中的資訊檢查寄件者地址中指定的網域,以驗證網域相符。若要通過 DMARC 檢查,訊息必須通過驗證及 SPF 或 DKIM 的一致性檢查:

  • 針對 SPF,郵件寄件者(信封)地址中指定的網域,必須與 SPF 紀錄中的 IP 位址或子網路之一相符。接著,DMARC 會根據寄件者地址檢查郵件寄件者地址,以確認兩者一致。
  • 針對 DKIM,必須驗證簽章,且寄件者地址中指定的網域必須與用來建立 DNS 紀錄中指定簽章的網域相符。

請參閱 DMARC

標頭異常

標題異常檢查可保護您避免來自自家網域的假冒寄件者電子郵件。

其可識別看起來來自您自己的網域但來自外部網域的電子郵件,方法是對比收件者網域,檢查電子郵件的來自標題,以及信封中的郵件寄件者地址。

  • 如果來自地址中的網域屬於與收件者網域相同的客戶,則認為該郵件具有欺騙性。
  • 如果標題中的來自地址與信封中的郵件寄件者地址不同,則認為該郵件具有欺騙性。

注意

標題需符合上述兩個標準以觸發標題異常檢查。

回到頁首