开放源代码电邮服务器“sendmail”的开发人员Eric Allman称,“防犯电子邮件诈骗行为‘网页仿冒(phishing)’的技术即将出炉。该技术采用了电子邮件发件人认证技术。”
电子邮件发件人认证技术在服务器收到电子邮件时,将检测发送邮件的邮件服务器,从而进行相关认证。该技术可防犯通过假冒发件人发送电子邮件来欺骗用户的网页仿冒(phishing)行为。目前有多家厂商和ISP开发相关技术,由于多种技术并存,因此在采用时可能会遇到困难。
Allman表示,“同时使用多种发件人认证技术不会有什么问题。这和一个人同时携带护照和驾驶证两种身份证明一样。”
目前有两种强有力的电子邮件发件人认证技术。一种是微软于6月底公布的“Sender ID”。该技术组合了微软开发的“Caller ID for E-mail”和Meng Weng Wong开发的“SPF(Sender Policy Framework)”,已向IETF(Internet Engineering Task Force)提交了草案。如果快的话可在9月份确定最终规格。由接收电子邮件的邮件服务器通过核对DNS(域名解析系统)并确认发送邮件服务器的IP地址来判断是否由正确用户发送邮件。
另一种是由美国雅虎开发的“DomainKeys”。电子邮件发送服务器使用密钥给邮件添加电子签名。邮件接收服务器通过邮件发送DNS服务器取得公钥并核对签名从而确认是由正确的用户发送的电子邮件。5月份公开了因特网草案。Allman表示,“Sender ID技术和DomeinKeys技术都很优秀。因此sendmail将同时支持上述两种技术。”
具体将公开sendmail的插件,从而可向现有的邮件服务器追加发件人认证技术。目前已经在进行测试,并且公开了测试版。该技术将作为Allman担任CTO(首席技术官)的美国sendmail公司的产品销售。
