电子邮件身份验证

电子邮件身份验证或验证是一组技术，旨在通过验证参与传输和可能修改消息的任何消息传输代理（MTA）的域所有权，来提供有关电子邮件消息来源的可验证信息。

Internet电子邮件的原始基础简单邮件传输协议（SMTP）没有这种功能，因此电子邮件中的伪造发件人地址（一种称为电子邮件欺骗的做法）已广泛用于网络钓鱼，电子邮件垃圾邮件和各种类型的欺诈。为了解决这个问题，许多竞争电子邮件身份验证方案已经制定，但是只有到了最近有三种被广泛采用- SPF，DKIM和DMARC。此类验证的结果可以用于自动电子邮件过滤中，或者可以在选择适当的操作时帮助收件人。

在1980年代初期，当设计简单邮件传输协议（SMTP）时，它没有提供对发送用户或系统的真实验证。当电子邮件系统由受信任的公司和大学运行时，这不是问题，但是自1990年代初互联网商业化以来，垃圾邮件，网络钓鱼和其他犯罪越来越多地涉及电子邮件。

电子邮件身份验证是识别消息来源的必要xxx步，从而使政策和法律更具可执行性。

依赖域名所有权是一种在2000年初出现的立场。考虑到域名出现在电子邮件地址的右侧，在at符号之后，这意味着要进行粗粒度的身份验证。用户级别的细粒度身份验证可以通过其他方式来实现，例如Pretty Good Privacy和S / MIME。当前，数字身份需要由每个人管理。

电子邮件身份验证的杰出原理是能够在接收服务器上自动进行电子邮件过滤。这样，欺骗邮件可以在到达用户的收件箱之前被拒绝。尽管协议努力设计出可靠地阻止不信任邮件的方法，但是安全指示符可以标记仍到达收件箱的未经身份验证的邮件。一项2018年的研究表明，安全指标可以将点击率降低十个百分点以上，占打开欺骗邮件用户的48.9％至37.2％。

已经提出了许多其他方法，但是现在已经过时或尚未获得广泛支持。这些包括发件人ID，认证服务器验证，DomainKeys和以下内容：

ADSP允许为作者域签名的消息指定策略。一条消息必须首先通过DKIM身份验证，然后，如果该消息不是由作者域签名的，则ADSP可能要求采取惩罚性措施（按照From:标头字段）。

VBR向已通过身份验证的身份添加凭证。此方法需要一些全球公认的权威机构来证明域的信誉。

发件人可以在凭证授权机构申请参考。该引用（如果被接受）将发布在该机构管理的DNS分支上。有担保的发件人应VBR-Info:在其发送的邮件中添加标题字段。它还应添加DKIM签名，或使用其他身份验证方法，例如SPF。接收者在验证了发送者的身份之后，可以VBR-Info:通过查找参考来验证所要求的凭证。

应用程序应避免使用此方法作为身份验证方法。尽管如此，它经常执行，并且其结果（如果有的话）Received:除了SMTP规范要求的TCP信息外，还会写在标头字段中。

通过查找刚刚找到的名称的IP地址来确认IP反向，仅表示IP已在DNS中正确设置。一系列IP地址的反向解析可以委托给使用它们的ADMD，也可以由网络提供商进行管理。在后一种情况下，无法获得与消息有关的有用身份。

查找DNSWL（基于DNS的白名单）可能会提供对发件人的评估，可能包括其标识。