可以防止電子郵件欺騙嗎？

Question 1

由於協議設計的簡單且高度分佈式，確實很難以通用的方式解決電子郵件欺騙問題。

實體信件的類比在這個例子中很好地成立：我可以將一封信放入郵件中，並在上面寫下它來自你的房子；我不需要闖入你家來做這件事，只需將它投進公共郵箱即可。如果該帖子被標記為“返回發送者”，那麼它很可能最終會被“返回”給您，即使它不是您寫的。電子郵件也會發生同樣的情況：任何人都可以將帶有「收件者」和「寄件者」地址的訊息傳遞到系統中；您發送郵件的伺服器可能與您接收郵件的伺服器不同，並且當您將郵件放入系統時，沒有集中的服務來驗證您的身分。

解決這個問題有兩種一般方法：

數位簽名是一種在訊息中包含一種簽名或印章的方法，只有真正的發送者知道如何產生（使用他們從不共享的私鑰）。然後，接收者可以使用公鑰驗證簽名，該公鑰在數學上證明誰產生了簽名（並且它與接收到的文字相符）。

但是，這對於您的範例來說並不是很有用，因為它不會阻止訊息的傳遞，並且需要收件人知道公鑰或經過驗證的位置來檢索它。

基於網域的寄件者驗證已經開發出系統來嘗試防止垃圾郵件。它們在 DNS（目錄查找）中儲存位址網域（@ 後面的部分）的數據，允許接收系統驗證郵件是否合法。一個系統，SPF，列出允許哪些系統代表該網域發送郵件；其他，德基姆，儲存與上面的數位簽章方法類似的公鑰，但用於驗證傳輸系統，而不是實際的發送者。

（稍微過度擴展實體信件的類比，SPF 就像公開說“我只使用這個郵箱寄信”，而 DKIM 就像公開說“我總是從這個為我打印防篡改標籤的郵局發送郵件” ”。）

這些與您的情況更相關- 如果您的妻子使用自訂網域，則適當的SPF 或DKIM 設定將導致許多系統默默地拒絕不是她自己發送的郵件（或將其標記為垃圾郵件，而不將其歸因於她））。但是，它僅適用於網域級別，不適用於個人地址，並且某些收件者係統可能不會檢查記錄。

Answer

由於協議設計的簡單且高度分佈式，確實很難以通用的方式解決電子郵件欺騙問題。

實體信件的類比在這個例子中很好地成立：我可以將一封信放入郵件中，並在上面寫下它來自你的房子；我不需要闖入你家來做這件事，只需將它投進公共郵箱即可。如果該帖子被標記為“返回發送者”，那麼它很可能最終會被“返回”給您，即使它不是您寫的。電子郵件也會發生同樣的情況：任何人都可以將帶有「收件者」和「寄件者」地址的訊息傳遞到系統中；您發送郵件的伺服器可能與您接收郵件的伺服器不同，並且當您將郵件放入系統時，沒有集中的服務來驗證您的身分。

解決這個問題有兩種一般方法：

數位簽名是一種在訊息中包含一種簽名或印章的方法，只有真正的發送者知道如何產生（使用他們從不共享的私鑰）。然後，接收者可以使用公鑰驗證簽名，該公鑰在數學上證明誰產生了簽名（並且它與接收到的文字相符）。

但是，這對於您的範例來說並不是很有用，因為它不會阻止訊息的傳遞，並且需要收件人知道公鑰或經過驗證的位置來檢索它。

基於網域的寄件者驗證已經開發出系統來嘗試防止垃圾郵件。它們在 DNS（目錄查找）中儲存位址網域（@ 後面的部分）的數據，允許接收系統驗證郵件是否合法。一個系統，SPF，列出允許哪些系統代表該網域發送郵件；其他，德基姆，儲存與上面的數位簽章方法類似的公鑰，但用於驗證傳輸系統，而不是實際的發送者。

（稍微過度擴展實體信件的類比，SPF 就像公開說“我只使用這個郵箱寄信”，而 DKIM 就像公開說“我總是從這個為我打印防篡改標籤的郵局發送郵件” ”。）

這些與您的情況更相關- 如果您的妻子使用自訂網域，則適當的SPF 或DKIM 設定將導致許多系統默默地拒絕不是她自己發送的郵件（或將其標記為垃圾郵件，而不將其歸因於她））。但是，它僅適用於網域級別，不適用於個人地址，並且某些收件者係統可能不會檢查記錄。

Question 2

向她通訊錄中的所有即時聯絡人發送電子郵件並告訴他們垃圾郵件問題可能會有所幫助。現在正是從清單中刪除所有已失效聯絡人的最佳時機。

未來使用 PGP/GPG 將是私人用戶和寄件者自行驗證電子郵件是否正確的近乎完美的解決方案。實際上從發送者發送，並且也可以隱藏/加密訊息的內容，這樣它們只能被預期的接收者看到。但是，儘管 PGP 已經存在了幾十年，但對於任何人來說，開始使用它並不是非常容易，並且純網絡郵件（例如 Gmail 等）使得很難將秘密部分真正保密，但仍然很容易從任何地方使用...

信箱認證

可以採取一些措施來對電子郵件接收者進行身份驗證（至少有一些，例如雅虎和谷歌等，“佔網路電子郵件使用者的很大比例」——DMARC 常見問題解答) 一則訊息，表示它來自您的網域真的是來自您的網域。他們使用 DMARK，“允許寄件者表明其郵件受 SPF 和/或 DKIM 保護，並告訴收件人如果這兩種身份驗證方法均未通過（例如垃圾郵件或拒絕郵件）該怎麼辦」——DMARC 常見問題解答。

更改為不同的電子郵件地址在短期內也可能有所幫助，然後您和其他人可以安全地忽略/「標記為垃圾郵件」來自垃圾郵件發送者的所有進一步郵件。但即使這不是您主要關心的問題，因為它們“顯然是超級垃圾郵件”並且沒有人被愚弄，您可能想要考慮阻止“來自：”行被輕易欺騙，因為如果足夠多的用戶總是“標記」作為垃圾郵件」你妻子的商務電子郵件，垃圾郵件過濾器可能會開始扔掉全部來自該地址的訊息。

電子郵件身份驗證應該幫助發送和接收郵件伺服器驗證郵件是否確實是從他們所說的寄件者發送的。我在 Gmail 上找到了一些信息，因為它是“三大”電子郵件公司之一，所以可能是一個不錯的起點。甚至將電子郵件提供者切換為已設定/經過身份驗證的電子郵件提供者，例如Gmail 企業版應該幫助＆可能更容易，但是不應該是必要的，儘管從您對 GoDaddy 的回覆來看，他們可能不是您夢想的主機。

Gmail 關於電子郵件驗證的協助對於發送域名有一些建議：

如果您是發送網域

帶有 DKIM 簽署的郵件使用金鑰對郵件進行簽署。使用短密鑰簽署的訊息很容易被欺騙（請參閱 http://www.kb.cert.org/vuls/id/268267），因此使用短密鑰簽署的訊息不再表明該訊息已被正確驗證。為了更好地保護我們的用戶，從2013 年1 月開始，Gmail 將開始將使用少於1024 位元金鑰簽署的電子郵件視為未簽署。長度至少為1024 位元的RSA 金鑰。強烈建議每位郵件寄件者進行身份驗證，以確保您的郵件正確分類。其他建議，請參閱我們的批量寄件者指南。

身份驗證本身不足以保證您的郵件能夠送達，因為垃圾郵件發送者也可以對郵件進行身份驗證。在對郵件進行分類時，Gmail 將使用者報告和其他訊號與身份驗證資訊結合。

同樣，郵件未經身份驗證的事實不足以將其歸類為垃圾郵件，因為某些寄件者未對其郵件進行身份驗證，或者因為身份驗證在某些情況下會中斷（例如，當郵件發送到郵件清單時）。

詳細了解如何制定政策來提供協助控制未經身份驗證的郵件來自您的網域。

最後一個連結控制未經身份驗證的郵件來自您的網域特別相關：

為了幫助打擊垃圾郵件和濫用行為，Gmail 使用電子郵件驗證驗證郵件是否確實是從其看似發送的地址發送的。作為 DMARC 計劃的一部分，Google 允許網域所有者協助定義我們如何處理虛假聲稱來自您的網域的未經驗證的郵件。

你可以做什麼

網域擁有者可以發布政策，告訴 Gmail 和其他參與的電子郵件提供者如何處理從您的網域發送但未經身份驗證的郵件。透過制定政策，您可以幫助打擊網路釣魚保護用戶和您的聲譽。

在 DMARC 網站上，了解如何發布您的政策，或者請參閱 Google Apps 網域的說明。

以下是一些需要記住的事情：

您將收到來自每個參與的電子郵件提供者的每日報告，以便您了解您的電子郵件經過驗證的頻率以及識別無效電子郵件的頻率。

當您從這些報告中了解數據時，您可能需要調整您的策略。例如，當您更確信自己的郵件都會經過身份驗證時，您可以將可操作的策略從「監控」調整為「隔離」再到「拒絕」。

您的政策可以嚴格也可以寬鬆。例如，eBay 和 PayPal 發布了一項政策，要求所有郵件都經過身份驗證才能出現在某人的收件匣中。根據其政策，Google 會拒絕來自 eBay 或 PayPal 的所有未經身份驗證的訊息。

有關 DMARC 的更多信息

DMARC.org的成立是為了允許電子郵件發送者透過以可發現且靈活的策略發布其偏好來影響未經身份驗證的郵件。它還使參與的電子郵件提供者能夠提供報告，以便寄件者可以改善和監控其身分驗證基礎設施。

Google 與 AOL、Comcast、Hotmail 和 Yahoo! 等其他電子郵件網域一起參與 DMARC。郵件。此外，美國銀行、Facebook、Fidelity、LinkedIn 和 Paypal 等發送者已經發布了 Google 和其他接收者遵循的政策。

欲了解更多信息，請參閱這篇文章Gmail 官方博客。

其他有用的連結：

Answer

向她通訊錄中的所有即時聯絡人發送電子郵件並告訴他們垃圾郵件問題可能會有所幫助。現在正是從清單中刪除所有已失效聯絡人的最佳時機。

未來使用 PGP/GPG 將是私人用戶和寄件者自行驗證電子郵件是否正確的近乎完美的解決方案。實際上從發送者發送，並且也可以隱藏/加密訊息的內容，這樣它們只能被預期的接收者看到。但是，儘管 PGP 已經存在了幾十年，但對於任何人來說，開始使用它並不是非常容易，並且純網絡郵件（例如 Gmail 等）使得很難將秘密部分真正保密，但仍然很容易從任何地方使用...

信箱認證

可以採取一些措施來對電子郵件接收者進行身份驗證（至少有一些，例如雅虎和谷歌等，“佔網路電子郵件使用者的很大比例」——DMARC 常見問題解答) 一則訊息，表示它來自您的網域真的是來自您的網域。他們使用 DMARK，“允許寄件者表明其郵件受 SPF 和/或 DKIM 保護，並告訴收件人如果這兩種身份驗證方法均未通過（例如垃圾郵件或拒絕郵件）該怎麼辦」——DMARC 常見問題解答。

更改為不同的電子郵件地址在短期內也可能有所幫助，然後您和其他人可以安全地忽略/「標記為垃圾郵件」來自垃圾郵件發送者的所有進一步郵件。但即使這不是您主要關心的問題，因為它們“顯然是超級垃圾郵件”並且沒有人被愚弄，您可能想要考慮阻止“來自：”行被輕易欺騙，因為如果足夠多的用戶總是“標記」作為垃圾郵件」你妻子的商務電子郵件，垃圾郵件過濾器可能會開始扔掉全部來自該地址的訊息。

電子郵件身份驗證應該幫助發送和接收郵件伺服器驗證郵件是否確實是從他們所說的寄件者發送的。我在 Gmail 上找到了一些信息，因為它是“三大”電子郵件公司之一，所以可能是一個不錯的起點。甚至將電子郵件提供者切換為已設定/經過身份驗證的電子郵件提供者，例如Gmail 企業版應該幫助＆可能更容易，但是不應該是必要的，儘管從您對 GoDaddy 的回覆來看，他們可能不是您夢想的主機。

Gmail 關於電子郵件驗證的協助對於發送域名有一些建議：

如果您是發送網域

帶有 DKIM 簽署的郵件使用金鑰對郵件進行簽署。使用短密鑰簽署的訊息很容易被欺騙（請參閱 http://www.kb.cert.org/vuls/id/268267），因此使用短密鑰簽署的訊息不再表明該訊息已被正確驗證。為了更好地保護我們的用戶，從2013 年1 月開始，Gmail 將開始將使用少於1024 位元金鑰簽署的電子郵件視為未簽署。長度至少為1024 位元的RSA 金鑰。強烈建議每位郵件寄件者進行身份驗證，以確保您的郵件正確分類。其他建議，請參閱我們的批量寄件者指南。

身份驗證本身不足以保證您的郵件能夠送達，因為垃圾郵件發送者也可以對郵件進行身份驗證。在對郵件進行分類時，Gmail 將使用者報告和其他訊號與身份驗證資訊結合。

同樣，郵件未經身份驗證的事實不足以將其歸類為垃圾郵件，因為某些寄件者未對其郵件進行身份驗證，或者因為身份驗證在某些情況下會中斷（例如，當郵件發送到郵件清單時）。

詳細了解如何制定政策來提供協助控制未經身份驗證的郵件來自您的網域。

最後一個連結控制未經身份驗證的郵件來自您的網域特別相關：

為了幫助打擊垃圾郵件和濫用行為，Gmail 使用電子郵件驗證驗證郵件是否確實是從其看似發送的地址發送的。作為 DMARC 計劃的一部分，Google 允許網域所有者協助定義我們如何處理虛假聲稱來自您的網域的未經驗證的郵件。

你可以做什麼

網域擁有者可以發布政策，告訴 Gmail 和其他參與的電子郵件提供者如何處理從您的網域發送但未經身份驗證的郵件。透過制定政策，您可以幫助打擊網路釣魚保護用戶和您的聲譽。

在 DMARC 網站上，了解如何發布您的政策，或者請參閱 Google Apps 網域的說明。

以下是一些需要記住的事情：

您將收到來自每個參與的電子郵件提供者的每日報告，以便您了解您的電子郵件經過驗證的頻率以及識別無效電子郵件的頻率。

當您從這些報告中了解數據時，您可能需要調整您的策略。例如，當您更確信自己的郵件都會經過身份驗證時，您可以將可操作的策略從「監控」調整為「隔離」再到「拒絕」。

您的政策可以嚴格也可以寬鬆。例如，eBay 和 PayPal 發布了一項政策，要求所有郵件都經過身份驗證才能出現在某人的收件匣中。根據其政策，Google 會拒絕來自 eBay 或 PayPal 的所有未經身份驗證的訊息。

有關 DMARC 的更多信息

DMARC.org的成立是為了允許電子郵件發送者透過以可發現且靈活的策略發布其偏好來影響未經身份驗證的郵件。它還使參與的電子郵件提供者能夠提供報告，以便寄件者可以改善和監控其身分驗證基礎設施。

Google 與 AOL、Comcast、Hotmail 和 Yahoo! 等其他電子郵件網域一起參與 DMARC。郵件。此外，美國銀行、Facebook、Fidelity、LinkedIn 和 Paypal 等發送者已經發布了 Google 和其他接收者遵循的政策。

欲了解更多信息，請參閱這篇文章Gmail 官方博客。

其他有用的連結：

Question 3

可以做什麼取決於您可以控制多少基礎設施，以及您是否使用自己的網域或只是擁有由其他人控制的網域下的地址。

如果您有自己的域名，則可以輕鬆切換到同一域名下的新電子郵件地址。此外，您還可以設定 DNS 記錄，告訴全世界來自您網域的所有電子郵件都應該經過數位簽署。（如果您想採用這種方法，則需要搜尋 SPF、DKIM 和 DMARC 等術語。）

您不能指望每個人都驗證這些簽名，因此即使您確實設定了DNS 記錄，表明來自您的網域的電子郵件必須經過簽名，仍然會有濫用者發送聲稱來自您的網域的未簽名電子郵件，而接收者會接受這些未簽署的電子郵件。

如果您不控制網域，那麼更改電子郵件地址就不那麼容易了，而且您對是否使用 DNS 記錄來限制在外發電子郵件中欺騙網域的能力影響不大。

使用欺騙性來源位址的垃圾郵件導致退回合法地址的問題至少在原則上很容易解決。

您可以記錄Message-ID您發送的所有電子郵件。所有退回郵件都需要在某處包含Message-ID原始郵件的內容 - 否則退回郵件無論如何都是完全無用的，因為這可以告訴您哪條郵件被退回。任何不包含Message-ID您之前發送過的退回郵件都可以直接發送到垃圾郵件資料夾或在接收時被拒絕（這樣做的好處是使問題更接近來源）。

可以透過MAIL From地址將退回郵件與其他電子郵件區分開來。退回郵件總是有一個空MAIL From地址，其他電子郵件永遠不會有一個空MAIL From地址。

因此，如果MAIL From為空 - 並且DATA不包含Message-ID您先前發送的郵件，則可以安全地拒絕該郵件。

這就是原則。將其付諸實踐有點困難。首先，用於傳出和傳入電子郵件的基礎設施可能是分開的，這使得用於傳入電子郵件的基礎設施始終了解Message-ID已透過用於傳出電子郵件的基礎設施的每封郵件變得有問題。

此外，一些提供者堅持發送不符合常識的退回郵件。例如，我看到提供者發送的退回郵件不包含有關被退回的原始電子郵件的任何資訊。對於此類無用的退回郵件，我的最佳建議是將它們視為垃圾郵件，即使它們來自合法的郵件系統。

請記住，獲得電子郵件地址清單的人可以將任何地址作為來源地址，並將任何地址作為目標地址。因此，除非您有其他訊息，否則您無法確定洩漏是否發生在您自己的系統中。可能是您的任何聯絡人洩露了地址列表，包括您的地址。

您越能弄清楚哪些地址在洩漏清單中、哪些不在洩漏清單中，就越能確定它是從哪裡洩漏的。您可能已經這樣做了，並得出結論，洩漏一定源自於您的聯絡人列表，因為您的聯絡人都不知道所有已確認已洩漏的地址。

我的方法是使用我自己的網域，並為我與之通信的每個聯絡人使用該網域下的單獨電子郵件地址。我在郵件地址中包含了與聯絡人首次通信的日期，這樣看起來就好像[email protected]我今天要寫一封電子郵件給新聯絡人。這種方法顯然不適合所有人，但對我來說，它肯定有助於準確地知道誰洩露了我的電子郵件地址清單。這也意味著我可以關閉個人地址，這樣只有洩露我地址的人才必須為我更新他們的聯絡資訊。

Answer