باور کنم خودت هستی؟

آیا تا کنون جمله زیر توجه شما را جلب کرده است؟ Yahoo! DomainKeys has confirmed that this message was sent by yahoo.com

کد خبر: ۱۶۱۷۴۴

اخیراً هنگامی‌که ای‌میل‌های خود را در یاهو چک می‌کنید، چنانچه فرستنده هم از اکانت یاهو استفاده کرده باشد، در قسمت From: و بعد از نام فرستنده، جمله فوق را می‌بینید.

   جعل ای‌میل که عبارتست از جعل آدرس ای‌میل شخص یا شرکت دیگر به منظور جلب اعتماد کاربران برای بازکردن پیام‌ها، یکی از بزرگترین چالش‌هایی است که امروزه جامعه اینترنت و تکنولوژی‌های ضداسپم با آن مواجه هستند. ارائه کنندگان سرویس‌های ای‌میل بدون تأیید هویت فرستنده و امکان ردگیری آن، هرگز نمی‌توانند مطمئن باشند که آیا یک پیام اصلی است یا جعلی و بنابراین مجبورند برای آنکه مشخص شود کدام ای‌میل‌ها را به تحویل گیرنده بدهند یا کدام را مسدود و کدام را قرنطینه کنند، از بعضی روش‌های مبتنی بر حدس استفاده کنند.

   DomainKeys یک طرح پیشنهادی فنی از طرف یاهو است که می‌تواند پاسخی واضح به پروسه تصمیم‌گیری در مورد صحت ای‌میل بدهد. این تکنولوژی امکان این عمل را با ارائه مکانیسمی‌ برای تأیید دامنه هر فرستنده ای‌میل و جامعیت پیام‌های ارسالی میسر می‌کند (جامعیت یعنی ای‌میل‌ها در طول ارسال تغییر نکرده اند). هنگامی‌که وجود دامنه مورد تأیید قرار بگیرد، می‌توان آن را با دامنه استفاده شده توسط فرستنده در فیلد From   پیام مقایسه کرد تا در صورت جعل، مشخص گردد. اگر جعلی باشد یا هرزنامه (اسپم) است یا پیام تقلبی و می‌توان بدون دخالت کاربر پیام را حذف کرد. اگر جعلی نباشد، دامنه شناخته شده است و یک پروفایل ماندگار می‌تواند برای دامنه ارسال کننده برقرار گردد و به ارائه کنندگان سرویس ارائه و حتی برای کاربران نمایش داده شود.

   برای شرکت‌های شناخته شده که معمولاً ای‌میل تجاری به مشتریان می‌فرستند، مانند بانک‌ها و سرویس‌های تجارت الکترونیک، فایده تأیید هویت بسیار بیشتر است، چرا که می‌توانند به کاربرانشان در حفاظت از «حملات phishing یا هویت ربایی» کمک کند.

   برای مشتریان، مانند کاربران ای‌میل یاهو یا سایرین، حمایت از تکنولوژی‌های تأیید هویت به این معنی است که می‌توانند اعتماد به ای‌میل را از سر بگیرند و ای‌میل می‌تواند به نقش خود به عنوان یکی از قویترین ابزارهای ارتباطی در زمان ما ادامه دهد.

استانداردسازی‌

شرکت یاهو سعی دارد DomainKeys را به یک استاندارد اینترنتی تبدیل کند. یاهو امیدوار است که DomainKeys پروسه استانداردهای اینترنتی IETF (Internet Engineering Task Force) را طی کند و در نهایت به عنوان یک استاندارد اینترنتی IETF تصویب شود.
DomainKeys چگونه کار می‌کند؟

سرورهای ای‌میل فرستنده‌

برای امضا کردن یک ای‌میل با DomainKeys دو مرحله وجود دارد:

1- Set up (راه اندازی): صاحب دامنه (معمولاً تیمی‌که سیستم‌های ای‌میل را در یک شرکت یا ارائه کننده سرویس اداره می‌کند) یک جفت کلید عمومی/اختصاصی را برای استفاده در امضای تمام پیام‌های خروجی تولید می‌کند. کلید عمومی‌در DNS (Domain Name System) منتشر می‌شود و کلید اختصاصی در اختیار سرویس دهنده ارسال ای‌میل قرار داده می‌شود. مرحله «A» در شکل نشانگر این بخش است.

2- Siging (امضاکردن): هنگامی‌که هر ای‌میل توسط یک کاربر مجاز آن دامنه، ارسال می‌شود، سیستم ای‌میل مجهز به DomainKeys، به صورت خودکار از کلید اختصاصی ذخیره شده برای تولید امضای دیجیتالی پیام استفاده می‌کند. این امضا سپس به header ای‌میل الصاق می‌شود و ای‌میل به سرور ای‌میل گیرنده ارسال می‌شود. این مرحله «B» است که در شکل نشان داده شده است.

سرورهای ای‌میل گیرنده‌

   1- Preparing (آماده سازی): سیستم دریافت کننده ای‌میل مجهز به DomainKeys امضا و «دامنه ارسال کننده ادعاشده» (Claimed From: Domain) را از داخل header ای‌میل استخراج می‌کند و کلید عمومی‌مربوط به دامنه ارسال کننده ادعاشده را از DNS می‌گیرد. این مرحله «C» در شکل نشان داده شده است.

   2- Verifying تأیید (هویت): سپس با استفاده از کلید عمومی‌گرفته شده از DNS، سیستم دریافت کننده ای‌میل کنترل می‌کند که امضا توسط کلید اختصاصی متناظر تولید شده باشد. این امر ثابت می‌کند که ای‌میل واقعاً توسط فرستنده ادعا شده در ابتدای ای‌میل و با اجازه وی ارسال شده است و اینکه header و محتوا درطول ارسال تغییر نکرده است.

   3- Delivering (تحویل): سیستم دریافت کننده ای‌میل سیاست‌های محلی را براساس نتیجه بررسی امضا اعمال می‌کند. اگر دامنه مورد تأیید قرار بگیرد و سایر بررسی‌های ضداسپم نیز تشخیص اسپم ندهند، ای‌میل می‌تواند به inbox کاربر تحویل داده شود. اگر امضا تأیید نگردد یا وجود نداشته باشد، ای‌میل می‌تواند حذف شود، علامت زده شود یا قرنطینه شود. مرحله «D» در شکل، این بخش را نشان داده است.

   عموماً یاهو انتظار دارد که DomainKeys توسط سرورهای دریافت کننده ای‌میل تأیید گردد. به هرحال، سرویس گیرنده‌های ای‌میل می‌توانند برای داشتن قابلیت تأیید امضا، تغییر داده شوند و براساس نتایج بررسی و سیاست‌هایشان، در مورد ای‌میل‌های دریافتی تصمیم گیری کنند.

شما می‌توانید با مراجعه به آدرس زیر نرم افزارهایی را در زمینه هک کردن ای‌میل‌های یاهو یا‌ هات‌میل بدست آورید.