理解DKIM验证

Question

rfc4871所读的DKIM声明，除了保护发送者的身份和邮件的完整性之外，还会使地址伪造变得更加困难。

我一直在寻找细节，精确的验证步骤可以防止From:-header欺骗，事实是趋势微公司的Dave和Doug认为DKIM在预置第二个From: header时有一个弱点。相反，这意味着只有一个From:-Header是不可能的。

请发现我推理中的错误：

1. 假设我是一个已经注册了域spammailer.com的垃圾邮件发送者
2. 因为我是所有者，我被授权为域名spammailer.com在DNS中建立DKIM记录。
3. 现在，我从我的邮件服务器发送一封电子邮件，该邮件具有accounting@ibm.com的私钥：

标题：

Return-Path: <spammer@spammailer.com>
Received:...
Received:...
Date: Wed, 17 Oct 2018 15:11:08 +0000
From: virginia.rometty@ibm.com
To: <accounting@ibm.com>
Message-ID: <010001663008-25440000@spammailer.com>
Subject: pay rise of 5%
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=spammailer.com;
    s=bostonceltics; t=1519400838;
    h=from:subject:date:message-id:to:mime-version:content-type:content-transfer-encoding;
    bh=kpYel1IlDvqXEUc0SyIpXbMte3XpQOCXHl+zTyHQvGc=;
    b=NEUyWUoeKEoKAYTY8g04o73j+wrYUcEGSq7uwpbsAGo0OzuuIBluEfG1MbGF/Tf6yxxJB4
    gTDD3sqb19EsQxv39QsAwgddAz01Osw5LKU0MjLZpxw6NA8zLllJUsrNdNQAYSII9ip4xX
    ImU7+KFOEF+gmxR5aseUt5H6JT/aOmhPE9xsSyg9wLf0Bikyy5Cgh+Ay7AHQLMZogbTi9W
    dAPpZZcZs0pTwhcard6SaesypJ+xZNna+BA+C1vXrGDc+9stYZVi+Zufh6zlZo1E/sQSRL
    jowB1mjv1vjINRY30aq0rh4dT8RHe38/PKFf8vQHOSOKvjIKv984UeOTIFIUHw==

据我所知，目前的核查进程如下：

1. 从发件人域d=spammailer.com+separator获取公钥
2. 用经过的垃圾邮件者的公钥解密DKIM签名(我想！)因为邮件没有任何改变。

现在，IBM的收信人认识到，有一封来自首席执行官的电子邮件，在大多数MUA中显示为From:-address。

Answer 1

DKIM本身并不能保护邮件头(即From: )中的RFC822.From字段免受欺骗。它只添加一个签名，该签名显示邮件头的重要部分没有更改，并且邮件通过负责特定域的邮件服务器传递。在您的具体案例中，DKIM签名显示，邮件通过spammailer.com的邮件服务器传递，而不是通过ibm.com的邮件服务器传递，就像来自...@ibm.com的适当邮件可能做的那样。

From:字段的防欺骗保护仅由DMARC添加。如果邮件域有DMARC策略(如ibm.com当前所做的，dig txt _dmarc.ibm.com显示的)，则接收系统可以检查是否存在对齐的DKIM签名或SPF结果。对于DKIM，表示在from From:字段中给出的域与DKIM签名的域匹配(取决于DMARC策略，无论是完全正确还是允许子域)。