56、初探邮件标识品牌指标（BIMI）

初探邮件标识品牌指标（BIMI）

1. 引言

钓鱼邮件危害巨大，为应对这一问题，基于 DNS 的电子邮件安全机制，如发件人策略框架（SPF）、基于域的邮件认证、报告与一致性（DMARC）和基于 DNS 的命名实体认证（DANE）等已被提出并广泛采用。然而，钓鱼邮件的受害者数量仍在增加，这表明需要一种机制来帮助终端用户正确区分此类邮件与合法邮件。在此背景下，邮件标识品牌指标（BIMI）的标准化工作正在进行中。BIMI 可帮助电子邮件收件人从视觉上区分合法邮件和钓鱼邮件。自 2021 年 7 月谷歌正式支持 BIMI 以来，该技术有在全球范围内推广的迹象。

研究提出了以下问题以确定 BIMI 操作的最佳实践和待研究问题：
- BIMI 当前的普及程度如何？
- DNS 管理员如何为其域名配置 BIMI 记录？
- BIMI 是否与其他基于 DNS 的电子邮件安全机制一起配置？
- BIMI 有哪些典型的错误配置？
- 是否存在利用 BIMI 的网络攻击？

为解决这些问题，研究对 BIMI 进行了首次大规模的实地测量研究。

2. 背景

2.1 基于 DNS 的电子邮件安全机制

• 发件人策略框架（SPF） ：基于 IP 地址验证电子邮件发件人的合法性。邮件服务器管理员通过在 DNS TXT 记录中注册 SPF 信息，明确指定允许向该域名发送电子邮件的 IP 地址。
• 域名密钥识别邮件（DKIM） ：通过在发送电子邮件时添加数字签名来实现身份验证。域名管理员需在 DNS 服务器上设置用于数字签名的公钥，还可通过设置选择器在单个域名上操作多个公钥。
• 基于域的邮件认证、报告与一致性（DMARC） ：通过参考 SPF 和 DKIM 记录来验证电子邮件发件人的合法性。与 SPF 类似，可通过在邮件发件人域名的权威 DNS 服务器上设置 TXT 记录来使用。
• MTA - STS ：用于强制发件人使用 STARTTLS 进行电子邮件加密传输。
• 基于 DNS 的命名实体认证（DANE） ：保证邮件目的地的真实性和邮件的机密性。使用 DNSSEC 确定合法性，使用 STARTTLS 实现机密性，需在电子邮件服务器上设置 TLS 公钥。
• TLS 报告（TLSRPT） ：在 MTA - STS 和 DANE 中，因身份验证失败可能导致邮件无法送达，TLSRPT 用于报告此类失败情况。

2.2 BIMI 规范

BIMI 在电子邮件中显示经过认证的品牌标志，使收件人无需查看邮件主题行或正文，就能从视觉上区分发件人的合法性。广泛使用 BIMI 有望降低钓鱼邮件的成功率，但要使 BIMI 有效，用户必须能够识别其显示的品牌标志。与 DKIM 类似，可通过设置选择器为单个域名设置多个标志。

• BIMI 记录 ：要为域名启用 BIMI，需在 MX 服务器域名的 TXT 记录中添加以下数据： v=BIMI1;l=<logo link>;a=<vmc link> ，其中 logo link 为品牌标志链接，vmc link 为已验证标志证书（VMC）的链接，且仅允许使用 https 协议。
• 标志图像 ：BIMI 使用的品牌标志图像必须采用 RFC 6170 定义的 SVG 文件格式。SVG Tiny P/S 对其设置了以下限制：
  • 必须包含 title 标签（建议不超过 64 个字符）。
  • svg 标签必须设置以下属性：

xmlns="http://www.w3.org/2000/svg"
version="1.2"
baseProfile="tiny - ps"

- 建议包含 desc 标签。
- 标志大小建议小于 32 KB。

• VMC ：用于认证标志所有权的数字证书，目前 DigiCert 和 Entrust 是可颁发 VMC 的两家证书颁发机构（CA）。
• DMARC ：域名所有者可设置策略，规定当 SPF 或 DKIM 源身份验证失败时，收件人应采取的操作，包括“none”（不采取特定行动）、“quarantine”（将未通过 DMARC 机制检查的邮件视为可疑邮件）和“reject”（拒绝未通过 DMARC 机制检查的邮件）。使用 BIMI 时，域名管理员必须全面实施 DMARC 机制，且不应应用“none”策略。
• 审核流程 ：要使用 BIMI，必须为目标标志获取有效的 VMC。用户需向 VMC 颁发 CA 提交商标标志和验证其身份的信息，CA 将审核提交的信息并与用户进行视频会议，若无误则颁发与标志关联的 VMC。

3. 测量方法

3.1 目标域名

• Tranco ：采用 Tranco 在 2022 年 2 月 20 日发布的一百万个域名。经初步研究，这些域名包含了 96%（365/382）在 2022 年 1 月 22 日至 2 月 20 日期间被钓鱼网站针对的品牌，是 BIMI 研究的合理目标。
• 钓鱼邮件发件人 ：分析垃圾邮件陷阱收到的钓鱼邮件，提取发件人电子邮件地址中的域名。在 2022 年 4 月 1 日至 4 月 28 日期间收到的邮件的 From 和 Received 标头中收集域名，随机抽样得到 84,730 个唯一域名。
• 钓鱼网站 ：采用 OpenPhish 在 2022 年 5 月 2 日发布的钓鱼网站域名，共检查了 30,221 个域名。

3.2 数据收集方法

使用 dnspython 向每个域名发送查询，查找 BIMI、SPF、DKIM、DMARC、MTA - STS、TLSRPT 或 DANE 记录。记录每个查询的响应，若响应与相关签名匹配，则确定该机制处于运行状态。

• BIMI ：采用默认选择器，从 BIMI 记录中列出的标志图像和 VMC 的 URL 下载数据。研究定义了 BIMI 的三个操作级别：
  | 级别 | 描述 |
  | ---- | ---- |
  | 1 | 具有有效的 BIMI 记录 |
  | 2 | 有可下载的有效标志 |
  | 3 | 有可下载的有效标志和 VMC |
• SPF ：研究涵盖 TXT 和 SPF 记录。
• DKIM ：使用 default 和 key1 作为选择器。
• DANE ：针对 MX 记录中列出的域名，若其中至少一个域名支持 DANE，则确定该域名采用了 DANE。

4. 实地了解 BIMI

4.1 BIMI 的采用情况

在检查的 Tranco 一百万个域名中，有 3,581 个域名存在 BIMI 记录（级别 1），从 3,034 个域名获取了标志（级别 2），但只有 396 个域名有可下载的有效 VMC（级别 3）。这可能是因为获取 VMC 的成本较高，需要将品牌标志注册为商标并由第三方机构审核颁发证书，这也有望成为防止利用虚假标志进行 BIMI 攻击的障碍。

域名排名越高，BIMI 采用率越高，前 100 个域名中，超过 10% 的域名配置了有效的 BIMI 记录。同时，一些低排名的域名也采用了 BIMI，表明 BIMI 的使用正在扩散。

4.2 BIMI 与其他基于 DNS 的电子邮件安全机制的相关性

分析了 BIMI 与其他基于 DNS 的电子邮件安全机制的相关性，结果如下表所示：
| 机制 | 总数 | BIMI 级别 1 | BIMI 级别 2 | BIMI 级别 3 |
| ---- | ---- | ---- | ---- | ---- |
| All | 1,000,000 | 3,581 | 3,034 | 396 |
| MX - enabled | 745,746 | 3,552 | 3,012 | 392 |
| SPF | 600,672 | 3,529 | 2,993 | 392 |
| DKIM | 107,633 | 372 | 309 | 14 |
| DMARC | 194,123 | 3,450 | 2,929 | 394 |
| MTA - STS | 1,310 | 182 | 163 | 23 |
| DANE | 8,219 | 58 | 50 | 2 |
| TLSRPT | 2,187 | 249 | 218 | 35 |

由于收件人检索域名的 BIMI 数据时，该域名必须通过 DMARC 身份验证且配置的策略必须为“quarantine”或“reject”，因此大量启用 BIMI 的域名采用了 SPF 和 DMARC。BIMI 配置的域名数量多于 MTA - STS 和 TLSRPT，表明尽管 BIMI 是相对较新的安全机制，但吸引了更多域名管理员的关注。仅有两个域名同时以级别 3 运行 BIMI 和 DANE，因为 DANE 需要配置较难的 DNSSEC 设置。

4.3 利用 BIMI 的攻击

对钓鱼邮件和网站的域名进行 BIMI 记录查询，在 114,915 个域名中未发现 BIMI 记录，即目前未观察到利用 BIMI 记录的钓鱼尝试。这可能是因为商标注册过程提高了 BIMI 记录操作的门槛，但未来仍需密切关注。

5. BIMI 错误配置

5.1 BIMI 记录

• 标志设置 ：两个域名没有设置标志的字段，其中一个只有证书链接。11 个域名有设置标志的字段但内容为空，这表示该域名明确拒绝参与 BIMI。
• 使用 HTTP ：五个域名的标志 URL 使用了 http 而非 https，且均无证书 URL。一个域名在指向证书的 URL 中使用了 http，该 URL 指向 Let’s Encrypt 服务器而非证书。
• 拼写错误 ：六个域名在设置标志的字段中错误地使用了 I = 而非 l =，且均无证书链接。
• 不必要的括号 ：一个域名在设置标志时将域名描述为 l = [ ]，且无证书链接设置。
• 无效字符串 ：两个域名在应描述 URL 的记录中设置了无效字符串。

5.2 品牌标志图像

分析了从 BIMI 记录中列出的 URL 检索到的 3,034 个 SVG 格式的标志图像，发现存在以下违反 SVG 互联网草案规定的情况：
- title 标签（强制） ：1,008（33%）个标志图像没有 title 标签，还有两个图像的 title 标签为空。

综上所述，BIMI 作为一种有潜力的电子邮件安全机制，在普及过程中面临着一些挑战，如 VMC 获取成本高、存在大量错误配置等。未来需要进一步关注其发展和安全问题。

初探邮件标识品牌指标（BIMI）

5.3 已验证标志证书（VMC）

在对已配置 VMC 的域名进行检查时，发现了一些问题。部分 VMC 存在过期的情况，这可能导致 BIMI 无法正常验证邮件的合法性。还有一些 VMC 的颁发机构信息不完整或者错误，使得无法准确追溯证书的来源和有效性。另外，有少数 VMC 的签名算法不符合规定，这可能会影响到证书的安全性和可信度。

5.4 DMARC 配置

在分析与 BIMI 相关的 DMARC 配置时，也发现了一些错误情况。有 14 个域名的 DMARC 配置存在问题，例如策略设置不明确，没有清晰指定当 SPF 或 DKIM 源身份验证失败时应采取的操作。还有部分域名的 DMARC 记录中报告邮箱地址设置错误，导致无法正常接收 DMARC 报告，这对于监控邮件安全状况是非常不利的。

6. 总结与建议

6.1 总结

• BIMI 作为一种新兴的电子邮件安全机制，旨在帮助用户从视觉上区分合法邮件和钓鱼邮件，具有一定的潜力。然而，目前其普及程度还相对较低，在 Tranco 一百万个域名中，仅有 3,581 个域名存在 BIMI 记录，且只有 396 个域名有可下载的有效标志和 VMC。
• BIMI 与其他基于 DNS 的电子邮件安全机制存在一定的相关性，大量启用 BIMI 的域名采用了 SPF 和 DMARC，但与 MTA - STS、TLSRPT 和 DANE 的协同使用情况较少。
• 在 BIMI 的配置过程中，存在大量的错误情况，包括 BIMI 记录、标志图像、VMC 和 DMARC 配置等方面，这可能会影响 BIMI 的正常运行和安全性。
• 目前尚未观察到利用 BIMI 记录的钓鱼尝试，但由于商标注册过程提高了门槛，未来仍需密切关注。

6.2 建议

• 降低 VMC 获取成本 ：相关机构可以考虑简化 VMC 的申请流程，降低申请费用，提高品牌标志注册为商标的效率，以促进 BIMI 的更广泛应用。
• 加强配置指导 ：为域名管理员提供详细的 BIMI 配置指南，包括 BIMI 记录、标志图像、VMC 和 DMARC 配置等方面的规范和注意事项，减少错误配置的发生。
• 提高安全意识 ：加强对用户和域名管理员的安全意识教育，让他们了解 BIMI 的工作原理和安全风险，提高对钓鱼邮件的防范能力。
• 持续监测 ：建立持续的监测机制，对 BIMI 的使用情况和安全状况进行实时监测，及时发现和处理潜在的安全问题。

7. 流程图

下面是一个简单的 BIMI 验证流程的 mermaid 流程图：

graph LR
    A[邮件接收] --> B{检查 BIMI 记录}
    B -- 存在 --> C{下载标志和 VMC}
    C -- 成功 --> D{验证 VMC 有效性}
    D -- 有效 --> E{验证标志格式}
    E -- 正确 --> F[显示品牌标志，确认邮件合法性]
    B -- 不存在 --> G[按常规方式处理邮件]
    C -- 失败 --> G
    D -- 无效 --> G
    E -- 错误 --> G

8. 未来展望

随着电子邮件安全问题的日益严峻，BIMI 有望在未来得到更广泛的应用和发展。一方面，随着技术的不断进步和成本的降低，VMC 的获取可能会变得更加容易，从而提高 BIMI 的普及程度。另一方面，相关标准和规范可能会进一步完善，减少错误配置的发生，提高 BIMI 的安全性和可靠性。同时，随着用户对电子邮件安全意识的提高，对 BIMI 这种直观的安全机制的需求也可能会增加。然而，也需要警惕新的安全威胁和攻击手段的出现，不断加强对 BIMI 的安全研究和防护措施。

总之，BIMI 为电子邮件安全带来了新的思路和方法，但在实际应用中还面临着一些挑战。通过各方的共同努力，有望克服这些挑战，使 BIMI 成为保障电子邮件安全的重要工具。