Mail Transfer Agent-Strict Transport Security (MTA-STS) är en ny standard som gör det möjligt för e-posttjänstleverantörer med möjlighet att genomdriva Transport Layer Security (TLS) för att säkra SMTP-anslutningar och för att ange om de sändande SMTP-servrarna ska vägra att leverera e-postmeddelanden till MX-värdar som inte erbjuder TLS med ett tillförlitligt servercertifikat. Det har visat sig framgångsrikt mildra TLS nedgraderingsattacker och Man-In-The-Middle (MITM) attacker.

Enklare uttryckt är MTA-STS en internetstandard som säkrar anslutningar mellan SMTP-e-postservrar. Det mest framträdande problemet med SMTP är att kryptering är helt valfritt och inte tillämpas under e-postöverföring. Det är därför SMTP antog STARTTLS-kommandot för att uppgradera från klartext till kryptering. Detta var ett värdefullt steg mot att mildra passiva attacker, men att ta itu med attacker via aktiva nätverk och MITM-attacker förblev fortfarande oadresserat.

Därför är problemet MTA-STS löser att SMTP använder opportunistisk kryptering, det vill säga om en krypterad kommunikationskanal inte kan upprättas faller anslutningen tillbaka till klartext och därmed håller MITM och nedgraderar attacker i schack.

Vad är en TLS-nedgraderingsattack?

Som vi redan vet kom SMTP inte med ett krypteringsprotokoll och kryptering måste eftermonteras senare för att förbättra säkerheten för det befintliga protokollet genom att lägga till STARTTLS-kommandot. Om klienten stöder kryptering (TLS) kommer den att förstå STARTTLS-verbet och initierar ett TLS-utbyte innan e-postmeddelandet skickas för att säkerställa att det är krypterat. Om klienten inte känner till TLS ignorerar den helt enkelt STARTTLS-kommandot och skickar e-postmeddelandet i klartext.

Eftersom kryptering måste eftermonteras till SMTP-protokoll måste uppgraderingen för krypterad leverans därför förlita sig på ett STARTTLS-kommando som skickas med klartext. En MITM-angripare kan enkelt utnyttja den här funktionen genom att utföra en nedgraderingsattack på SMTP-anslutningen genom att manipulera uppgraderingskommandot. Angriparen ersatte helt enkelt STARTTLS med en skräpsträng som klienten inte kan identifiera. Därför faller klienten lätt tillbaka till att skicka e-postmeddelandet i klartext.

Angriparen ersätter vanligtvis kommandot med skräpsträngen som innehåller samma antal tecken, i stället för att kasta ut det, eftersom det bevarar paketstorleken och därför gör det enklare. De åtta bokstäverna i skräpsträngen i alternativkommandot gör det möjligt för oss att upptäcka och identifiera att en TLS-nedgraderingsattack har utförts av en cyberbrottslig, och vi kan mäta dess prevalens.

Kort sagt, en nedgraderingsattack startas ofta som en del av en MITM-attack, för att skapa en väg för att aktivera en kryptografisk attack som inte skulle vara möjlig i händelse av en anslutning som krypteras över den senaste versionen av TLS-protokollet, genom att ersätta eller ta bort STARTTLS-kommandot och rulla tillbaka kommunikationen till klartext.

Även om det är möjligt att genomdriva TLS för kommunikation mellan klienter och servrar, som för de anslutningar vi vet att apparna och servern stöder det. Men för server-till-server-kommunikation måste vi misslyckas öppna för att tillåta äldre servrar att skicka e-postmeddelanden. Kruxet med problemet är att vi inte har någon aning om servern på andra sidan stöder TLS eller inte. MTA-STS tillåter servrar att indikera att de stöder TLS, vilket gör det möjligt för dem att misslyckas nära (dvs. inte skicka e-postmeddelandet) om uppgraderingsförhandlingen inte äger rum, vilket gör det omöjligt för en TLS-nedgraderingsattack att äga rum.

tls rapportering

Hur kommer MTA-STS till undsättning?

MTA-STS fungerar genom att öka EXO- eller Exchange Online-e-postsäkerheten och är den ultimata lösningen på ett brett utbud av SMTP-säkerhets nackdelar och problem. Den löser problem i SMTP-säkerhet, till exempel brist på stöd för säkra protokoll, utgångna TLS-certifikat och certifikat som inte utfärdas av pålitliga tredje parter.

När e-postservrar fortsätter att skicka ut e-postmeddelanden är SMTP-anslutningen sårbar för kryptografiska attacker som nedgraderingsattacker och MITM. Nedgraderingsattacker kan startas genom att TA BORT STARTTLS-svaret och därmed leverera meddelandet i klartext. På samma sätt kan MITM-attacker också startas genom att omdirigera meddelandet till en serverintrångare över en osäker anslutning. MTA-STS gör det möjligt för din domän att publicera en policy som gör det obligatoriskt att skicka ett e-postmeddelande med krypterad TLS. Om den mottagande servern av någon anledning inte har stöd för STARTTLS skickas inte e-postmeddelandet alls. Detta gör det omöjligt att starta en TLS-nedgraderingsattack.

På senare tid har majoriteten av e-posttjänstleverantörer antagit MTA-STS och därigenom gjort anslutningar mellan servrar säkrare och krypterade via TLS-protokollet i en uppdaterad version, vilket framgångsrikt mildrar TLS-nedgraderingsattacker och upphäver kryphålen i serverkommunikationen.

PowerDMARC ger dig snabba och enkla MTA-STS-tjänster som gör ditt liv mycket enklare eftersom vi tar hand om alla specifikationer som krävs av MTA-STS under och efter implementeringen, till exempel en HTTPS-aktiverad webbserver med ett giltigt certifikat, DNS-poster och konstant underhåll. PowerDMARC hanterar allt detta helt i bakgrunden så att när vi hjälper dig att ställa in det behöver du aldrig ens tänka på det igen!

Med hjälp av PowerDMARC kan du distribuera Värdbaserad MTA-STS i din organisation utan krångel och i mycket snabb takt, med hjälp av vilken du kan genomdriva e-postmeddelanden som ska skickas till din domän via en TLS-krypterad anslutning, vilket gör din anslutning säker och håller TLS-nedgraderingsattacker i schack.

 

En allmänt känd internetstandard som underlättar genom att förbättra säkerheten för anslutningar mellan SMTP-servrar (Simple Mail Transfer Protocol) är SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS).

År 1982 specificerades FÖRST SMTP och innehöll ingen mekanism för att tillhandahålla säkerhet på transportnivå för att säkra kommunikationen mellan postöverföringsombuden. Men 1999 lades STARTTLS-kommandot till SMTP som i sin tur stödde kryptering av e-postmeddelanden mellan servrarna, vilket ger möjlighet att konvertera en icke-säker anslutning till en säker som krypteras med TLS-protokoll.

I så fall måste du undra att om SMTP antog STARTTLS för att säkra anslutningar mellan servrar, varför krävdes övergången till MTA-STS? Låt oss hoppa in i det i följande avsnitt av den här bloggen!

Behovet av att byta till MTA-STS

STARTTLS var inte perfekt, och det misslyckades med att ta itu med två stora problem: det första är att det är en valfri åtgärd, därför misslyckas STARTTLS med att förhindra MITM-attacker (man-in-the-middle). Detta beror på att en MITM-angripare enkelt kan ändra en anslutning och förhindra att krypteringsuppdateringen sker. Det andra problemet med det är att även om STARTTLS implementeras finns det inget sätt att autentisera den sändande serverns identitet eftersom SMTP-e-postservrar inte validerar certifikat.

Medan de flesta utgående e-postmeddelanden idag är säkrade med TLS-kryptering (Transport Layer Security), en branschstandard som antagits även av konsumentmeddelande, kan angripare fortfarande blockera och manipulera din e-post redan innan den krypteras. Om du skickar e-post för att transportera dina e-postmeddelanden via en säker anslutning kan dina data äventyras eller till och med ändras och manipuleras av en cyberanfallare. Här kliver MTA-STS in och åtgärdar problemet, garanterar säker transitering för dina e-postmeddelanden samt framgångsrikt mildrar MITM-attacker. Dessutom lagrar MTA-STS-principfiler, vilket gör det svårare för angripare att starta en DNS-förfalskningsattack.

MTA-STS erbjuder skydd mot:

  • Nedgradera attacker
  • Man-in-the-Middle (MITM) attacker
  • Det löser flera SMTP-säkerhetsproblem, inklusive utgångna TLS-certifikat och brist på stöd för säkra protokoll.

Hur fungerar MTA-STS?

MTA-STS-protokollet distribueras genom att ha en DNS-post som anger att en e-postserver kan hämta en principfil från en viss underdomän. Den här principfilen hämtas via HTTPS och autentiseras med certifikat, tillsammans med listan med namn på mottagarnas e-postservrar. Implementering av MTA-STS är enklare från mottagarens sida jämfört med den sändande sidan eftersom det måste stödjas av e-postserverprogramvaran. Vissa e-postservrar stöder MTA-STS, till exempel PostFix.

var värd för MTA STS

Stora leverantörer av e-posttjänster som Microsoft, Oath och Google stöder MTA-STS. Googles Gmail har redan antagit MTA-STS-policyer på senare tid. MTA-STS har tagit bort nackdelarna med e-postanslutningssäkerhet genom att göra processen för att skydda anslutningar enkel och tillgänglig för e-postservrar som stöds.

Anslutningar från användare till e-postservrarna är vanligtvis skyddade och krypterade med TLS-protokollet, men trots att det fanns en befintlig brist på säkerhet i anslutningarna mellan e-postservrar före implementeringen av MTA-STS. Med en ökad medvetenhet om e-postsäkerhet på senare tid och stöd från stora e-postleverantörer över hela världen förväntas majoriteten av serveranslutningarna krypteras under den senaste framtiden. Dessutom säkerställer MTA-STS effektivt att cyberbrottslingar på nätverken inte kan läsa e-postinnehåll.

Enkel och snabb driftsättning av värdbaserade MTA-STS-tjänster från PowerDMARC

MTA-STS kräver en HTTPS-aktiverad webbserver med ett giltigt certifikat, DNS-poster och konstant underhåll. PowerDMARC gör ditt liv mycket enklare genom att hantera allt detta för dig, helt i bakgrunden. När vi hjälper dig att ställa in det, behöver du aldrig ens tänka på det igen.

Med hjälp av PowerDMARC kan du distribuera värdbaserade MTA-STS på din organisation utan krångel och i mycket snabb takt, med hjälp av vilken du kan genomdriva e-postmeddelanden som ska skickas till din domän via en TLS-krypterad anslutning, vilket gör din anslutning säker och håller MITM-attacker i schack.

 

 

Med den pågående ökningen av phishing-attacker, e-post- och domänförfalskningsattacker, BEC och andra bedrägliga aktiviteter av cyberbrottslingar är ett extra lager av säkerhet och e-postskydd alltid en bra idé! Mottagare av e-postmeddelanden blir allt mer misstänksamma mot meddelandena som landar i deras inkorgar på grund av ökningen av cyberattacker. Lösningen? En väl avrundad e-postsäkerhetssvit som innehåller BIMI-implementering.

En nyligen genomförd undersökning utförd av säkerhetspersonal i USA avslöjade att 60% av amerikanska medborgare hävdar att de har fallit offer för en cyberbluff eller känner till någon som har påverkats av samma, i sin nära cirkel, efter pandemin. För att ge sina e-postmeddelanden ytterligare ett skyddslager måste företag därför implementera en ny standard som brand indicators for message identification (BIMI), eftersom det lovar att ta konsumenternas förtroende till nästa nivå.

Vad är BIMI?

BIMI står för Brand Indicators for Message Identification, som är en nyformad standard för e-postautentisering som fäster ditt varumärkes logotyp på alla e-postmeddelanden som du har godkänt. Detta kan kännas som ett mycket litet steg, men visuell verifiering kan faktiskt öka ditt varumärkes trovärdighet genom att tillåta mottagare att känna igen och lita på de e-postmeddelanden du skickar ut från din företags e-postdomän.

Du kanske undrar, om du redan har DMARC implementerat i din organisation, som använder SPF- och DKIM-autentiseringsstandarder, behöver du ens BIMI? Låt oss diskutera i korthet hur var och en av dessa standarder fungerar för att autentisera inkommande e-postmeddelanden:

  • SPF autentiserar dina e-postmeddelanden för att identifiera de e-postservrar som får skicka e-post från din e-postdomän, som finns med i SPF-posten.
  • DKIM autentiserar e-postmeddelanden genom att lägga till en digital signatur till dem, så att mottagaren kan kontrollera om ett e-postmeddelande som påstår sig komma från en viss domän verkligen godkändes av ägaren till den domänen.
  • DMARC anger för inkorgsleverantörer hur man svarar på e-postmeddelanden som misslyckas med SPF- och DKIM-e-postautentisering.
  •  BIMI fäster ditt varumärkes logotyp på de e-postmeddelanden du skickar ut till dina anställda, partners och kunder så att de snabbt kan identifiera att det kommer från en auktoriserad källa.

Därför är det ganska uppenbart från diskussionen ovan att bland alla e-postautentiseringsprotokoll är BIMI den enda standarden som ger ett utrymme för visuell identifiering och erbjuder e-postmottagare en visuell ledtråd för att identifiera e-postkällan och känna igen dess äkthet.

PowerDMARC-logotyp mobil

BIMI-implementering - En kort guide

Även om BIMI är en framväxande och fortfarande utvecklande autentiseringsstandard är den fortfarande relativt ny. Hittills har bara Yahoo! Mail officiellt antagit tekniken. Av denna anledning garanterar BIMI inte visningen av din varumärkeslogotyp eftersom den fungerar med endast e-postklienter som stöds. Det finns några viktiga steg att följa, före BIMI-implementeringen, som är:

  • För att implementera BIMI i din organisation måste din domän vara DMARC- autentiserad på en principnivå för verkställighet, dvs. antingen avvisa eller karantän.
  • Du måste skapa och ladda upp en SVG-fil med ditt varumärkes logotyp enligt BIMI-kraven till en server så att den är tillgänglig var som helst.
  • Du måste skapa en BIMI-post, som i likhet med en DMARC-post i huvudsak är en sträng som består av flera taggar, åtskilda av semikolon.
  • Du måste ha tillgång till domänens DNS för att publicera den här nya BIMI-posten.
  • Det är en ganska användbar metod att kontrollera giltigheten för din BIMI-post efter att den har publicerats i din DNS.

Hur kan BIMI-implementering visa sig vara fördelaktigt för ditt företag?

BIMI är ett e-postautentiseringsprotokoll som utövar visuell identifiering för att hjälpa e-postmottagare att känna igen och lita på ditt varumärke i inkorgen. Detta förtroende hindrar kunder och partners från att avregistrera dina tjänster och håller spamklagomål i schack också, vilket senare kan leda till en ökning av e-postens leveransbarhet.

Utan BIMI visas en generisk platshållarlogotyp med varumärkes initialer av e-postklienter. Av denna anledning kan mottagaren ha svårt att känna igen ditt varumärke utan att tillgripa varumärket. Men med BIMI implementerad visas varumärkeslogotypen bredvid ditt e-postmeddelande, vilket ökar varumärkesmedvetenheten.

Utöver detta är det ett extra lager av e-postsäkerhet mot domänförfalskningsattacker, phishing-attacker och andra försök till imitation som mottagare skulle vara mer försiktiga med cyberbrottslingar som utger sig för att vara du.

Dessutom låter BIMI dig marknadsföra ditt varumärke. Ja, du hörde rätt! Ibland har mottagarna inte mycket tid i handen, och din ämnesrad kanske inte är tillräckligt övertygande för att klicka på för tillfället. Oavsett detta kommer dina mottagare att ansluta din avsändaradress, ämnesrad och preheader-text till din logotyp, vilket hjälper till att bygga ditt varumärke ytterligare.

Slutligen har BIMI-implementering också en mycket positiv inverkan på din e-post leveranshastighet! För postlådeleverantörer som stöder BIMI kommer det att lägga till ytterligare ett lager av e-postautentisering i dina meddelanden, vilket ökar chansen att de levererar din e-post snabbare. Utöver detta kan dina e-postmottagare visuellt identifiera och känna igen ditt varumärke, genom den visade logotypen, vilket minskar chansen att de markerar det som skräppost.

Underlätta din BIMI-implementeringsprocess med PowerBIMI

Med PowerBIMI gör vi BIMI-skivpublicering mycket snabb och enkel för dig! Allt du behöver göra är att helt enkelt ladda upp din SVG-bild, vi kommer att vara värd för den säkert och ge dig en DNS-post direkt, så att du kan publicera den i din DNS. Vi tar bort smärtan av att vara värd för bilden och säkra den från din axel.

Med PowerBIMI kan du när som helst uppdatera, ta bort eller göra ändringar i bilden utan att behöva uppdatera DNS-posterna igen. PowerBIMI ger dig en mycket snabb och enkel implementeringsprocedur med ett klick för att ladda upp din logotyp och övergå till BIMI-autentisering framgångsrikt, lägga till den som en del av din e-postsäkerhetssvit efter att ha registrerat dig för gratis BIMI-post.

Shoppare från hela världen väntar uppmärksamt på dagarna efter Thanksgiving, särskilt i USA, för att ta de bästa erbjudandena på Black Friday. Stora butiker och e-handelsplattformar från hela världen som handlar med ett brett utbud av produkter lanserar sin eftertraktade Black Friday-försäljning och delar ut produkter till slående rabatterade priser till deras skalbara kundbas.

Men även om det är en tid för dessa organisationer att tjäna mycket pengar, är det också en tid då cyberbrottslingar är de mest aktiva! Forskare från hela världen har dragit slutsatsen att det finns en brant ökning av antalet förfalsknings- och phishingattacker, som leder fram till Black Friday. För att skydda dina online-shoppare från att falla offer för dessa falska försök är det absolut nödvändigt att implementera DMARC som en integrerad del av din säkerhetspolicy på arbetsplatsen.

Förfalskningsattacker - Utforska hotlandskapet på Black Friday

Förfalskning är i huvudsak en personifieringsattack som är ett mer sofistikerat försök att blanda in ett känt varumärke eller organisation. Förfalskningsattacker kan startas genom att distribuera olika metoder. Cyberbrottslingarna kan rikta in sig på mer tekniska element i en organisations nätverk, till exempel en IP-adress, DNS-server (Domain Name System) eller ARP-tjänst (Address Resolution Protocol) som en del av en förfalskningsattack.

Forskning visar att det finns en brant ökning av imitations- och förfalskningsförsök under dagarna fram till Black Friday varje år, och ändå har 65% av de ledande onlinebutikerna och e-handelsplattformarna från och med 2020 inget publicerat DMARC-rekord alls!

Undrar du vad konsekvensen kan bli?

Huvudagendan för cyberbrottslingar medan du förfalskar ditt domännamn är att skicka ut bedrägliga e-postmeddelanden integrerade med phishing-länkar. Angriparen försöker locka in ditt varumärkes uppskattade kundbas med ihåliga löften om att ge otroliga erbjudanden och rabattkuponger på Black Friday medan han utger sig för att vara din kundsupport. Sårbara kunder som har handlat på din plattform i flera år och litar på ditt företag, skulle inte tänka två gånger innan de öppnar e-postmeddelandet och försöker utnyttja erbjudandena.

Med den här taktiken sprider angripare ransomware och skadlig programvara, initierar pengaöverföringar eller försöker stjäla konfidentiell information från konsumenter.

I slutändan kan ditt företag hamna inför rättsliga återverkningar , drabbas av ett slag mot sitt rykte och förlora sina kundersförtroende. Av dessa skäl är det klokt att lära sig om hur du kan skydda ditt varumärke från ökningen av falska attacker denna Black Friday.

Skydda ditt företag från förfalskningsattacker med DMARC

Det är onaturligt att förvänta sig att dina konsumenter ska vara medvetna om cyberbrottslingarnas förändrade trender och taktik, varför du bör vara proaktiv och vidta nödvändiga åtgärder för att förhindra att angripare använder ditt domännamn för att utföra skadliga aktiviteter denna Black Friday.

Det bästa och enklaste sättet att säkerställa det? Implementera ett ledande DMARC-baserat e-postautentiseringsverktyg i din organisation på en gång! Låt oss räkna ner fördelarna med det:

AI-driven e-postautentisering

Du kan hindra angripare från att förfalska din e-postrubrik och skicka ut phishing-e-postmeddelanden till dina kunder med DMARC-analysverktyget som använder SPF- och DKIM-e-postautentiseringsteknik för att blockera falska e-postmeddelanden innan de kan lyckas landa i mottagarens inkorg.

Genom att publicera en DMARC-post kan du ha total kontroll över dina e-postkanaler genom att verifiera varje sändande källa och njuta av friheten att optimera din DMARC-policy (ingen, karantän eller avslag) enligt dina krav.

DMARC-rapportering och övervakning

Ett DMARC-baserat autentiserings- och rapporteringsverktyg som PowerDMARC utökar de faciliteter som tillhandahålls av DMARC genom att inkludera bestämmelser för att rapportera och övervaka förfalsknings- och phishing-aktiviteter i realtid, utan att påverka din e-post leveranshastighet. Genom hotmappning kan du ta reda på geo-platserna för missbrukarna av din IP-adress inklusive rapporter om deras historia av domänmissbruk och svartlista dem med ett klick på en knapp!

Detta ger dig inte bara tillräcklig synlighet för ditt varumärkes e-postdomän utan ger dig också möjlighet att övervaka alla försök till imitation och hålla dig uppdaterad om cyberbrottslingars förändrade taktik. Genom att övervaka dina e-postrapporter kan du se vilka som har passerats, misslyckats eller inte anpassats till DMARC och i vilket skede du ska gå till roten till problemet så att du kan vidta åtgärder mot det. Omfattande och läsbara rapporter om samma tar dig igenom varje detalj, från SPF-verifiering till DKIM-poster, som markerar alla IPs som misslyckades DMARC-autentisering.

Hålla sig under DNS-uppk utkiksgränsen

Ditt företag kan ha olika tredjepartsleverantörer som gör det svårt för dig att hålla dig under 10 DNS-uppslagsgränsen som tillhandahålls av SPF. Om du överskrider gränsen kommer din SPF att misslyckas, vilket gör implementeringen värdelös. Om du uppgraderar till PowerSPF håller du dock uppslagsgränsen under kontroll genom att ge dig möjlighet att lägga till/ta bort avsändare från SPF-posten utan att någonsin överskrida gränsen för 10 DNS-sökningar.

Förbättra ditt varumärkesåterkallelse med BIMI

Om du vill ge din e-postdomän ett andra lager av autentisering och trovärdighet bör du anförtro dig till en värd BIMI-post. Varumärkesindikatorer för meddelandeidentifiering (BIMI) är exakt vad du behöver i tider som dessa, för att platta till ökningen av falska attacker före Black Friday. Denna standard fäster din exklusiva varumärkeslogotyp på varje e-postmeddelande du skickar ut till din kundbas, så att de vet att det är du och inte en personifierare.

  • BIMI förbättrar varumärkesåterkallelse och förstärker varumärkesbilden bland dina kunder, så att de visuellt kan bekräfta att e-postmeddelandet är äkta.
  • Det ökar varumärkets trovärdighet och tillförlitlighet
  • Det förbättrar e-postens leveransbarhet

Uppgradera organisationens säkerhetsdräkt och skydda ditt varumärke mot domänmissbruk denna Black Friday med PowerDMARC. Boka en demo eller registrera dig för en gratis DMARC-provperiod idag!

Okej, du har just gått igenom hela processen med att ställa in DMARC för din domän. Du publicerade dina SPF-, DKIM- och DMARC-poster, analyserade alla dina rapporter, åtgärdade leveransproblem, stötte upp din verkställighetsnivå från p = ingen till karantän och slutligen att avvisa. Du är officiellt 100% DMARC-verkställd. Grattis! Nu når bara dina e-postmeddelanden människors inkorgar. Ingen kommer att utge sig för att vara ditt varumärke om du kan hjälpa det.

Så det är allt, eller hur? Din domän är säkrad och vi kan alla gå hem glada, med vetskapen om att dina e-postmeddelanden kommer att vara säkra. Höger...?

Inte precis. DMARC är ungefär som motion och kost: du gör det ett tag och förlorar en massa vikt och får några sjuka magmuskler, och allt går bra. Men om du slutar, kommer alla dessa vinster du just gjorde långsamt att minska, och risken för förfalskning börjar smyga sig in igen. Men flippa inte ut! Precis som med kost och motion är det svårast att komma i form (dvs. komma till 100% verkställighet). När du har gjort det behöver du bara behålla det på samma nivå, vilket är mycket lättare.

Okej, nog med analogierna, låt oss komma igång. Om du just har implementerat och framtvingat DMARC på din domän, vad är nästa steg? Hur fortsätter du att hålla din domän och e-postkanaler säkra?

Vad du ska göra efter att ha uppnått DMARC-verkställighet

Anledningen #1 att e-postsäkerhet inte bara slutar efter att du har nått 100% verkställighet är att attackmönster, phishing-bedrägerier och skickande källor alltid förändras. En populär trend i e-postbedrägerier varar ofta inte ens längre än ett par månader. Tänk på WannaCry Ransomware-attackerna 2018, eller till och med något så nytt som WHO Coronavirus phishing-bedrägerier i början av 2020. Du ser inte mycket av dem i naturen just nu, eller hur?

Cyberbrottslingar ändrar ständigt sin taktik, och skadliga sändningskällor förändras och multipliceras alltid, och det finns inte mycket du kan göra åt det. Vad du kan göra är att förbereda ditt varumärke för alla möjliga cyberattacker som kan komma mot dig. Och sättet att göra det är genom DMARC-övervakning & synlighet .

Även efter att du har drivits måste du fortfarande ha total kontroll över dina e-postkanaler. Det betyder att du måste veta vilka IP-adresser som skickar e-post via din domän, där du har problem med e-postleverans eller autentisering, och identifiera och svara på eventuella förfalskningsförsök eller skadlig server som bär en phishing-kampanj för din räkning. Ju mer du övervakar din domän, desto bättre kommer du att förstå den. Och följaktligen, ju bättre du kommer att kunna säkra dina e-postmeddelanden, dina data och ditt varumärke.

Varför DMARC-övervakning är så viktigt

Identifiera nya e-postkällor
När du övervakar dina e-postkanaler kontrollerar du inte bara om allt går bra. Du kommer också att leta efter nya IPs som skickar e-postmeddelanden från din domän. Din organisation kan ändra sina partners eller tredjepartsleverantörer så ofta, vilket innebär att deras IPs kan bli behöriga att skicka e-postmeddelanden för din räkning. Är den nya sändande källan bara en av dina nya leverantörer, eller är det någon som försöker utge sig för att vara ditt varumärke? Om du analyserar dina rapporter regelbundet har du ett definitivt svar på det.

Med PowerDMARC kan du visa dina DMARC-rapporter enligt varje sändande källa för din domän.

Förstå nya trender för domänmissbruk
Som jag nämnde tidigare hittar angripare alltid nya sätt att utge sig för att vara varumärken och lura människor att ge dem data och pengar. Men om du bara tittar på dina DMARC-rapporter en gång varannan månad, kommer du inte att märka några telltale tecken på förfalskning. Om du inte regelbundet övervakar e-posttrafiken i din domän kommer du inte att märka trender eller mönster i misstänkt aktivitet, och när du drabbas av en falsk attack kommer du att vara lika aningslös som de personer som är riktade mot e-postmeddelandet. Och tro mig, det är aldrig en bra look för ditt varumärke.

Hitta och svartlista skadliga IPs
Det räcker inte bara att hitta vem som exakt försöker missbruka din domän, du måste stänga av dem så fort som möjligt. När du är medveten om dina sändande källor är det mycket lättare att hitta en kränkande IP, och när du har hittat den kan du rapportera den IP till deras webbhotell och få dem svartlistade. På så sätt eliminerar du permanent det specifika hotet och undviker en förfalskningsattack.

Med Power Take Down hittar du platsen för en skadlig IP, deras historia av missbruk och får dem nedtagna.

Kontroll över leveransbarhet
Även om du var noga med att ta upp DMARC till 100% verkställighet utan att påverka dina e-postleveranskostnader, är det viktigt att kontinuerligt säkerställa konsekvent hög leveransbarhet. När allt kommer kommer över, vad är användningen av all e-postsäkerhet om ingen av e-postmeddelandena tar sig till sin destination? Genom att övervaka dina e-postrapporter kan du se vilka som har passerats, misslyckats eller inte anpassats till DMARC och upptäcka källan till problemet. Utan övervakning skulle det vara omöjligt att veta om dina e-postmeddelanden levereras, än mindre lösa problemet.

PowerDMARC ger dig möjlighet att visa rapporter baserat på deras DMARC-status så att du direkt kan identifiera vilka som inte klarade sig igenom.

 

Vår banbrytande plattform erbjuder 24×7 domänövervakning och ger dig till och med ett dedikerat säkerhetsteam som kan hantera en säkerhetsöverträdelse för dig. Läs mer om utökat stöd för PowerDMARC.

Varför behöver jag DKIM? Räcker inte SPF?

Distansarbete har specifikt introducerat människor till ett ökat antal phishing och cyberattacker. För det mesta är den värsta mängden phishing-attacker de som man inte kan ignorera. Oavsett hur mycket jobbmejl som tas emot och skickas, och trots ökningen av chatt- och snabbmeddelandeappar på arbetsplatsen, för de flesta som arbetar på kontor, fortsätter e-post att dominera affärskommunikationen både internt och externt.

Det är dock inte en hemlighet att e-postmeddelanden vanligtvis är den vanligaste startpunkten för cyberattacker, vilket innebär att smyga skadlig programvara och utnyttja in i nätverket och referenser och avslöja känsliga data. Enligt data från SophosLabs i september 2020var cirka 97% av den skadliga skräpposten som fångades av spamfällorna phishing-e-postmeddelanden, jakt på referenser eller annan information.

Av detta bar de återstående 3% en blandad påse med meddelanden som hade burit länkar till skadliga webbplatser eller med de som var försåtminerade bilagor. Dessa hoppades mest på att installera bakdörrar, fjärråtkomst trojaner (RATs), informationstjuv, bedrifter eller kanske ladda ner andra skadliga filer. 

Oavsett källa förblir phishing en ganska skrämmande effektiv taktik för angriparna, oavsett deras slutliga mål kanske. Det finns några robusta åtgärder som alla organisationer kan använda för att verifiera om ett e-postmeddelande har kommit från den person och källa som det påstår sig ha kommit från.

Hur kommer DKIM till undsättning?

Det måste säkerställas att en organisations e-postsäkerhet ska kunna hålla koll på varje e-postmeddelande som är inkommande, vilket skulle vara emot de autentiseringsregler som ställs in av domänen som e-postmeddelandet verkar ha kommit från. DomainKeys Identified Mail (DKIM) är en som hjälper till att undersöka ett inkommande e-postmeddelande för att kontrollera om ingenting har ändrats. Vid de e-postmeddelanden som är legitima skulle DKIM definitivt hitta en digital signatur som skulle vara kopplad till ett specifikt domännamn.

Det här domännamnet skulle kopplas till e-postmeddelandets huvud och det skulle finnas en motsvarande krypteringsnyckel tillbaka på källdomänen. Den största fördelen med DKIM är att den ger en digital signatur i dina e-posthuvuden så att servrarna som tar emot den kan kryptografiskt autentisera dessa rubriker och anser att den är giltig och original.

Dessa rubriker signeras vanligtvis som "Från", "Till", "Ämne" och "Datum".

Varför behöver du DKIM?

Experter inom cybersäkerhet säger att DKIM är ganska välbehövligt i det dagliga scenariot för att säkra officiella e-postmeddelanden. I DKIM genereras signaturen av MTA (Mail Transfer Agent), som skapar en unik teckensträng som kallas hash-värdet.

Dessutom lagras hash-värdet i den listade domänen, som mottagaren efter att ha tagit emot e-postmeddelandet kan verifiera DKIM-signaturen med hjälp av den offentliga nyckeln som registreras i DNS (Domain Name System). Därefter används den här nyckeln för att dekryptera hash-värdet i huvudet och även beräkna om hash-värdet från e-postmeddelandet som den tog emot.

Efter detta skulle experterna ta reda på att om dessa två DKIM-signaturer är en matchning, skulle MTA veta att e-postmeddelandet inte har ändrats. Dessutom får användaren ytterligare bekräftelse på att e-postmeddelandet faktiskt skickades från den listade domänen.

DKIM, som ursprungligen bildades genom sammanslagning av två stationsnycklar, domännycklar (den som skapats av Yahoo) och Identifierad Internet Mail (av Cisco) 2004, och har utvecklats till en ny allmänt antagen autentiseringsteknik som gör en organisations e-postprocedur ganska pålitlig, och det är specifikt därför ledande teknikföretag som Google, Microsoft och Yahoo alltid kontrollerar inkommande e-post för DKIM-signaturer.

DKIM jämfört med SPF

Sender Policy Framework (SPF) är en form av e-postautentisering som definierar en process för att validera ett e-postmeddelande, ett som har skickats från en auktoriserad e-postserver för att upptäcka förfalskning och förhindra bedrägeri.

Medan de flesta anser att både SPF och DKIM måste användas i organisationer, men DKIM har verkligen en extra fördel jämfört med de andra. Skälen är följande:

  • I DKIM publicerar domänägaren en kryptografisk nyckel, som specifikt formateras som en TXT-post i den övergripande DNS-posten
  • Den unika DKIM-signaturen som bifogas meddelandets huvud gör den mer autentisk
  • Att använda DKIM visar sig vara mer givande eftersom DKIM-nyckeln som används av inkommande e-postservrar för att upptäcka och dekryptera meddelandets signatur bevisar att meddelandet är mer autentiskt och oförändrad.

Sammanfattningsvis

För de flesta affärsorganisationer skulle DKIM inte bara skydda sina företag från phishing och förfalska attacker, utan DKIM skulle också hjälpa till att skydda kundrelationer och varumärkesrykte.

Detta är särskilt viktigt eftersom DKIM tillhandahåller en krypteringsnyckel och en digital signatur som dubbelt bevisar att ett e-postmeddelande inte förfalskades eller ändrades. Dessa metoder skulle hjälpa organisationer och företag att gå ett steg närmare att förbättra sin e-posthantering och skicka ett säkert e-postmeddelande, vilket skulle hjälpa till att generera intäkter. För det mesta beror det på organisationer om hur de skulle använda det och implementera samma. Detta är viktigast och relatabelt eftersom de flesta organisationer skulle vilja frigöra sig från cyberattacker och hot.