加密在SMTP中是可选的,这意味着电子邮件可以以明文形式发送。邮件传输代理-严格传输安全(MTA-STS)是一个相对较新的标准,它使邮件服务提供商能够强制执行传输层安全(TLS)以保证SMTP连接的安全,并指定发送SMTP服务器是否应拒绝向不支持TLS的MX主机发送邮件。它已被证明能够成功地缓解TLS降级攻击和中间人(MITM)攻击。

启用MTA-STS是根本不够的,因为你需要一个有效的报告机制来检测建立加密通道的失败。SMTP TLS报告(TLS-RPT)是一个标准,能够报告发送电子邮件的应用程序所遇到的TLS连接问题,并检测错误的配置。它能够报告当电子邮件没有用TLS加密时发生的电子邮件交付问题。

用PowerMTA-STS轻松实现MTA-STS

实施MTA-STS是一项艰巨的任务,在采用过程中涉及很多复杂的问题。从生成策略文件和记录到维护网络服务器和托管证书,这是一个漫长的过程。PowerDMARC已经为您提供了保障!我们的托管MTA-STS服务提供了以下好处。

  • 只需点击几下就能发布你的DNS CNAME记录
  • 我们负责维护政策网络服务器和托管证书。
  • 你可以通过PowerDMARC仪表板即时、轻松地进行MTA-STS策略更改,而无需手动对DNS进行更改。
  • PowerDMARC的托管MTA-STS服务符合RFC标准并支持最新的TLS标准。
  • 从生成证书和MTA-STS策略文件到策略执行,我们帮助您规避采用该协议所涉及的巨大的复杂性。

为什么电子邮件在传输过程中需要加密?

由于安全问题不得不在SMTP中进行改造,以确保其向后兼容,增加了STARTTLS命令来启动TLS加密,如果客户端不支持TLS,通信就会退回到明文。这样一来,传输中的电子邮件就会成为MITM等普遍监控攻击的牺牲品,网络犯罪分子可以窃听你的信息,并通过替换或删除加密命令(STARTTLS)来改变和篡改信息,使通信回滚为明文。

这就是MTA-STS的用武之地,它使TLS加密成为SMTP的必经之路。这有助于减少MITM、DNS欺骗和降级攻击的威胁。

在为你的域名成功配置MTA-STS后,你需要的是一个有效的报告机制,帮助你以更快的速度检测和应对由于TLS加密问题而导致的电子邮件交付问题。PowerTLS-RPT正是为你做到了这一点!

使用PowerTLS-RPT接收邮件发送问题报告

TLS-RPT完全集成到PowerDMARC安全套件中,因此,只要你注册了PowerDMARC并为你的域名启用SMTP TLS报告,我们就会把包含你的电子邮件交付问题报告的复杂的JSON文件转换为简单、可读的文件,使你可以轻松地浏览和理解!

在PowerDMARC平台上,TLS-RPT汇总报告以两种格式生成,以方便使用,提高洞察力,并增强用户体验。
  • 每个结果的汇总报告
  • 每个发送源的汇总报告

此外,PowerDMARC的平台会自动检测并随后传达你所面临的问题,以便你能及时处理和解决这些问题。

为什么你需要SMTP TLS报告?

如果由于TLS加密的问题而导致电子邮件交付失败,通过TLS-RPT,你将得到通知。TLS-RPT为你的所有电子邮件渠道提供了更强的可见性,使你能更好地了解你的域名中的所有情况,包括未能交付的邮件。此外,它还提供深入的诊断报告,使你能够识别并找到电子邮件交付问题的根源,并毫不拖延地加以解决。

要获得关于MTA-STS和TLS-RPT实施和采用的实践知识,请立即查看我们的详细指南!

使用PowerDMARC为你的域名配置DMARC,并部署电子邮件验证的最佳做法,如SPF、DKIM、BIMI、MTA-STS和TLS-RPT,所有这些都在一个屋檐下。今天就注册一个免费的DMARC试验

最近的行业趋势表明,MSSP需要提供DMARC监测服务以提高品牌价值。安全管理服务提供商(MSSPs)和管理服务提供商(MSPs)为那些自己不经营的组织和企业提供安全服务和技术解决方案。MSS或管理安全服务是确保外包给服务提供商的信息/网络安全的服务。无论你是中小企业还是跨国公司,求助于安全管理服务可以减轻你每天因信息安全而面临的压力,如网络钓鱼攻击、客户数据盗窃,并减少对资源的限制。 

PowerDMARC的使命是通过我们的DMARC MSSP项目在全球企业中部署DMARC认证服务,使数据和信息传输安全,并维护品牌声誉和信誉。

为什么MSSP需要提供DMARC?

成为DMARC服务提供商不仅仅是扩展对电子邮件认证协议的支持,它是对你的品牌的重要增值,也是你的营销效果的基础。作为电子邮件认证的行业标准,DMARC不仅能保护你的域名不被冒充和欺骗,还能提高电子邮件的可送达性,同时也能加强客户对你品牌的信任。通过成为MSSP合作伙伴,你有权将你的客户域名添加到你的MSSP仪表板上,监测认证结果,并保护他们不成为电子邮件欺诈的牺牲品。

PowerDMARC的MSSP项目有何不同?

访问独家的多用户控制面板

通过签署我们的MSSP计划并成为合作伙伴,你将拥有一个功能齐全、多用户、合作伙伴专属的控制面板,供你使用,以监测用户和客户的活动和认证结果。将您的客户和员工加入,并对他们进行管理和支持,行使完全的权力和控制。

自动和简易的入职培训

从客户入职到计费和处理,整个过程都是为你自动进行的,这样你就不必经历人工入职的复杂过程和努力。

培训以确保服务的明确性

当您与PowerDMARC合作时,我们将为您提供深入的培训和知识处置课程,使您熟悉我们提供的安全服务和解决方案。此外,在整个合作关系的延续过程中,我们还提供积极主动和全天候的技术支持。

15天免费试用

如果你的客户不确定在入职后立即转向付费计划,你可以通过向他们提供我们的PowerDMARC平台的15天免费试用来永久消除他们的疑虑。

在客户中传播意识

除了增加品牌价值,你作为MSSP合作伙伴的角色是多层次的,因为你在向你的客户群传播有关信息安全和冒充攻击的意识方面发挥了关键作用,这不仅阻碍了你的品牌声誉,而且还损害了你的客户的机密数据和证书。你可以积极协助你的客户在采用DMARC的过程中,从监控(p=无)转向执行(p=拒绝),从而提高客户的声誉和促进电子邮件的交付。

PowerDMARC的MSSP项目的好处

  • 自动化的入职流程
  • 15天免费试用
  • 由PowerDMARC团队中的认证专家提供培训课程和技术支持
  • 合作伙伴专属的多租户控制面板
  • 完全控制添加、管理和操作客户
  • 具有丰富的平台,支持DMARC、DKIM、SPF、BIMI、MTA-STS和TLS-RPT。

在PowerDMARC,我们期待着让您每天都有更好的合作体验,并旨在与那些像我们一样希望努力实现电子邮件安全和信息保护的企业建立联系,以防止数字时代的邪恶。今天就注册MSSP DMARC项目,让我们朝着为每个人提高信息和电子邮件安全的方向迈进一步吧

在这篇文章中,我们将探讨如何为你的域名轻松优化SPF记录。对于拥有电子邮件域名的企业和小型企业来说,他们在客户、合作伙伴和雇员之间发送和接收信息,很可能默认存在一条 SPF 记录,这是由你的收件箱服务提供商设置的。不管你是有一个预先存在的SPF记录,还是需要创建一个新的记录,你都需要为你的域名正确地优化你的SPF记录,以确保它不会造成电子邮件的交付问题。

一些电子邮件收件人严格要求SPF,这表明如果你的域名没有发布SPF记录,你的电子邮件可能会在收件人的收件箱中被标记为垃圾邮件。此外,SPF有助于检测未经授权的来源以你的域名名义发送电子邮件。

让我们首先了解什么是SPF,为什么需要它?

发件人政策框架(SPF

SPF本质上是一个标准的电子邮件认证协议,它规定了被授权从你的域名发送电子邮件的IP地址。它的运作方式是将发件人地址与特定域名的授权发送主机和IP地址列表进行比较,该列表公布在该域名的DNS中。

SPF与DMARC(基于域的信息验证、报告和一致性)一起,旨在检测电子邮件发送过程中伪造的发件人地址,并防止欺骗性攻击、网络钓鱼和电子邮件诈骗。

需要知道的是,尽管你的主机提供商将默认的 SPF 集成到你的域名中,确保从你的域名中发送的邮件能够通过 SPF 认证,如果你有多个第三方供应商从你的域名中发送邮件,那么这个预先存在的 SPF 记录需要被定制和修改,以适应你的要求。你怎样才能做到这一点呢?让我们来探讨两种最常见的方法。

  • 创建一个全新的SPF记录
  • 优化现有的SPF记录

关于如何优化SPF记录的说明

创建一个全新的SPF记录

创建 SPF 记录,只是在你的域名的 DNS 中发布一条 TXT 记录,为你的域名配置 SPF。这是一个强制性的步骤,在你开始了解如何优化SPF记录之前。如果你刚开始接触认证,对语法没有把握,你可以使用我们免费的在线SPF 记录生成器,为你的域名创建 SPF 记录。

一个具有正确语法的SPF记录条目将看起来像这样。

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1指定正在使用的SPF的版本
ip4/ip6这一机制指定了被授权从你的域名发送电子邮件的有效IP地址。
包括这个机制告诉接收服务器包括指定域的 SPF 记录的值。
全部这个机制规定,不符合 SPF 标准的邮件将被拒绝。这是你在发布 SPF 记录时可以使用的推荐标签。不过,你可以用 ~ 代替 SPF Soft Fail (不符合规定的邮件将被标记为软失败,但仍会被接受),也可以用 + 代替,这说明任何和每一个服务器都可以代表你的域名发送邮件,但这是非常不可取的。

如果你已经为你的域名配置了SPF,你也可以使用我们免费的SPF记录检查器来查询和验证你的SPF记录并检测问题。

配置SPF时的常见挑战和错误

1) 10个DNS查询限制 

域名所有者在为他们的域名配置和采用 SPF 认证协议时,面临的最常见的挑战是 SPF 对 DNS 查询的次数有限制,不能超过 10 次。对于依赖多个第三方供应商的域名来说,10个DNS查询的限制很容易超过,这反过来又会破坏SPF,并返回一个SPF PermError。在这种情况下,接收服务器会自动使你的 SPF 记录无效,并将其屏蔽。

启动DNS查询的机制。MX, A, INCLUDE, REDIRECT修改器

2) SPF无效查询 

无效查询是指返回 NOERROR 响应或 NXDOMAIN 响应(无效回答)的 DNS 查询。在实施 SPF 的过程中,我们建议首先确保 DNS 查询不会返回无效答案。

3) SPF 递归循环

这个错误表明,你指定的域的 SPF 记录包含一个或多个 INCLUDE 机制的递归问题。这发生在INCLUDE标签中指定的一个域中,该域的SPF记录包含原域的INCLUDE标签。这导致了一个永无止境的循环,使电子邮件服务器不断地对SPF记录进行DNS查询。这最终会导致超过10次的DNS查询限制,从而导致电子邮件无法通过SPF。

4) 语法错误 

一个 SPF 记录可能存在于你的域名的 DNS 中,但是如果它包含语法错误,那就没有用了。如果你的 SPF TXT 记录在输入域名或机制名称时包含了不必要的空白,那么在执行查询时,接收服务器会完全忽略多余的空格前的字符串,从而使 SPF 记录无效。

5) 同一域名的多个SPF记录

一个域名在 DNS 中只能有一条 SPF TXT 记录。如果你的域名包含一个以上的SPF记录,接收服务器会使所有的记录失效,从而导致邮件无法通过SPF。

6) SPF记录的长度 

一个 SPF 记录在 DNS 中的最大长度被限制为 255 个字符。然而,这个限制可以被超越,SPF的TXT记录可以包含多个字符串串联在一起,但不能超过512个字符的限制,以适应DNS的查询响应(根据RFC 4408)。尽管后来对此进行了修订,但依赖旧的DNS版本的收件人将无法验证从含有冗长的SPF记录的域名中发送的电子邮件。

优化你的SPF记录

为了及时修改你的SPF记录,你可以使用以下SPF最佳实践。

  • 试着在你的SPF记录中按重要性从左到右依次打下你的电子邮件来源
  • 从你的DNS中删除过时的电子邮件来源
  • 使用IP4/IP6机制而不是A和MX
  • 尽可能减少INCLUDE机制的数量,并避免嵌套式包含。
  • 不要在你的DNS中为同一个域名发布一个以上的SPF记录。
  • 确保你的SPF记录不包含任何多余的空白或语法错误。

注意:SPF扁平化不被推荐,因为它不是一次性的。如果你的电子邮件服务提供商改变了他们的基础设施,你将不得不相应地改变你的SPF记录,每次都是如此。

用PowerSPF轻松优化你的SPF记录

你可以继续尝试实施上述所有的修改来手动优化你的 SPF 记录,或者你可以忘记这些麻烦,依靠我们的动态 PowerSPF 来自动完成这一切PowerSPF可以帮助你一键优化你的 SPF 记录,在这里你可以。

  • 轻松地添加或删除发送源
  • 轻松地更新记录,而不必手动修改你的DNS
  • 只需点击一个按钮,就能获得一个优化的自动SPF记录
  • 始终保持在10个DNS查询限制之下
  • 成功地缓解了PermError
  • 忘记SPF记录的语法错误和配置问题
  • 我们代表你解决SPF限制的问题,减轻你的负担

今天就注册 PowerDMARC,永远告别SPF值的限制!  

电子邮件到达收件人收件箱的速度被称为电子邮件可送达率。当邮件最终进入垃圾邮件文件夹或被接收服务器屏蔽时,这一比率可能会减慢或延迟,甚至导致发送失败。它本质上是一个重要的参数,用来衡量你的邮件是否成功到达你想要的收件人的收件箱而不被标记为垃圾邮件。 电子邮件认证绝对是认证新手可以采用的选项之一,随着时间的推移,电子邮件送达率会有很大的改善。

在这篇博客中,我们将和你谈谈如何轻松地提高你的电子邮件送达率,同时讨论最佳的行业实践,以确保信息在你所有的电子邮件渠道中顺利流动

什么是电子邮件认证?

电子邮件认证是用来验证你的电子邮件的真实性的技术,与所有允许从你的域名发送电子邮件的授权来源进行比较。它还有助于验证参与传输或修改电子邮件的任何邮件传输代理(MTA)的域名所有权。

为什么你需要电子邮件认证?

简单邮件传输协议(SMTP)是电子邮件传输的互联网标准,它不包含验证入站和出站电子邮件的功能,使网络犯罪分子可以利用SMTP缺乏安全协议的特点。这可以被威胁者用来实施电子邮件钓鱼诈骗、BEC和域名欺骗攻击,他们可以冒充你的品牌并损害其声誉和公信力。电子邮件认证增强了你的域名的安全性,以防止假冒和欺诈,向接收服务器表明你的电子邮件符合DMARC标准,并来自有效和真实的来源。它也是一个检查点,以防止未经授权和恶意的IP地址从你的域名发送电子邮件。

为了保护你的品牌形象,最大限度地减少网络威胁,BEC和确保提高送达率,电子邮件认证是必须的!

电子邮件认证的最佳实践

发件人政策框架(SPF

SPF以TXT记录的形式出现在你的DNS中,显示所有被授权从你的域名发送邮件的有效来源。每一封离开你的域名的电子邮件都有一个IP地址,用来识别你的服务器和你的域名所使用的电子邮件服务提供商,该地址在你的DNS中被列为SPF记录。接收者的邮件服务器根据你的SPF记录来验证邮件,并相应地将该邮件标记为SPF通过或失败。

请注意,SPF 有一个 10 次的 DNS 查询限制,超过这个限制会返回一个 PermError 结果,导致 SPF 失败。这可以通过使用PowerSPF来缓解,使其始终保持在查询限制之下。

域名密钥识别邮件(DKIM

DKIM是一个标准的电子邮件认证协议,它分配了一个加密签名,使用私钥创建,以验证接收服务器中的电子邮件,其中接收方可以从发件人的DNS中检索公钥来验证邮件。与SPF很相似,DKIM的公钥也作为TXT记录存在于域名所有者的DNS中。

基于域的消息认证、报告和一致性(DMARC

仅仅实施SPF和DKIM是不够的,因为域名所有者没有办法控制接收服务器如何回应未能通过认证检查的电子邮件。

DMARC是目前使用最广泛的电子邮件认证标准,其目的是让域名所有者有能力向接收服务器指定他们应该如何处理那些不能通过SPF或DKIM或两者的邮件。这反过来有助于保护他们的域名免受未经授权的访问和电子邮件欺骗攻击。

DMARC如何提高电子邮件的送达率?

  • 当在你的域名的DNS中发布DMARC记录时,域名所有者要求支持DMARC的接收服务器对他们收到的该域名的电子邮件进行反馈,自动向接收服务器表明你的域名对电子邮件的安全协议和认证标准的支持,如DMARC、SPF和DKIM。
  • DMARC汇总报告帮助你获得对你的电子邮件生态系统的更多可见性,使你能够查看你的电子邮件认证结果,检测认证失败和缓解交付问题。
  • 通过执行你的DMARC政策,你可以阻止冒充你的品牌的恶意邮件进入你的接收者的邮箱。

关于提高电子邮件送达率的其他提示。

  • BIMI在收件人的收件箱中实现对你的品牌的视觉识别
  • 确保用MTA-STS 对传输中的邮件进行TLS加密
  • 通过TLS-RPT实现广泛的报告机制,检测和应对电子邮件交付问题

PowerDMARC是一个单一的电子邮件认证SaaS平台,它结合了所有的电子邮件认证最佳实践,如DMARC、SPF、DKIM、BIMI、MTA-STS和TLS-RPT,在同一个屋檐下。今天就注册使用PowerDMARC,并见证我们增强的电子邮件安全和认证套件在电子邮件交付能力方面的显著改善。

商业电子邮件入侵或BEC是一种电子邮件安全漏洞或冒充攻击的形式,影响商业、政府、非营利组织、小型企业和初创企业以及跨国公司和企业,以提取机密数据,对品牌或组织产生负面影响。鱼叉式网络钓鱼攻击、发票诈骗和欺骗性攻击都是BEC的例子。

网络犯罪分子是专业的阴谋家,他们故意针对一个组织内的特定人员,特别是那些像首席执行官或类似的人这样的专制职位,甚至是一个值得信赖的客户。由于BEC造成的全球金融影响是巨大的,特别是在美国,它已成为主要的中心。阅读更多关于全球BEC诈骗量的信息。解决办法是什么?切换到DMARC!

什么是DMARC?

基于域的消息认证、报告和一致性(DMARC)是电子邮件认证的行业标准。这种认证机制向接收服务器规定了如何应对未能通过SPF和DKIM认证检查的电子邮件。DMARC可以将你的品牌遭受BEC攻击的几率降到最低,并帮助保护你的品牌声誉、机密信息和金融资产。

请注意,在发布DMARC记录之前,你需要为你的域名实施SPF和DKIM,因为DMARC认证利用了这两个标准认证协议来验证代表你的域名发送的信息。

你可以使用我们免费的SPF记录生成器DKIM记录生成器来生成记录,公布在你的域名的DNS中。

如何优化你的DMARC记录以防止BEC?

为了保护您的域名免受商业电子邮件的破坏,以及启用一个广泛的报告机制来监测认证结果,并获得您的电子邮件生态系统的完整可视性,我们建议您在您的域名的DNS中发布以下DMARC记录语法。

v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;

了解生成DMARC记录时使用的标签。

v(强制)这个机制指定了协议的版本。
p(强制)这个机制指定了正在使用的DMARC策略。你可以将你的DMARC策略设置为

p=none (DMARC仅在监控时,未通过认证检查的邮件仍会进入收件人的收件箱)。 p=quarantine (DMARC在执行时,未通过认证检查的邮件会被隔离或放入垃圾邮件文件夹)。

p=拒绝(DMARC的最大执行力,在这种情况下,未能通过认证检查的邮件将被丢弃或根本不交付)。

对于认证新手来说,建议一开始只用监控政策(p=none),然后慢慢转向强制执行。然而,就本博客而言,如果你想保护你的域名不受BEC影响,p=reject是推荐给你的政策,以确保最大程度的保护。

sp (可选)这个标签指定子域策略,可以设置为sp=none/quarantine/reject,要求对所有子域的邮件进行DMARC认证失败的策略。

这个标签只有在你希望为你的主域和子域设置不同的策略时才有用。如果不指定,默认情况下,你的所有子域都会被征收相同的政策。

adkim (可选)这个机制指定了DKIM标识符对齐模式,可以设置为s(严格)或r(放松)。

严格对齐规定,电子邮件头的DKIM签名中的d=字段必须与来自头中的域名完全对齐和匹配。

然而,对于宽松的对齐,两个域必须只共享同一个组织域。

aspf (可选) 这个机制指定了 SPF 标识符的对齐模式,可以设置为 s (严格) 或 r (放松)。

严格对齐规定,"Return-path "头中的域必须与from头中的域完全对齐和匹配。

然而,对于宽松的对齐,两个域必须只共享同一个组织域。

rua(可选,但建议)。此标签指定了发送到mailto:字段后指定的地址的DMARC汇总报告,提供关于通过和未通过DMARC的电子邮件的洞察力。
ruf(可选,但建议)。此标签指定了要发送到mailto:字段后指定的地址的DMARC鉴证报告。鉴证报告是消息级别的报告,提供关于认证失败的更多详细信息。由于这些报告可能包含电子邮件内容,加密它们是最佳做法。
pct(可选)此标签指定了DMARC策略适用的电子邮件的百分比。默认值被设置为100。
箔(可选,但建议)。你的DMARC记录的取证选项可以被设置为。

->DKIM和SPF不通过或不一致(0)。

->DKIM或SPF不合格或不一致(1)。

->DKIM不通过或对齐(d)。

->SPF不通过或对齐(S)。

推荐的模式是fo=1,指定每当电子邮件未能通过DKIM或SPF认证检查时,就会生成取证报告并发送至你的域名。

你可以使用PowerDMARC的免费DMARC记录生成器来生成你的DMARC记录,在这里你可以根据你所希望的执行级别来选择字段。

请注意,只有拒绝的执行政策才能最大限度地减少BEC,并保护你的域名免受欺骗和网络攻击。

虽然DMARC可以成为保护你的企业免受BEC影响的有效标准,但正确实施DMARC需要努力和资源。无论你是认证新手还是认证爱好者,作为电子邮件认证的先驱,PowerDMARC是一个单一的电子邮件认证SaaS平台,它将所有的电子邮件认证最佳实践,如DMARC、SPF、DKIM、BIMI、MTA-STS和TLS-RPT,为你在同一屋檐下。我们帮助您。

  • 迅速从监控转向执法,让BEC无处遁形
  • 我们的汇总报告是以简化的图表和表格形式生成的,以帮助你轻松理解,而不必阅读复杂的XML文件。
  • 我们对您的法医报告进行加密,以保障您的信息隐私。
  • 在我们用户友好的仪表板上以7种不同的格式(每个结果、每个发送源、每个组织、每个主机、详细统计、地理位置报告、每个国家)查看你的认证结果,以获得最佳用户体验
  • 通过调整你的电子邮件与SPF和DKIM的关系,获得100%的DMARC合规性,这样,未能通过任何一个认证检查点的电子邮件就不会进入你的收件箱中。

DMARC是如何保护BEC的?

只要你把你的DMARC政策设置为最大的执行力(p=拒绝),DMARC就会通过减少冒名攻击和域名滥用的机会来保护你的品牌免受电子邮件欺诈。所有的入站信息都会根据SPF和DKIM电子邮件认证检查进行验证,以确保它们来自有效的来源。

SPF以TXT记录的形式出现在你的DNS中,显示所有被授权从你的域名发送邮件的有效来源。接收者的邮件服务器根据你的SPF记录来验证邮件,以证明其真实性。DKIM分配了一个加密签名,使用私钥创建,在接收服务器中验证电子邮件,其中接收方可以从发件人的DNS中检索公钥来验证邮件。

有了你的拒绝政策,当认证检查失败时,电子邮件根本不会被传递到你的收件人邮箱,表明你的品牌被冒充了。这最终使像欺骗和网络钓鱼攻击这样的BEC受到遏制。

PowerDMARC的小型企业基本计划

我们的基本计划每月只需8美元起,因此试图采用DMARC等安全协议的小型企业和初创企业可以轻松利用它。使用该计划,你将拥有以下优势。

  • 在您的年度计划中节省20%的费用
  • 多达2,000,000封符合DMARC的电子邮件
  • 最多5个域名
  • 1年的数据历史
  • 2个平台用户
  • 托管的BIMI
  • 托管的MTA-STS
  • TLS-RPT

今天就注册PowerDMARC,通过最大限度地减少商业电子邮件破坏和电子邮件欺诈的机会来保护您的品牌域名

1982年,当SMTP首次被指定时,它不包含任何在传输层面提供安全的机制,以保证邮件传输代理之间的通信安全。然而,在1999年,STARTTLS命令被添加到SMTP中,反过来支持服务器之间的电子邮件加密,提供了将非安全连接转换成使用TLS协议加密的安全连接的能力。

然而,在SMTP中,加密是可选的,这意味着即使是明文的电子邮件也可以被发送。 邮件传输代理-严格的传输安全(MTA-STSTLS是一个相对较新的标准,它使邮件服务提供商能够执行传输层安全(TLS),以确保SMTP连接的安全,并指定发送SMTP服务器是否应拒绝向不提供TLS与可靠服务器证书的MX主机发送电子邮件。它已被证明可以成功地缓解TLS降级攻击和中间人(MITM)攻击。 SMTP TLS报告(TLS-RPT)是一个标准,能够报告发送电子邮件的应用程序所遇到的TLS连接问题,并检测错误配置。它能够报告当电子邮件没有用TLS加密时发生的电子邮件交付问题。2018年9月,该标准首次被记录在RFC 8460中。

为什么你的电子邮件需要在传输中加密?

主要目标是提高SMTP通信过程中的传输级安全,确保电子邮件流量的隐私。此外,入站和出站信息的加密增强了信息安全,使用密码学来保护电子信息。 此外,中间人(MITM)和TLS降级等加密攻击在近来越来越流行,并成为网络犯罪分子的常见做法,通过执行TLS加密和扩展对安全协议的支持,可以规避这些攻击。

MITM攻击是如何发起的?

由于加密必须加装到SMTP协议中,所以加密传输的升级必须依靠以明文发送的STARTTLS命令。一个MITM攻击者可以很容易地利用这一特点,通过篡改升级命令对SMTP连接进行降级攻击,迫使客户端退回到以明文发送邮件。

在截获通信后,MITM攻击者可以很容易地窃取解密的信息并访问电子邮件的内容。这是因为SMTP作为邮件传输的行业标准,采用了机会主义的加密方式,这意味着加密是可选的,邮件仍然可以以明文形式传递。

TLS降级攻击是如何发起的?

由于加密必须加装到SMTP协议中,所以加密传输的升级必须依靠以明文发送的STARTTLS命令。一个MITM攻击者可以通过篡改升级命令对SMTP连接进行降级攻击来利用这一特性。攻击者可以简单地将STARTTLS替换成一个客户无法识别的字符串。因此,客户端很容易退回到以明文发送电子邮件。

简而言之,降级攻击通常是作为MITM攻击的一部分而发起的,目的是通过替换或删除STARTTLS命令,将通信回滚为明文,从而创造出一种在通过最新版本的TLS协议加密的连接情况下无法实现的攻击途径。

除了加强信息安全和减轻无孔不入的监控攻击外,在传输过程中对信息进行加密还可以解决多种SMTP安全问题。

用MTA-STS实现对邮件的强制TLS加密

如果你没有通过安全连接来传输你的电子邮件,你的数据可能会受到影响,甚至被网络攻击者修改和篡改。这里就是MTA-STS介入并解决这个问题的地方,通过强制执行TLS加密,使您的电子邮件能够安全传输,并成功地减轻加密攻击,增强信息安全。简单地说,MTA-STS强制要求电子邮件通过TLS加密途径传输,如果不能建立加密连接,电子邮件根本不会被传递,而会以明文方式传递。此外,MTA存储MTA-STS策略文件,使攻击者更难发起DNS欺骗攻击。

 

MTA-STS提供了针对.NET的保护。

  • 降级攻击
  • 中间人(MITM)攻击
  • 它解决了多个SMTP安全问题,包括过期的TLS证书和缺乏对安全协议的支持。

主要的邮件服务提供商,如微软、Oath和谷歌都支持MTA-STS。谷歌作为最大的行业参与者,在采用任何协议时都处于中心位置,谷歌采用MTA-STS表明对安全协议的支持延伸,并强调了电子邮件在传输中加密的重要性。

用TLS-RPT解决邮件发送中的问题

SMTP TLS报告为域名所有者提供诊断报告(JSON文件格式),详细说明已经发送到你的域名并面临交付问题的邮件,或者由于降级攻击或其他问题而无法交付的邮件,以便你能主动解决问题。一旦你启用TLS-RPT,默许的邮件传输代理将开始发送有关通信服务器之间的电子邮件交付问题的诊断报告给指定的电子邮件域。这些报告通常每天发送一次,涵盖并传达发件人观察到的MTA-STS策略、流量统计以及电子邮件交付失败或问题的信息。

部署TLS-RPT的必要性 :

  • 如果电子邮件由于递送中的任何问题而未能发送给你的收件人,你将得到通知。
  • TLS-RPT为你的所有电子邮件渠道提供了更强的可见性,这样你就能更好地了解你的域名中发生的所有事情,包括未能送达的邮件。
  • TLS-RPT提供深入的诊断报告,使你能够识别并找到电子邮件交付问题的根源,并毫不拖延地解决它。

通过PowerDMARC使采用MTA-STS和TLS-RPT变得简单而迅速

MTA-STS需要一个具有有效证书的HTTPS网络服务器,DNS记录,以及持续的维护。PowerDMARC通过完全在后台为您处理所有这些,使您的生活变得更加轻松--从生成证书和MTA-STS策略文件到策略执行,我们帮助您避免了采用该协议所涉及的巨大的复杂性。一旦我们帮助你设置了它,只需点击几下,你甚至不必再考虑这个问题。

在PowerDMARC的电子邮件认证服务的帮助下你可以在你的组织中部署托管MTA-STS,而不需要麻烦,而且速度非常快,在它的帮助下,你可以强制要求电子邮件通过TLS加密的连接发送到你的域,从而使你的连接安全,并保持MITM攻击。

PowerDMARC通过使SMTP TLS报告(TLS-RPT)的实施过程变得简单而迅速,使您的生活更加轻松。只要您注册了PowerDMARC,并为您的域名启用了SMTP TLS报告,我们就会把包含您的电子邮件交付问题报告的复杂的JSON文件转换为简单的,可读的文件(每个结果和每个发送源),您可以轻松地浏览和理解PowerDMARC的平台会自动检测并随后传达您在电子邮件发送中所面临的问题,这样您就可以在短时间内及时处理并解决这些问题!

今天就注册,获得免费的DMARC!