邮件传输代理-严格传输安全(MTA-STS)是一个新的标准,它使邮件服务提供商有能力强制执行传输层安全(TLS)以保证SMTP连接的安全,并指定发送SMTP服务器是否应该拒绝向不提供TLS和可靠服务器证书的MX主机发送邮件。它已被证明能够成功地缓解TLS降级攻击和中间人(MITM)攻击。

更简单地说,MTA-STS是一个互联网标准,用于保护SMTP邮件服务器之间的连接安全。SMTP最突出的问题是,加密是完全可选的,在邮件传输过程中并不强制执行。这就是为什么SMTP采用STARTTLS命令,从明文升级到加密。这是缓解被动攻击的宝贵一步,然而,解决通过主动网络和MITM攻击的问题仍然没有解决。

因此,MTA-STS要解决的问题是,SMTP利用机会性加密,即如果不能建立一个加密的通信通道,连接就会退回到明文,从而使MITM和降级攻击得到遏制。

什么是TLS降级攻击?

我们已经知道,SMTP并没有附带加密协议,后来不得不通过添加STARTTLS命令来改造加密技术,以增强现有协议的安全性。如果客户端支持加密(TLS),它将理解STARTTLS动词,并在发送邮件之前启动TLS交换,以确保邮件被加密。如果客户端不知道TLS,它将直接忽略STARTTLS命令,并以明文形式发送电子邮件。

因此,由于加密必须加装到SMTP协议中,加密传输的升级必须依靠以明文发送的STARTTLS命令。一个MITM攻击者可以通过篡改升级命令对SMTP连接进行降级攻击,从而轻易地利用这一特性。攻击者只需将STARTTLS替换成一个客户无法识别的垃圾字符串。因此,客户端很容易退回到以明文发送电子邮件。

攻击者通常用包含相同数量字符的垃圾字符串替换命令,而不是把它撵走,因为这保留了数据包的大小,因此,使它更容易。选项命令中的垃圾字符串的八个字母使我们能够检测和识别TLS降级攻击是由网络犯罪分子执行的,我们可以衡量其普遍性。

简而言之,降级攻击通常是作为MITM攻击的一部分而发起的,目的是通过替换或删除STARTTLS命令,将通信回滚为明文,从而创造出一条实现加密攻击的途径,而在通过最新版本的TLS协议进行加密的情况下是不可能的。

虽然有可能在客户端到服务器的通信中强制执行TLS,因为对于这些连接,我们知道应用程序和服务器支持它。然而,对于服务器到服务器的通信,我们必须失败开放,以允许传统的服务器发送电子邮件。问题的关键在于,我们不知道另一边的服务器是否支持TLS。MTA-STS允许服务器表明他们支持TLS,这将允许他们在升级协商没有发生时失败关闭(即不发送邮件),从而使TLS降级攻击无法发生。

tls报告

MTA-STS如何来拯救?

MTA-STS的功能是提高EXO或Exchange在线电子邮件的安全性,是解决各种SMTP安全弊端和问题的最终方案。它解决了SMTP安全方面的问题,如缺乏对安全协议的支持,过期的TLS证书,以及不是由可靠的第三方颁发的证书。

当邮件服务器开始发送邮件时,SMTP连接很容易受到加密攻击,如降级攻击和MITM。降级攻击可以通过删除STARTTLS响应来发起,从而以明文方式传递信息。同样,MITM攻击也可以通过不安全的连接将信息重定向给服务器入侵者而发起。MTA-STS允许你的域名发布一个策略,使发送邮件时必须使用加密的TLS。如果由于某种原因,发现接收服务器不支持STARTTLS,那么电子邮件将根本不会被发送。这使得不可能煽动TLS降级攻击。

近来,大多数邮件服务提供商都采用了MTA-STS,从而使服务器之间的连接更加安全,并通过最新版本的TLS协议进行加密,从而成功缓解了TLS降级攻击,使服务器通信中的漏洞失效。

PowerDMARC为您带来了,快速而简单的托管MTA-STS服务,这让您的生活变得更加轻松,因为我们在实施过程中和实施后都会照顾到MTA-STS所需要的所有规格,例如一个具有有效证书的HTTPS网络服务器,DNS记录,以及持续的维护。PowerDMARC完全在后台管理这一切,因此,在我们帮助您设置之后,您甚至不必再考虑这个问题了

在PowerDMARC的帮助下,你可以在你的组织中部署托管MTA-STS,而不需要麻烦,而且速度非常快,在它的帮助下,你可以强制要求通过TLS加密的连接向你的域名发送电子邮件,从而使你的连接安全,并保持TLS降级攻击。

 

一个广为人知的互联网标准是SMTP邮件传输代理-严格传输安全(MTA-STS),它通过提高SMTP(简单邮件传输协议)服务器之间连接的安全性来促进。

1982年,SMTP首次被指定,它不包含任何在传输层面提供安全的机制,以确保邮件传输代理之间的通信。然而,在1999年,STARTTLS命令被添加到SMTP中,反过来支持服务器之间的电子邮件加密,提供了将非安全连接转换成使用TLS协议加密的安全连接的能力。

在这种情况下,你一定想知道,如果SMTP采用了STARTTLS来保证服务器之间的连接安全,为什么还需要转变为MTA-STS?让我们在本博客的下一节中来探讨这个问题!

转移到MTA-STS的必要性

STARTTLS并不完美,它未能解决两个主要问题:首先是它是一个可选择的措施,因此STARTTLS未能防止中间人(MITM)攻击。这是因为MITM攻击者可以轻易地修改连接并阻止加密更新的发生。它的第二个问题是,即使实施了STARTTLS,也没有办法验证发送服务器的身份,因为SMTP邮件服务器不验证证书。

虽然今天大多数发出的电子邮件都有传输层安全(TLS)加密,这是一个甚至被消费者电子邮件采用的行业标准,但攻击者甚至在你的电子邮件被加密之前,仍然可以阻挠和篡改。如果你用电子邮件通过安全连接来传输你的电子邮件,你的数据可能会受到影响,甚至被网络攻击者修改和篡改。这里就是MTA-STS介入并解决这个问题的地方,保证你的电子邮件的安全传输,以及成功缓解MITM攻击。此外,MTA存储MTA-STS策略文件,使攻击者更难发起DNS欺骗攻击。

MTA-STS提供了针对.NET的保护。

  • 降级攻击
  • 中间人(MITM)攻击
  • 它解决了多个SMTP安全问题,包括过期的TLS证书和缺乏对安全协议的支持。

MTA-STS是如何工作的?

MTA-STS协议的部署是通过一个DNS记录,指定邮件服务器可以从一个特定的子域获取策略文件。这个策略文件是通过HTTPS获取的,并通过证书验证,同时还有收件人的邮件服务器的名字列表。与发送方相比,收件人一方实施MTA-STS更容易,因为它需要得到邮件服务器软件的支持。虽然有些邮件服务器支持MTA-STS,如PostFix,但不是所有的都支持。

主办的MTA STS

主要的邮件服务提供商,如微软、Oath和谷歌都支持MTA-STS。谷歌的Gmail已经在近期采用了MTA-STS策略。MTA-STS消除了电子邮件连接安全方面的弊端,使受支持的邮件服务器确保连接安全的过程变得简单和容易获得。

从用户到邮件服务器的连接通常用TLS协议进行保护和加密,然而,尽管如此,在实施MTA-STS之前,邮件服务器之间的连接仍然缺乏安全性。随着近来人们对电子邮件安全意识的提高和全球主要邮件供应商的支持,预计在不久的将来,大部分的服务器连接都会被加密。此外,MTA-STS有效地确保网络上的网络犯罪分子无法读取电子邮件内容。

通过PowerDMARC轻松、快速地部署托管MTA-STS服务

MTA-STS需要一个具有有效证书的HTTPS网络服务器,DNS记录,以及持续的维护。PowerDMARC通过完全在后台为您处理所有这些问题,使您的生活变得更加轻松。一旦我们帮你设置好了,你甚至都不用再去想它了。

在PowerDMARC的帮助下,你可以在你的组织中部署托管MTA-STS,而不需要麻烦,而且速度非常快,在它的帮助下,你可以强制要求通过TLS加密的连接向你的域名发送电子邮件,从而使你的连接安全,并防止MITM攻击。

 

 

随着网络犯罪分子的网络钓鱼攻击、电子邮件和域名欺骗攻击、BEC和其他欺诈活动的不断涌现,额外的安全和电子邮件保护层总是一个好主意!由于网络攻击的增加,电子邮件的收件人对落入他们收件箱的信息越来越怀疑。解决办法是什么?一个全面的电子邮件安全套件,包括BIMI的实施。

美国安全专家最近进行的一项调查显示,60%的美国公民声称在他们的亲密圈子里,在大流行之后,已经成为网络诈骗的受害者或知道有人受到同样的影响。因此,为了给他们的电子邮件提供额外的保护,企业需要实施像信息识别品牌指标(BIMI)这样的新标准,因为它有望将消费者的信心提高到新的水平。

什么是BIMI?

BIMI是Brand Indicators for Message Identification的缩写,它是一个新形成的电子邮件认证标准,将你的品牌标志贴在所有由你授权的电子邮件上。这可能感觉是一个非常小的步骤,但事实上视觉验证可以增加你的品牌信誉,让接收者识别和信任你从你的商业电子邮件域名发出的电子邮件。

你可能想知道,如果你已经在你的组织中实施了DMARC,利用了SPFDKIM认证标准,你还需要BIMI吗?让我们简单地讨论一下这些标准是如何对入站邮件进行认证的。

  • SPF对你的电子邮件进行认证,以确定允许从你的电子邮件域发送电子邮件的邮件服务器,这些邮件服务器被列在SPF记录中。
  • DKIM通过向电子邮件添加数字签名来认证电子邮件,使接收者能够检查声称来自特定域名的电子邮件是否确实得到该域名所有者的授权。
  • DMARC向收件箱提供者规定了如何应对未能通过SPF和DKIM电子邮件认证的电子邮件。
  •  BIMI将你的品牌标志贴在你发给你的员工、合作伙伴和客户的邮件上,这样他们就能及时识别出这是来自授权的来源。

因此,从上面的讨论中可以看出,在所有的电子邮件认证协议中,BIMI是唯一提供视觉识别范围的标准,为电子邮件接收者提供视觉线索来识别电子邮件的来源,并识别其真实性。

PowerDMARC Logo Mobile

BIMI实施--简要指南

虽然BIMI是一个新兴的、仍在不断发展的认证标准,但它仍然相对较新。到目前为止,只有雅虎邮箱正式采用该技术。由于这个原因,BIMI不能保证显示你的品牌标志,因为它只适用于支持的电子邮件客户端。在实施BIMI之前,有几个基本步骤需要遵循,这就是。

  • 为了在你的组织中实施BIMI,你的域名需要在政策执行层面上进行DMARC认证,即拒绝隔离
  • 你必须按照BIMI的要求创建并上传一个 SVG文件,以便从任何地方都可以访问。
  • 你必须创建一个BIMI记录,它与DMARC记录类似,基本上是一个由多个标签组成的字符串,用分号隔开。
  • 你需要访问你的域名的DNS来发布这个新的BIMI记录。
  • 在你的DNS中发布BIMI记录后,检查其有效性是一个相当有用的做法。

BIMI的实施如何能证明对你的企业有利?

BIMI是一个电子邮件认证协议,行使视觉识别,帮助电子邮件接收者在收件箱中识别和信任你的品牌。这种信任可以防止客户和合作伙伴退订你的服务,也可以使垃圾邮件的投诉不受影响,这可以随后导致电子邮件交付率的提升。

如果没有BIMI,电子邮件客户端会显示一个带有品牌首字母的通用占位符标志。由于这个原因,收件人可能很难在不求助于品牌名称的情况下认出你的品牌。然而,如果实施了BIMI,品牌标志就会显示在你的电子邮件旁边,提升品牌知名度。

除此之外,这也是一个额外的电子邮件安全层,可以防止域名欺骗攻击、网络钓鱼攻击和其他冒名顶替的企图,因为接收者会对冒充你的网络犯罪分子更加警觉。

此外,BIMI允许你推销你的品牌。是的,你没听错!有时收件人手中没有很多时间,而你的主题行可能暂时没有足够的说服力去点击。不管怎么样,你的收件人会把你的发件人地址、主题行和页眉文字与你的标志联系起来,帮助进一步建立你的品牌。

最后,BIMI的实施对你的邮件送达率也有非常积极的影响!对于支持BIMI的邮箱提供商来说,它将为你的邮件增加另一层邮件认证,从而增加他们更及时地传递你的邮件的机会。除此之外,你的邮件接收者可以通过显示的标志,直观地识别和认出你的品牌,减少他们将邮件标记为垃圾邮件的机会。

用PowerBIMI简化你的BIMI实施过程

有了PowerBIMI,我们使BIMI记录的发布对你来说非常迅速和简单你所要做的就是简单地上传你的SVG图片,我们将安全地托管它,并立即为你提供一个DNS记录,这样你就可以在你的DNS中发布它。我们从你的肩上卸下了托管图像和确保其安全的痛苦。

有了PowerBIMI,你可以在任何时候更新、删除或对你的形象做任何改变,而不需要再次更新你的DNS记录。PowerBIMI为你提供了一个非常快速和简单的一键式执行程序,上传你的标志并成功转向BIMI认证,在注册免费的BIMI记录后将其作为你的电子邮件安全套件的一部分

世界各地的购物者在感恩节之后的几天里,尤其是在美国,都在紧张地等待黑色星期五的最佳交易。世界各地经营各种产品的主要零售店和电子商务平台推出令人垂涎的黑色星期五促销活动,以惊人的折扣率向其规模庞大的客户群派发产品。

然而,虽然这是这些机构赚大钱的时候,但它也是网络犯罪分子最活跃的时候!来自世界各地的研究人员认为,在黑色星期五到来之前,欺骗和网络钓鱼攻击的数量急剧增加。为了保护你的网上购物者不成为这些欺骗企图的牺牲品,实施DMARC作为你工作场所安全政策的一个组成部分是非常必要的。

欺骗性攻击--探索黑色星期五的威胁形势

欺骗本质上是一种冒名顶替的攻击,是一种更复杂的尝试,是对一个著名品牌或组织的牵连。欺骗攻击可以通过部署各种方法发起。网络犯罪分子可能针对一个组织的网络的更多技术元素,如IP地址、域名系统(DNS)服务器或地址解析协议(ARP)服务,作为欺骗攻击的一部分。

研究显示,每年黑色星期五之前的几天,冒名顶替和欺骗企图都会急剧增加,然而,截至2020年,65%的领先在线零售商店和电子商务平台没有公布任何DMARC记录

想知道后果可能是什么?

网络犯罪分子在欺骗你的域名时的主要议程是发送集成有钓鱼链接的欺诈性电子邮件。攻击者试图用在黑色星期五提供令人难以置信的优惠和折扣券的空洞承诺来引诱你的品牌的尊贵客户群,同时冒充你的客户支持。那些多年来一直在你的平台上购物并信任你的公司的脆弱客户,在打开电子邮件并试图利用这些优惠之前不会再考虑。

利用这种策略,攻击者传播勒索软件和恶意软件,唆使汇款,或试图窃取消费者的机密信息。

最终,你的公司可能会面临法律后果,声誉受到打击,并失去客户的信任。由于这些原因,了解如何保护你的品牌不受今年黑色星期五激增的欺骗性攻击的影响是明智的。

用DMARC保护您的企业免受欺骗性攻击

指望你的消费者了解网络犯罪分子不断变化的趋势和策略是不自然的,这就是为什么你应该积极主动,采取必要的行动,防止攻击者在这个黑色星期五利用你的域名进行恶意活动。

确保这一点的最佳和最简单的方法?立即在你的组织中实施一个领先的基于DMARC的电子邮件认证工具吧!让我们来细数一下它的好处。

人工智能驱动的电子邮件认证

你可以利用DMARC分析工具阻止攻击者伪造你的电子邮件标题并向你的客户发送钓鱼邮件,该工具利用SPFDKIM电子邮件认证技术,在欺骗性的电子邮件设法进入接收者的收件箱之前将其阻挡在外。

发布DMARC记录使你能够完全控制你的电子邮件渠道,通过验证每一个发送源,并根据你的要求自由地优化你的DMARC政策(无、隔离或拒绝)。

DMARC报告和监控

一个基于DMARC的认证和报告工具,如PowerDMARC,扩展了DMARC所提供的设施,包括实时报告和监控欺骗和网络钓鱼活动的规定,而不影响你的电子邮件交付率。通过威胁映射,你可以找出滥用你的IP地址的人的地理位置,包括他们滥用域名的历史报告,并通过点击一个按钮将他们列入黑名单!

这不仅使你对你的品牌的电子邮件域有足够的可见性,而且使你有能力监测任何冒名顶替的企图,并对网络犯罪分子不断变化的战术保持更新。通过监测你的电子邮件报告,你可以看到哪些邮件通过了,哪些没有通过,或者没有与DMARC保持一致,以及在哪个阶段,以找到问题的根源,以便你可以对它采取行动。全面的、可读的报告将带你了解每一个细节,从SPF验证到DKIM记录,突出所有未能通过DMARC认证的IP。

保持在DNS查询限制之下

你的公司可能有各种第三方供应商,使你很难保持在 SPF 提供的 10 个 DNS 查询限制之下。如果你超过了这个限制,你的 SPF 就会失败,从而使实施变得毫无用处。然而,升级到PowerSPF后,你就可以从 SPF 记录中添加/删除发件人,而不会超过 10 次的 DNS 查询限制,从而使你的查询限制得到控制。

用BIMI增强你的品牌记忆

为了给你的电子邮件域名提供第二层认证和可信度,你应该相信一个 托管的BIMI记录.信息识别的品牌指标(BIMI)正是你在这种时候所需要的,以平息黑色星期五之前的欺骗性攻击的激增。这个标准将你的专属品牌标识贴在你发给客户群的每一封邮件上,让他们知道这是你,而不是一个冒牌货。

  • BIMI增强了品牌记忆,在客户中强化了品牌形象,让他们直观地确认邮件是真实的。
  • 它增加了品牌的可信度和可靠性
  • 它提高了电子邮件的送达率

在这个黑色星期五,用PowerDMARC升级你的组织的安全防护服,保护你的品牌免受域名滥用。今天就预约演示或注册免费的DMARC试用!

好吧,你刚刚经历了为你的域名设置DMARC的整个过程。你发布了你的SPF、DKIM和DMARC记录,你分析了所有的报告,解决了交付问题,把你的执行级别从p=none提高到了quarantine,最后是拒绝。你正式成为100%的DMARC执行者。祝贺你现在只有你的邮件到达人们的收件箱。如果你能帮助,没有人会冒充你的品牌。

就这样了,对吗?你的域名安全了,我们都可以高兴地回家了,因为知道你的电子邮件将是安全的。对不对......?

嗯,不完全是。DMARC有点像运动和节食:你做了一段时间,减掉了一堆体重,有了一些变态的腹肌,一切都很顺利。但是,如果你停下来,所有这些你刚刚取得的成果都会慢慢减少,而且欺骗的风险又开始悄悄出现了。但不要吓坏了!就像饮食和运动一样,健身(即达到100%的执行力)是最难的部分。一旦你做到了这一点,你只需要把它保持在同一水平上,这就容易多了。

好了,类比够多了,让我们进入正题。如果你刚刚在你的域名上实施并执行了DMARC,下一步是什么?你如何继续保持你的域名和电子邮件渠道的安全?

实现了DMARC的执行后该怎么做?

电子邮件安全并不是在你达到100%的执行率后就简单地结束了,其首要原因是攻击模式、网络钓鱼骗局和发送源总是在不断变化。电子邮件诈骗中的一个流行趋势往往甚至不会持续超过几个月。想想2018年的WannaCry勒索软件攻击,或者甚至像2020年初的WHO冠状病毒钓鱼诈骗那样的最新情况。你现在在野外没有看到很多这样的情况,对吗?

网络犯罪分子在不断改变他们的策略,恶意发送源也总是在不断变化和繁殖,而你能做的并不多。你能做的是为你的品牌准备好任何可能的网络攻击。做到这一点的方法是通过DMARC监测和可视性。

即使在你被强制执行后,你仍然需要对你的电子邮件渠道进行全面控制。这意味着你必须知道哪些IP地址在通过你的域名发送电子邮件,你在哪里遇到了电子邮件交付或认证问题,并识别和应对任何潜在的欺骗企图或代表你进行网络钓鱼活动的恶意服务器。你对你的域名监控得越多,你就越能了解它。因此,你将能够更好地保护你的电子邮件、你的数据和你的品牌。

为什么DMARC监测如此重要

识别新的邮件来源
当你监控你的电子邮件渠道时,你不只是要检查是否一切正常。你还要寻找从你的域名发送电子邮件的新IP。你的组织可能每隔一段时间就会更换其合作伙伴或第三方供应商,这意味着他们的IP可能会被授权代表你发送电子邮件。那个新的发送源是你的新供应商之一,还是有人试图冒充你的品牌?如果你定期分析你的报告,你会有一个明确的答案。

PowerDMARC让你根据你的域名的每个发送源查看你的DMARC报告。

了解域名滥用的新趋势
正如我前面提到的,攻击者总是在寻找新的方法来冒充品牌,欺骗人们给他们提供数据和金钱。但是,如果你只是每隔几个月看一次你的DMARC报告,你就不会注意到任何欺骗的蛛丝马迹。除非你定期监测你的域名中的电子邮件流量,否则你不会注意到可疑活动的趋势或模式,当你受到欺骗性攻击时,你就会像被攻击的人一样毫无所知。相信我,这对你的品牌来说绝不是一件好事。

查找并将恶意IP列入黑名单
仅仅找到究竟是谁在试图滥用你的域名是不够的,你需要尽快关闭他们。当你知道你的发送源时,更容易确定一个违规的IP,一旦你找到它,你可以向他们的主机供应商报告该IP,并将其列入黑名单。这样,你就可以永久地消除这个特定的威胁,避免欺骗性攻击。

通过Power Take Down,你可以找到一个恶意IP的位置,他们的滥用历史,并让他们下架。

控制送达率
即使你小心翼翼地将DMARC的执行率提高到100%,而不影响你的邮件送达率,但持续确保高送达率也很重要。毕竟,如果没有一封电子邮件到达目的地,那么所有的电子邮件安全又有什么用呢?通过监测你的邮件报告,你可以看到哪些邮件通过了,哪些没有通过,哪些没有与DMARC保持一致,并发现问题的根源。如果没有监控,就不可能知道你的邮件是否被送达,更不用说解决这个问题了。

PowerDMARC让你可以根据他们的DMARC状态来查看报告,这样你就可以立即确定哪些邮件没有通过。

 

我们的尖端平台提供24×7的域监控,甚至给你一个专门的安全响应团队,可以为你管理安全漏洞。了解更多关于PowerDMARC扩展支持。

为什么我需要DKIM?SPF还不够吗?

远程工作特别让人们接触到越来越多的网络钓鱼和网络攻击。大多数情况下,最严重的是那些让人无法忽视的网络钓鱼攻击。无论接收和发送多少工作邮件,尽管工作场所聊天和即时通讯应用程序的兴起,对于大多数在办公室工作的人来说,电子邮件仍然主导着内部和外部的业务沟通。

然而,这并不是一个秘密,电子邮件通常是网络攻击最常见的切入点,这涉及到将恶意软件和漏洞潜入网络和凭证,并揭示敏感数据。根据SophosLabs在2020年9月的数据,大约97%被垃圾邮件陷阱抓到的恶意垃圾邮件是钓鱼邮件,猎取凭证,或任何其他信息。

其中,剩下的3%携带着混合的信息袋,这些信息带有恶意网站的链接,或者是那些有诱杀装置的附件。这些信息主要是希望安装后门、远程访问木马(RATs)、信息窃取者、漏洞,或者可能下载其他恶意文件。

无论来源是什么,对于攻击者来说,无论他们的最终目的是什么,网络钓鱼仍然是一个相当可怕的有效策略。所有组织都可以使用一些强有力的措施来验证一封邮件是否来自于它所声称的人和来源。

DKIM是如何来拯救的?

必须确保一个组织的电子邮件安全应该能够对每一封传入的电子邮件进行检查,这将违背电子邮件似乎来自的域名所设置的认证规则。域名密钥识别邮件(DKIM)是一种帮助检查入站邮件的方法,以检查是否有任何被改变。对于那些合法的电子邮件,DKIM肯定会找到一个数字签名,它将与一个特定的域名相联系。

这个域名将被附在电子邮件的标题上,并且在源域会有一个相应的加密密钥。DKIM最大的优点是它在你的邮件标题上提供了一个数字签名,这样,收到邮件的服务器就可以用密码学方法验证这些标题,认为它是有效的和原始的。

这些标题通常签署为 "发件人"、"收件人"、"主题 "和 "日期"。

你为什么需要DKIM?

网络安全领域的专家指出,DKIM在日常情况下是非常需要的,以确保官方电子邮件的安全。在DKIM中,签名是由MTA(邮件传输代理)生成的,它创建了一个独特的字符串,称为哈希值。

此外,哈希值被存储在列出的域中,在收到邮件后,接收者可以通过使用在域名系统(DNS)中注册的公钥来验证DKIM签名。在这之后,这个密钥被用来解密标题中的哈希值,并从它收到的电子邮件中重新计算哈希值。

在这之后,专家们会发现,如果这两个DKIM签名是匹配的,那么MTA就会知道这封邮件没有被修改过。此外,用户将得到进一步的确认,即该邮件确实是从列出的域名发出的。

DKIM,最初是在2004年由两个站的密钥,即域名密钥(由雅虎创建的)和识别互联网邮件(由思科创建的)合并而成,并一直发展成为一种新的被广泛采用的认证技术,使一个组织的电子邮件程序相当值得信赖,这也是具体为什么像谷歌、微软和雅虎这样的领先科技公司总是检查传入邮件的DKIM签名。

DKIM与SPF

发件人政策框架(SPF)是一种电子邮件认证形式,它定义了一个过程,以验证电子邮件,一个从授权邮件服务器发送的电子邮件,以检测伪造和防止诈骗。

虽然大多数人认为SPF和DKIM都必须在组织中使用,但DKIM肯定比其他的更有优势。原因如下。

  • 在DKIM中,域名所有者发布了一个加密密钥,该密钥在整个DNS记录中被特别格式化为TXT记录
  • 附加在邮件头的独特DKIM签名使其更加真实。
  • 使用DKIM被证明是更有成效的,因为入站邮件服务器用来检测和解密邮件签名的DKIM密钥证明了邮件是更真实的,而且没有被改变过。

总结

对于大多数商业机构来说,DKIM不仅可以保护他们的企业免受网络钓鱼和欺骗性攻击,而且DKIM还有助于保护客户关系和品牌声誉。

这一点特别重要,因为DKIM提供了一个加密密钥和一个数字签名,这可以加倍证明电子邮件没有被伪造或篡改。这些做法将帮助组织和企业更进一步提高他们的电子邮件交付能力和发送安全的电子邮件,这将有助于创造收入。大多数情况下,这取决于组织如何使用和实施这些做法。这是最重要的,也是最有意义的,因为大多数组织都想使自己免于网络攻击和威胁。