什么是SPF Permerror？

SPF=Permerror 表示 SPF 记录存在一个根本性的问题，使得我们无法确定发送服务器是否被授权。

什么是10个DNS的查询限制？

在SPF检查过程中，每当一封邮件从你的域名发出时，你的收件人的邮件服务器都会执行DNS查询请求，也被称为DNS查找，以检查你的DNS中是否存在授权的IP地址，并将它们与收到的邮件的返回路径头中的地址相匹配。然而，RFC将DNS查询的次数限制在10次。这就是所谓的10次DNS查询限制。

我是否超过了SPF的Too Many DNS Lookups限制？

如果你担心超过SPF的查询限制，你可以使用我们的SPF记录检查工具即时检查你的记录。

如何解决SPF的错误？

避免SPF错误的一个更有效的方法是部署一个自动的、无障碍的SPF平整工具--比如PowerSPF!

什么是 EchoSpoofing？了解电子邮件路由漏洞

Ahona Rudra

7个月前

电子邮件身份验证很容易受到攻击，这已经不是什么秘密了。尤其是当电子邮件在转发时修改了标题、更改了主题行或删除了附件。这些细微的改动可能会破坏电子邮件的 DKIM 签名.

为了解决这个问题，人们引入了各种安全电子邮件网关（SEG）。这些 SEG 可以通过重新认证来解决篡改邮件的认证问题。虽然这种方法足以减少验证失败，但它也带来了新的风险。

不幸的是，2024 年 3 月，Proofpoint 的电子邮件中继服务被发现存在漏洞。该漏洞允许各种恶意行为者利用一个配置设置。这个电子邮件路由缺陷使攻击者能够发送数百万封欺骗邮件。

在本文中，您将了解到有关 EchoSpoofing 和最近的电子邮件路由漏洞的所有信息。

主要收获

电子邮件中继服务的配置缺陷可能会加剧电子邮件验证漏洞。
EchoSpoofing 技术允许攻击者利用受信任的电子邮件服务发送欺骗性电子邮件。
电子邮件中继系统最近出现的一个配置问题使恶意行为者能够在没有适当过滤器的情况下冒充合法域名。
即使采取了安全措施，企业也必须对不断变化的电子邮件威胁保持警惕。
实施严格的 DMARC 政策有助于防止域名冒充并提高电子邮件安全性。

了解电子邮件路由漏洞

恶意行为者发现了一种利用电子邮件中继服务漏洞的方法，该服务是一种接受来自任何 Microsoft 365 租户的电子邮件的配置设置。接收这些电子邮件后，通过添加新的有效 DKIM 签名对其进行重新验证。

配置设置中的漏洞允许犯罪者欺骗任何域名。这样，他们就可以在一系列名为 "EchoSpoofing "的网络钓鱼活动中发送看似来自合法来源的电子邮件。

利用 PowerDMARC 防范回声欺骗！

什么是回声欺骗？

该漏洞被 Gaurdio Labs 命名为 "EchoSpoofing"。这是一种攻击者从 SMTP 服务器发送电子邮件的技术。这些 SMTP 服务器托管在虚拟专用服务器（VPS）上，发送的信息很容易通过电子邮件验证检查，包括 SPF和 DKIM.这些 EchoSpoofing 电子邮件模仿来自可信发件人的合法电子邮件。

Microsoft 365 允许从用户选择的任何域发送电子邮件。EchoSpoofing漏洞中的黑客利用这一漏洞从攻击者控制的Office 365租户发送邮件，甚至从可疑的租户发送邮件。例如，Proofpoint 客户授权 Microsoft 365 为合法发件人，却无意中给自己带来了麻烦。这些受攻击者控制的Office 365租户获得了免费通行证，可以通过他们的中继服务转发带有验证标签和有效DKIM签名的EchoSpoofing电子邮件。

回声欺骗的后果

如果您是 Microsoft 365 用户，使用安全电子邮件网关通过中继系统阻止恶意电子邮件，则需要谨慎行事，因为任何其他 Microsoft 365 租户都有可能欺骗您的域。由于大多数 SEG 无法明确过滤掉特定的 Office 365 租户并授权所有租户，如果您已将 Microsoft 定义为合法发件人，恶意行为者就可以轻易冒充您的域来发送钓鱼电子邮件。

通过该系统发送的欺骗性电子邮件不会被标记为可疑邮件，甚至不会通过 DMARC 检查直接进入收件人的收件箱。

剥削的规模

这些袭击的影响范围相当广泛。

目标公司

新的 "生态欺骗 "方法针对的是各种知名品牌。这些公司包括耐克、IBM、迪斯尼、百思买等。

应对和缓解策略

注意到这个问题后，公司立即发布了各种措施来应对这个漏洞。这些措施包括让客户现在可以指定允许的 Microsoft 365 租户。我们还向客户保证，虽然每个电子邮件路由系统在一定程度上都存在漏洞，但客户数据不会在攻击中暴露或泄露。

利用 PowerDMARC 实现全面的电子邮件安全

PowerDMARC 先进的人工智能电子邮件身份验证平台可同时提供安全性和可视性，应对大多数基于电子邮件的漏洞和威胁。我们的威胁情报技术擅长对威胁模式和趋势进行数据驱动的预测，并由专家团队指导您加强电子邮件身份验证态势。

PowerDMARC 详细的应用程序接口允许客户将我们的平台与他们现有的安全系统无缝集成，从而提供更高的安全性！

此外，我们还帮助域名所有者转向 "拒绝 "等强制 DMARC 政策，使他们能够有效打击欺骗攻击。

最后的话

EchoSpoofing 漏洞突出了电子邮件路由系统中的一个重大漏洞，证明即使是可信的安全解决方案也可能存在盲点。

攻击者利用电子邮件系统中的错误配置绕过身份验证检查，大肆发起网络钓鱼活动，这并不是什么新鲜事。虽然已经采取了纠正措施，但这一事件凸显了由专家团队提供支持的前瞻性电子邮件安全的重要性。

要探索域名保护策略并正确执行电子邮件验证 - 请联系我们。联系我们与我们经验丰富的专业人员联系。

关于
最新文章

Ahona Rudra

阿霍娜是 PowerDMARC 的市场经理，拥有 5 年以上的网络安全主题写作经验，擅长领域和电子邮件安全。阿霍娜拥有新闻与传播专业的研究生学位，自 2019 年以来，她在安全领域的职业生涯更加稳固。

Ahona Rudra的最新文章(查看全部)

DKIM 设置：为电子邮件安全配置 DKIM 的分步指南 (2025)- 2025 年 3 月 31 日
PowerDMARC 被《2025 年 G2 春季报告》评为 DMARC 网格领导者- 2025 年 3 月 26 日
如何识别虚假订单确认诈骗电子邮件并保护自己- 2025 年 3 月 25 日