域名所有者经常会犯一个错误,那就是认为他们的电子邮件验证之路到执行阶段(DMARC p=rject)就结束了。他们殊不知,p=reject 之后是一个重要阶段,它决定了域名的总体强度 电子邮件安全态势。为了持续防范欺骗和网络钓鱼攻击,制定电子邮件安全策略势在必行。这包括持续监控、报告和管理,以确保电子邮件验证设置的整体健康。
让我们来了解一下,为什么一旦达到启用 p=reject 策略的目标,您的 DMARC 之旅还远远没有结束。
什么是 p=拒绝?
许可证 机制有3种明确的执行模式,人们可以部署,它们是。
拒绝是 DMARC 的最大执行策略,它可以帮助域名所有者阻止欺骗或 钓鱼邮件或网络钓鱼电子邮件。那些希望利用 DMARC 保护其域免受基于电子邮件的攻击载体的人可能会发现 p=reject 是一种合适的策略模式。
如何启用 p= reject 模式?
要启用 DMARC 的 p=reject 策略,只需在域名的 DNS 设置中编辑 DMARC DNS 记录即可,如下图所示:
以前的记录v=DMARC1; p=quarantine;
编辑记录v=DMARC1; p=reject;
保存对已编辑记录的更改,并给 DNS 一些时间来处理更改。
如果您是使用我们托管 DMARC 功能的 PowerDMARC 客户,您只需直接在我们的平台上点击策略设置中的 "拒绝 "选项,即可将 DMARC 策略模式从以前的模式更改为 p=拒绝,而无需访问您的 DNS。
拒绝时与 DMARC 相关的潜在风险
更多的时候,域名所有者试图匆忙完成他们的协议部署过程,并期望尽快实现执行。然而,这并不值得推荐。让我们解释一下原因。
- 以非常快的速度转向执行,会导致电子邮件的交付问题
- 它可能导致合法的电子邮件信息的丢失
- 这可能会导致在你自己的域外发送的电子邮件出现DMARC失败。
如何安全到达 p=reject?
虽然拒绝政策有它自己的一套警告和免责条款,但它在防止各种电子邮件欺诈攻击方面的有效性是不可否认的。因此,现在让我们探讨如何安全地转向拒绝。
从p=none开始
与其从强制政策开始,不如从提供更多灵活性和自由的东西开始,这正是p=none的作用。这个政策,虽然在保护方面没有什么作用,但可以作为一个优秀的监控工具,协助你的实施之旅。
启用DMARC报告
监控你的电子邮件渠道可以帮助你防止由于错误的协议配置而导致的不必要的发送失败。它可以让你可视化和检测错误,并更快地排除故障。
DMARC 报告可以帮助您确定电子邮件验证策略的有效性。
虽然电子邮件认证不是银弹,但它可以成为你安全武器库中的一个有效工具。通过DMARC报告,你可以看到你的努力是否有效,以及你可能需要调整策略的地方。
有2种类型的报告。
- 聚合(RUA)旨在帮助你跟踪你的电子邮件发送源、发送者的IP地址、组织域和地理位置。
- 法医(RUF)被设计为在发生像欺骗这样的法医事件时,作为事件警报报告工作。
- 同时配置 SPF 和 DKIM和 DMARC
当涉及到DMARC的实施时,太多的厨师并不会破坏肉汤。相反,安全专家建议将DMARC与SPF和DKIM配对,以加强保护,并减少误报的可能性。这也可以防止不必要的DMARC失败。
这在帮助你安全地实施拒绝策略方面起着关键的作用,确保即使SPF失败而DKIM通过,或者反过来,MARC将通过预期的信息。
包括您的所有发送源
当您试图避免不必要的 DMARC 失败时,在 SPF 记录中遗漏发送源可能会造成特别严重的后果。列出所有电子邮件发送源(包括第三方电子邮件供应商和服务提供商,如 Gmail、Microsoft O365、Yahoo Mail、Zoho 等)。
如果你只是把 SPF 和 DMARC 结合起来使用,这一点就特别重要。每次你添加或删除一个发送源,你的 SPF 记录都必须反映同样的变化。
p=reject 之后会发生什么?
一旦成功达到 p=拒绝,就会出现以下情况:
- 电子邮件安全执法:只有同时通过 SPF 和 DKIM 身份验证检查(或至少通过一项检查,具体取决于DMARC 设置)的电子邮件才会发送给收件人。未通过这些检查的电子邮件将被拒收,无法到达目标收件箱。
- 减少欺骗和网络钓鱼攻击:在达到 p=reject 时,您可以预期自己的域名受到直接域名欺骗和电子邮件网络钓鱼攻击的风险会降到最低。
- 降低域名冒充风险:执行 DMARC 还能最大限度地降低域名冒充风险,防止攻击者滥用或伪造您的域名,以您的名义发送恶意电子邮件。
为什么要在 p=reject 之后继续 DMARC 之旅?
启用 p=reject 后,您的域并不会神奇地摆脱所有潜在和新出现的威胁!它只是在防御威胁方面做得更好了。这就是为什么您不应该在 p=reject 之后立即停止 DMARC 之旅的原因:
- 电子邮件可送达性问题:在达到 p=reject 后,如果缺乏对电子邮件流量的密切监控,可能会导致电子邮件可送达性问题。
- 新出现的攻击载体:威胁者不时发明新的复杂方法来发动网络攻击,即使在 p=reject 时也经常绕过电子邮件验证检查。
- 微调:如果合法电子邮件被拒,您可能需要调整 SPF、DKIM 或第三方服务配置。例如,如果有新的服务代表您发送电子邮件,您可能需要更新 SPF 记录或为该服务配置 DKIM。
实现 p= 拒绝后的主要优先事项
实现 p=reject 后,您必须采取以下必要步骤,以进一步加强电子邮件安全并维护域名声誉:
持续监测和分析
您可以继续查看 DMARC 报告并监控洞察力,以识别任何新的未授权电子邮件来源或错误配置。
确保不活动域名和子域的安全
确保同样的 p=reject 策略也适用于您的子域和非活动域。不安全的子域和停放域经常被黑客利用。
实施 BIMI(信息识别品牌指标)
强制执行 DMARC 政策是对 BIMI.因此,一旦您实现了 DMARC,下一步自然就是为您的域名启用 BIMI!它将帮助您在发出的电子邮件中附加品牌徽标,并在 Google、Yahoo 和 Zoho Mail 等多个支持邮箱中获得蓝色验证复选标记。
为收到的信息启用 MTA-STS
使用 DMARC 保护您发出的电子邮件安全时,您收到的电子邮件会发生什么情况?启用 MTA-STS执行 TLS 加密,确保只有通过安全连接传输的邮件才能到达您的邮箱,从而防止中间人攻击。
第三方供应商管理
审查并确保任何代表您发送电子邮件的第三方供应商遵守严格的电子邮件验证和安全标准。确保与供应商签订的合同中包含有关电子邮件验证合规性的条款。
探索威胁情报技术
预测性威胁情报服务可以通过先进的人工智能技术帮助您检测、预测和缓解新出现的基于电子邮件的威胁和网络攻击。将它们添加到您的安全堆栈中,可以大大提高您的域名保护能力。
总结 p=reject 之后的生活
监控电子邮件验证协议是 p=reject 之后生活中必不可少的一部分。它不仅能确保安全措施的有效性,还能让您更深入地了解其功能,从而确定最适合您的方案。
PowerDMARC 可帮助您实现从 p=none 到拒收的平稳过渡,同时为下一步做好准备。避免出现送达问题,轻松管理电子邮件验证协议、 联系联系我们!
- 增强型网络钓鱼攻击中借口式诈骗的兴起- 2025 年 1 月 15 日
- 2025 年起支付卡行业将强制执行 DMARC- 2025 年 1 月 12 日
- 国家计算机安全委员会邮件检查变化及其对英国公共部门电子邮件安全的影响- 2025 年 1 月 11 日