商业电子邮件入侵或BEC是一种电子邮件安全漏洞或冒充攻击的形式,影响商业、政府、非营利组织、小型企业和初创企业以及跨国公司和企业,以提取机密数据,对品牌或组织产生负面影响。鱼叉式网络钓鱼攻击、发票诈骗和欺骗性攻击都是BEC的例子。
网络犯罪分子是专业的阴谋家,他们故意针对一个组织内的特定人员,特别是那些像首席执行官或类似的人这样的专制职位,甚至是一个值得信赖的客户。由于BEC造成的全球金融影响是巨大的,特别是在美国,它已成为主要的中心。阅读更多关于全球BEC诈骗量的信息。解决办法是什么?切换到DMARC!
什么是DMARC?
基于域的消息认证、报告和一致性(DMARC)是电子邮件认证的行业标准。这种认证机制向接收服务器规定了如何应对未能通过SPF和DKIM认证检查的电子邮件。DMARC可以将你的品牌遭受BEC攻击的几率降到最低,并帮助保护你的品牌声誉、机密信息和金融资产。
请注意,在发布DMARC记录之前,你需要为你的域名实施SPF和DKIM,因为DMARC认证利用了这两个标准认证协议来验证代表你的域名发送的信息。
你可以使用我们免费的SPF记录生成器和DKIM记录生成器来生成记录,公布在你的域名的DNS中。
如何优化你的DMARC记录以防止BEC?
为了保护您的域名免受商业电子邮件的破坏,以及启用一个广泛的报告机制来监测认证结果,并获得您的电子邮件生态系统的完整可视性,我们建议您在您的域名的DNS中发布以下DMARC记录语法。
v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;
了解生成DMARC记录时使用的标签。
| v(强制) | 这个机制指定了协议的版本。 |
| p(强制) | 这个机制指定了正在使用的DMARC策略。你可以将你的DMARC策略设置为
p=none (DMARC仅在监控时,未通过认证检查的邮件仍会进入收件人的收件箱)。 p=quarantine (DMARC在执行时,未通过认证检查的邮件会被隔离或放入垃圾邮件文件夹)。 p=拒绝(DMARC的最大执行力,在这种情况下,未能通过认证检查的邮件将被丢弃或根本不交付)。 对于认证新手来说,建议一开始只用监控政策(p=none),然后慢慢转向强制执行。然而,就本博客而言,如果你想保护你的域名不受BEC影响,p=reject是推荐给你的政策,以确保最大程度的保护。 |
| sp (可选) | 这个标签指定子域策略,可以设置为sp=none/quarantine/reject,要求对所有子域的邮件进行DMARC认证失败的策略。
这个标签只有在你希望为你的主域和子域设置不同的策略时才有用。如果不指定,默认情况下,你的所有子域都会被征收相同的政策。 |
| adkim (可选) | 这个机制指定了DKIM标识符对齐模式,可以设置为s(严格)或r(放松)。
严格对齐规定,电子邮件头的DKIM签名中的d=字段必须与来自头中的域名完全对齐和匹配。 然而,对于宽松的对齐,两个域必须只共享同一个组织域。 |
| aspf (可选) | 这个机制指定了 SPF 标识符的对齐模式,可以设置为 s (严格) 或 r (放松)。
严格对齐规定,"Return-path "头中的域必须与from头中的域完全对齐和匹配。 然而,对于宽松的对齐,两个域必须只共享同一个组织域。 |
| rua(可选,但建议)。 | 此标签指定了发送到mailto:字段后指定的地址的DMARC汇总报告,提供关于通过和未通过DMARC的电子邮件的洞察力。 |
| ruf(可选,但建议)。 | 此标签指定了要发送到mailto:字段后指定的地址的DMARC鉴证报告。鉴证报告是消息级别的报告,提供关于认证失败的更多详细信息。由于这些报告可能包含电子邮件内容,加密它们是最佳做法。 |
| pct(可选) | 此标签指定了DMARC策略适用的电子邮件的百分比。默认值被设置为100。 |
| 箔(可选,但建议)。 | 你的DMARC记录的取证选项可以被设置为。
->DKIM和SPF不通过或不一致(0)。 ->DKIM或SPF不合格或不一致(1)。 ->DKIM不通过或对齐(d)。 ->SPF不通过或对齐(S)。 推荐的模式是fo=1,指定每当电子邮件未能通过DKIM或SPF认证检查时,就会生成取证报告并发送至你的域名。 |
你可以使用PowerDMARC的免费DMARC记录生成器来生成你的DMARC记录,在这里你可以根据你所希望的执行级别来选择字段。
请注意,只有拒绝的执行政策才能最大限度地减少BEC,并保护你的域名免受欺骗和网络攻击。
虽然DMARC可以成为保护你的企业免受BEC影响的有效标准,但正确实施DMARC需要努力和资源。无论你是认证新手还是认证爱好者,作为电子邮件认证的先驱,PowerDMARC是一个单一的电子邮件认证SaaS平台,它将所有的电子邮件认证最佳实践,如DMARC、SPF、DKIM、BIMI、MTA-STS和TLS-RPT,为你在同一屋檐下。我们帮助您。
- 迅速从监控转向执法,让BEC无处遁形
- 我们的汇总报告是以简化的图表和表格形式生成的,以帮助你轻松理解,而不必阅读复杂的XML文件。
- 我们对您的法医报告进行加密,以保障您的信息隐私。
- 在我们用户友好的仪表板上以7种不同的格式(每个结果、每个发送源、每个组织、每个主机、详细统计、地理位置报告、每个国家)查看你的认证结果,以获得最佳用户体验
- 通过调整你的电子邮件与SPF和DKIM的关系,获得100%的DMARC合规性,这样,未能通过任何一个认证检查点的电子邮件就不会进入你的收件箱中。
DMARC是如何保护BEC的?
只要你把你的DMARC政策设置为最大的执行力(p=拒绝),DMARC就会通过减少冒名攻击和域名滥用的机会来保护你的品牌免受电子邮件欺诈。所有的入站信息都会根据SPF和DKIM电子邮件认证检查进行验证,以确保它们来自有效的来源。
SPF以TXT记录的形式出现在你的DNS中,显示所有被授权从你的域名发送邮件的有效来源。接收者的邮件服务器根据你的SPF记录来验证邮件,以证明其真实性。DKIM分配了一个加密签名,使用私钥创建,在接收服务器中验证电子邮件,其中接收方可以从发件人的DNS中检索公钥来验证邮件。
有了你的拒绝政策,当认证检查失败时,电子邮件根本不会被传递到你的收件人邮箱,表明你的品牌被冒充了。这最终使像欺骗和网络钓鱼攻击这样的BEC受到遏制。
PowerDMARC的小型企业基本计划
我们的基本计划每月只需8美元起,因此试图采用DMARC等安全协议的小型企业和初创企业可以轻松利用它。使用该计划,你将拥有以下优势。
- 在您的年度计划中节省20%的费用
- 多达2,000,000封符合DMARC的电子邮件
- 最多5个域名
- 1年的数据历史
- 2个平台用户
- 托管的BIMI
- 托管的MTA-STS
- TLS-RPT
今天就注册PowerDMARC,通过最大限度地减少商业电子邮件破坏和电子邮件欺诈的机会来保护您的品牌域名
