如何利用电子邮件认证保护小企业免受BEC的影响?
作者:
阅读时间 5 分钟
商业电子邮件破坏或 BEC 是一种电子邮件安全漏洞或假冒攻击,影响商业、政府、非营利组织、小型企业和初创企业以及跨国公司和企业,以提取可能对品牌或组织产生负面影响的机密数据。鱼叉式网络钓鱼攻击、发票诈骗和欺骗攻击都是 BEC 的例子。
网络犯罪分子是专业的阴谋家,他们故意针对一个组织内的特定人员,特别是那些像首席执行官或类似的人这样的专制职位,甚至是一个值得信赖的客户。由于BEC造成的全球金融影响是巨大的,特别是在美国,它已成为主要的中心。阅读更多关于全球BEC诈骗量的信息。解决办法是什么?切换到DMARC!
什么是DMARC?
基于域的消息验证、报告和一致性(DMARC)是电子邮件验证的行业标准。这种验证机制向接收服务器说明了如何对SPF 和 DKIM验证检查失败的电子邮件做出响应。DMARC 可将您的品牌遭受 BEC 攻击的几率降至最低,并有助于保护您的品牌声誉、机密信息和金融资产。
请注意,在发布 DMARC 记录之前,您需要为您的域实施 SPF 和 DKIM,因为 DMARC 身份验证使用这两个标准身份验证协议来验证代表您的域发送的信息。
你可以使用我们免费的SPF记录生成器和DKIM记录生成器来生成记录,公布在你的域名的DNS中。
如何优化你的DMARC记录以防止BEC?
为了保护您的域名免受商业电子邮件的破坏,以及启用一个广泛的报告机制来监测认证结果,并获得您的电子邮件生态系统的完整可视性,我们建议您在您的域名的DNS中发布以下DMARC记录语法。
v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;
了解生成DMARC记录时使用的标签。
| v(强制) | 这个机制指定了协议的版本。 |
| p(强制) | 该机制指定了使用中的 DMARC 策略。您可以将 DMARC 策略设置为
p=none (DMARC 仅用于监控,未通过身份验证检查的电子邮件仍会进入收件人的收件箱)。 p=quarantine(DMARC 用于执行,未通过身份验证检查的电子邮件将被隔离或放入垃圾邮件文件夹)。 p=拒绝(DMARC的最大执行力,在这种情况下,未能通过认证检查的邮件将被丢弃或根本不交付)。 对于身份验证新手,建议一开始只使用监控策略(p=none),然后再慢慢转向执行策略。不过,就本博客而言,如果您想保护您的域名免受 BEC 攻击,建议使用 p=reject 策略,以确保最大程度的保护。 |
| sp (可选) | 这个标签指定子域策略,可以设置为sp=none/quarantine/reject,要求对所有子域的邮件进行DMARC认证失败的策略。
这个标签只有在你希望为你的主域和子域设置不同的策略时才有用。如果不指定,默认情况下,你的所有子域都会被征收相同的政策。 |
| adkim (可选) | 这个机制指定了DKIM标识符对齐模式,可以设置为s(严格)或r(放松)。
严格对齐规定,电子邮件标头DKIM 签名中的 d= 字段必须与 from 标头中的域完全对齐和匹配。 然而,对于宽松的对齐,两个域必须只共享同一个组织域。 |
| aspf (可选) | 这个机制指定了 SPF 标识符的对齐模式,可以设置为 s (严格) 或 r (放松)。
严格对齐规定,"Return-path "头中的域必须与from头中的域完全对齐和匹配。 然而,对于宽松的对齐,两个域必须只共享同一个组织域。 |
| rua(可选,但建议)。 | 此标签指定了发送到mailto:字段后指定的地址的DMARC汇总报告,提供关于通过和未通过DMARC的电子邮件的洞察力。 |
| ruf(可选,但建议)。 | 此标签指定了要发送到mailto:字段后指定的地址的DMARC鉴证报告。鉴证报告是消息级别的报告,提供关于认证失败的更多详细信息。由于这些报告可能包含电子邮件内容,加密它们是最佳做法。 |
| pct(可选) | 此标签指定了DMARC策略适用的电子邮件的百分比。默认值被设置为100。 |
| 箔(可选,但建议)。 | 你的DMARC记录的取证选项可以被设置为。
->DKIM和SPF不通过或不一致(0)。 ->DKIM或SPF不合格或不一致(1)。 ->DKIM不通过或对齐(d)。 ->SPF不通过或对齐(S)。 推荐的模式是fo=1,指定每当电子邮件未能通过DKIM或SPF认证检查时,就会生成取证报告并发送至你的域名。 |
你可以使用PowerDMARC的免费DMARC记录生成器来生成你的DMARC记录,在这里你可以根据你所希望的执行级别来选择字段。
请注意,只有拒绝的执行策略才能最大限度地减少 BEC,并保护您的域名免受欺骗和网络钓鱼攻击。
虽然 DMARC 是保护企业免受 BEC 攻击的有效标准,但正确实施 DMARC需要投入精力和资源。无论您是身份验证新手还是身份验证专家,作为电子邮件身份验证领域的先驱,PowerDMARC是一个单一的电子邮件身份验证 SaaS 平台,它将 DMARC、SPF、DKIM、BIMI、MTA-STS 和 TLS-RPT 等所有电子邮件身份验证最佳实践结合在一起。我们可以帮助您
- 迅速从监控转向执法,让BEC无处遁形
- 我们以简化的图表和表格形式生成汇总报告,帮助您轻松理解报告内容,而无需阅读复杂的 XML文件
- 我们对您的法医报告进行加密,以保障您的信息隐私。
- 在我们用户友好的仪表板上以7种不同的格式(每个结果、每个发送源、每个组织、每个主机、详细统计、地理位置报告、每个国家)查看你的认证结果,以获得最佳用户体验
- 通过调整你的电子邮件与SPF和DKIM的关系,获得100%的DMARC合规性,这样,未能通过任何一个认证检查点的电子邮件就不会进入你的收件箱中。
DMARC是如何保护BEC的?
只要您将 DMARC 策略设置为最大执行(p=拒绝),DMARC 就能减少冒充攻击和域名滥用的机会,从而保护您的品牌免受电子邮件欺诈。所有入站邮件都要经过 SPF 和 DKIM 电子邮件验证检查,以确保它们来自有效来源。
SPF以TXT记录的形式出现在你的DNS中,显示所有被授权从你的域名发送邮件的有效来源。接收者的邮件服务器根据你的SPF记录来验证邮件,以证明其真实性。DKIM分配了一个加密签名,使用私钥创建,在接收服务器中验证电子邮件,其中接收方可以从发件人的DNS中检索公钥来验证邮件。
有了你的拒绝政策,当认证检查失败时,电子邮件根本不会被传递到你的收件人邮箱,表明你的品牌被冒充了。这最终使像欺骗和网络钓鱼攻击这样的BEC受到遏制。
PowerDMARC的小型企业基本计划
我们的基本计划每月只需8美元起,因此试图采用DMARC等安全协议的小型企业和初创企业可以轻松利用它。使用该计划,你将拥有以下优势。
- 在您的年度计划中节省20%的费用
- 多达2,000,000封符合DMARC的电子邮件
- 最多5个域名
- 1年的数据历史
- 2个平台用户
- 托管的BIMI
- 托管的MTA-STS
- TLS-RPT
今天就注册PowerDMARC,通过最大限度地减少商业电子邮件破坏和电子邮件欺诈的机会来保护您的品牌域名
域名和电子邮件安全专家PowerDMARC
阿霍娜是 PowerDMARC 的市场经理,拥有 5 年以上的网络安全主题写作经验,擅长领域和电子邮件安全。阿霍娜拥有新闻与传播专业的研究生学位,自 2019 年以来,她在安全领域的职业生涯更加稳固。
Ahona Rudra的最新文章(查看全部)
- PowerDMARC 与 Loons 集团合作加强卡塔尔的电子邮件安全- 2025 年 3 月 13 日
- 电子邮件网络钓鱼和在线匿名:您能在暗网上完全躲避攻击者吗?- 2025 年 3 月 10 日
- 什么是 DNS 劫持?检测、预防和缓解- 2025 年 3 月 7 日
