分析日期:20/05/2024

瑞士 DMARC 和 MTA-STS 采用情况:2024 年报告

电子邮件验证已成为 2024 年电子邮件安全的前沿领域。谷歌和雅虎等主要电子邮件服务和收件箱提供商最近升级了其强制性发件人要求,规定非促销和促销电子邮件都必须实施电子邮件身份验证。但是,为什么会发生这场突如其来的革命呢? 

电子邮件欺诈呈上升趋势。网络钓鱼和欺骗攻击比以前更加猖獗,估计有 每天有 34 亿封电子邮件网络犯罪分子每天发送 34 亿封电子邮件!要保护您和您的客户免受恶意电子邮件的侵害,身份验证是必不可少的。

分析DMARC 统计数据可突出显示这些协议如何通过防止未经授权的电子邮件使用和提供详细报告以提高可见性来保护组织。

DMARC(基于域的消息验证、报告和一致性)是一种电子邮件验证协议,旨在使电子邮件域所有者能够保护其域免受未经授权的使用、欺骗和网络钓鱼攻击。您可以设置 DMARC策略来拒绝未经授权的电子邮件,甚至可以启用报告功能来了解电子邮件渠道、发送源和验证结果。 

MTA-STS(邮件传输代理严格传输安全)协议旨在通过在电子邮件传输过程中强制使用传输层安全(TLS)来提高电子邮件通信的安全性。它有助于保护电子邮件通信免受被动窃听和主动中间人攻击。

评估威胁状况

瑞士 dmarc

随着全球电子邮件威胁的激增,瑞士面临的风险越来越大。技术的飞速发展,尤其是人工智能的引入,增加了全球网络犯罪的可能性。这些技术创新虽然在许多方面是有益的,但也产生了新的漏洞,网络犯罪分子很快就会加以利用。 

瑞士与其他国家一样,正经历着网络威胁的大幅上升,因此组织和政府必须加强网络安全态势。各组织现在应采取积极主动的方法来保护敏感信息和维护电子邮件通信的真实性。

根据 Swissinfo.ch 上发表的一篇文章瑞士信息》(Swissinfo.ch)上发表的一篇文章称,2023 年,联邦办公室通过 antiphishing.ch 网站处理了 18.7 万份报告,并关闭了瑞士的 8223 个网络钓鱼网站。

此外,瑞士国家网络安全中心(NCSC) 2023 年反网络钓鱼报告分析了 10,000 多个冒充品牌名称的钓鱼网站,发现其中 60% 以上是瑞士品牌。瑞士国家网络安全中心证明,2022 年至 2023 年间,瑞士的网络犯罪率几乎翻了一番,这引起了人们的高度警惕。

在《2024 年瑞士 DMARC 和电子邮件验证采用情况报告》中,我们将讨论以下主要问题:

  • 瑞士各组织采用 MTA-STS 的现状如何?

  • 瑞士机构启用 DNSSEC 的比例是多少?

  • 如何改进瑞士的网络安全和电子邮件验证基础设施,防止冒名顶替攻击?

  • 瑞士哪些行业最容易受到电子邮件网络钓鱼和其他网络攻击的影响?

  • 企业如何减轻电子邮件威胁?

为了更好地了解当前情况,我们分析了属于瑞士顶级企业和组织的 1103 个域名,这些域名来自以下行业:

  • 健身

  • 医疗保健

  • 媒体

  • 政府

  • 电信

  • 招聘栏

  • 运输

数字说明了什么?

在对所有 1103 个瑞士域名进行检查的同时,还对 SPF、DMARC、MTA-STS 和 DNSSEC 的采用情况进行了深入分析,并得出以下启示:

瑞士域名 SPF 采用情况分析

BIMI标志

瑞士域名 DMARC 采用情况分析

BIMI标志

瑞士域名的 MTA-STS 采用情况分析

BIMI标志

瑞士域名 DNSSEC 采用情况分析

BIMI标志

图形分析:在所检查的属于瑞士不同组织的所有 1103 个域中,730 个域(66.2%)拥有正确的 SPF 记录,而 351 个域(31.8%)则不幸没有任何 SPF 记录。487 个域(44.2%)拥有正确的 DMARC 记录,而其中 6 个域(0.5%)的 DMARC 记录包含错误。绝大多数域(610 个域,占 55.3%)没有发现 DMARC 记录。264 个域(占 23.9%)的 DMARC 策略设置为无,只启用了监控功能,117 个域(占 10.7%)的 DMARC 策略设置为隔离,106 个域(占 9.6%)的 DMARC 策略设置为最大执行(即 p=拒绝)。

瑞士各领域的行业分析

健身行业

瑞士健身行业采用 SPF 的情况分析

BIMI标志

瑞士健身行业 DMARC 采用情况分析

BIMI标志

瑞士健身行业采用 MTA-STS 的情况分析

BIMI标志

瑞士健身行业采用 DNSSEC 的情况分析

BIMI标志

主要研究结果

  • 所有检查过的域 (100%) 都有正确的 SPF 记录
  • 所有域的 DMARC 策略均设置为 p=无,不提供任何保护
  • 健身领域的任何域名均未实施 MTA-STS 和 DNSSEC

医疗保健部门

瑞士医疗保健行业采用 SPF 的情况分析

BIMI标志

瑞士医疗保健行业DMARC 采用情况分析

BIMI标志

瑞士医疗保健行业采用 MTA-STS 的情况分析

BIMI标志

瑞士医疗保健行业DNSSEC 采用情况分析

BIMI标志

主要研究结果

  • 34.8% 的域名没有 SPF 记录 
  • 23.8% 的域名的 DMARC 策略设置为 p=none
  • 59.7% 的域名未找到DMARC 记录
  • 瑞士医疗保健部门没有一个领域实施了 MTA-STS
  • 81.2% 的域名禁用了 DNSSEC

媒体部门

瑞士媒体行业SPF 采用情况分析

BIMI标志

瑞士媒体行业DMARC 采用情况分析

BIMI标志

瑞士媒体行业采用 MTA-STS 的情况分析

BIMI标志

瑞士媒体行业DNSSEC 采用情况分析

BIMI标志

主要研究结果

  • 48.6% 的域名没有 SPF 记录 
  • 27.0% 的域名的 DMARC 政策设置为 p=none
  • 65.0% 的域名未找到 DMARC 记录 
  • 所检查的域均未启用 MTA-STS 
  • 91.9% 的域名禁用了 DNSSEC

政府部门

瑞士政府部门采用 SPF 的情况分析

BIMI标志

瑞士政府部门DMARC 采用情况分析

BIMI标志

瑞士政府部门采用 MTA-STS 的情况分析

BIMI标志

瑞士政府部门采用 DNSSEC 的情况分析

BIMI标志

主要研究结果

  • 10% 的域名没有 SPF 记录 
  • 27.1% 的域名的 DMARC 策略设置为 p=none
  • 51.4% 的域名未找到 DMARC 记录 
  • 97.1% 的域名没有实施 MTA-STS 
  • 该领域 87.1% 的域名也禁用了 DNSSEC

电信部门

瑞士电信业采用 SPF 的情况分析

BIMI标志

瑞士电信行业DMARC 采用情况分析

BIMI标志

瑞士电信行业采用 MTA-STS 的情况分析

BIMI标志

瑞士电信行业DNSSEC 采用情况分析

BIMI标志

主要研究结果

  • 35.9% 的域名没有 SPF 记录 
  • 16.6% 的域名的 DMARC 策略设置为 p=none
  • 60.8% 的域名未找到 DMARC 记录 
  • 99.5% 的域未实施 MTA-STS
  • 80.6% 的域名禁用了 DNSSEC

招聘网站

瑞士招聘 网站采用 SPF 的情况分析

BIMI标志

瑞士招聘网站 行业DMARC 采用情况分析

BIMI标志

瑞士招聘网站 部门采用 MTA-STS 的情况分析

BIMI标志

瑞士招聘网站 行业DNSSEC 采用情况分析

BIMI标志

主要研究结果

  • 瑞士招聘网站部门审查的所有域都启用了 SPF
  • 33.3% 的域名的 DMARC 策略设置为 p=none
  • 33.3%的域名未找到 DMARC 记录 
  • 该部门的任何域均未启用 MTA-STS
  • 33.3% 的域名禁用了 DNSSEC

运输部门

瑞士交通部门采用 SPF 的情况分析

BIMI标志

瑞士交通部门DMARC 采用情况分析

BIMI标志

瑞士交通部门采用 MTA-STS 的情况分析

BIMI标志

瑞士交通部门采用 DNSSEC 的情况分析

BIMI标志

主要研究结果

  • 33.1% 的域名没有 SPF 记录 
  • 17.7% 的域名的 DMARC 策略设置为 p=none
  • 62.9% 的域名未找到 DMARC 记录 
  • 96% 的域未启用 MTA-STS 
  • 78.9% 的域名禁用了 DNSSEC

杂项业务

瑞士杂项 行业采用 SPF 的情况分析

BIMI标志

瑞士杂项 行业DMARC 采用情况分析

BIMI标志

瑞士杂项 行业采用 MTA-STS 的情况分析

BIMI标志

瑞士杂项 行业DNSSEC 采用情况分析

BIMI标志

主要研究结果

  • 18.3% 的域名没有 SPF 记录 
  • 21.1% 的域名的 DMARC 策略设置为 p=none
  • 37.3% 的域名未找到 DMARC 记录 
  • 97.2% 的域未启用 MTA-STS,0.7% 仍处于测试模式
  • 90.1% 的域名禁用了 DNSSEC

银行部门

瑞士银行业采用 SPF 的情况分析

BIMI标志

瑞士银行业DMARC 采用情况分析

BIMI标志

瑞士银行业采用 MTA-STS 的情况分析

BIMI标志

瑞士银行业采用 DNSSEC 的情况分析

BIMI标志

主要研究结果

  • 11% 的域名没有 SPF 记录 
  • 54.9% 的域名的 DMARC 策略设置为 p=none
  • 27.5% 的域名未找到 DMARC 记录 
  • 98.9% 的域未启用 MTA-STS 
  • 该领域 82.4% 的域名禁用了 DNSSEC

教育部门

瑞士教育部门采用 SPF 的情况分析

BIMI标志

瑞士教育部门DMARC 采用情况分析

BIMI标志

瑞士教育部门采用 MTA-STS 的情况分析

BIMI标志

瑞士教育部门采用 DNSSEC 的情况分析

BIMI标志

主要研究结果

  • 49.1% 的域名没有 SPF 记录 
  • 20.5% 的域名的 DMARC 策略设置为 p=none
  • 64.3% 的域名未找到 DMARC 记录 
  • 所审查的领域都没有实施 MTA-STS 
  • 在分析的域名中,有 80.4% 禁用了 DNSSEC

瑞士不同行业采用 SPF 的比较分析

BIMI标志

发现 SPF 的采用率最低 最低瑞士的 教育和媒体部门.采用率最高的是 最高的采用 SPF 的比例最高的行业是 政府、银行 招聘网站和健身行业.

瑞士不同行业采用 DMARC 的对比分析

BIMI标志

瑞士的 教育、媒体和交通 部门注意到 采用率低 采用 DMARC 的比例较低。采用率最高的是 采用率最高的采用率最高的是 瑞士健身和银行 行业的采用率最高。所有行业中都有很大比例的组织 "无 "DMARC政策.

瑞士不同行业采用 MTA-STS 的比较分析

BIMI标志

平均 89.97%在所分析的 1103 个域名中,瑞士平均有 89.97% 的域名 没有实施 MTA-STS.

瑞士不同行业采用 DNSSEC 的比较分析

瑞士 dmarc

平均 80.69%在所分析的 1103 个域名中,平均有 80.69% 的瑞士域名 禁用了 DNSSEC.

瑞士组织正在犯下的重大错误

在对瑞士不同部门和行业的 1103 个域进行审查后,我们发现了瑞士组织和政府所犯的重大错误,这些错误使它们有可能受到攻击。

  • 缺少 SPF 和 DMARC 记录

    缺少域 SPFDMARC记录的域名受到垃圾邮件、欺骗和网络钓鱼攻击、电子邮件发送问题以及域名声誉不佳的风险较高。这是因为 SPF 和 DMARC 是电子邮件验证协议,它们共同确保只有授权的发件人才能代表您的域名发送邮件,而未经授权的邮件可能会被拒绝(如果您使用的是 DMARC p=拒绝)。

    此外,谷歌和雅虎更新了 发件人要求规定所有发件人必须实施 SPF,批量发件人必须启用 DMARC。未启用 DMARC 的域名在尝试向 Google 和 Yahoo 收件箱发送电子邮件时可能会被阻止。

  • 电子邮件验证配置中的错误

    对于 SPF,常见的语法错误包括不正确的版本标记、缺少或多余的空格、不正确的机制、未识别的修饰符、超出字符/查找限制以及缺少 "all "机制。对于 DMARC,语法错误通常涉及不正确的版本标记(例如,"v=DMARC1; "是正确的)、缺失或多余的分号、不正确的策略标记等。避免这些错误可确保正确的电子邮件验证。

    同样,MTA-STA 记录或 MTA-STS 策略文件中的语法错误也会导致配置无效。因此,必须确保准确性!

  • 使用允许或不采取行动的 DMARC 政策

    DMARC "无 "策略是一种不采取行动的策略。这意味着,即使邮件未能通过 DMARC 验证,它仍然会发送到收件人的收件箱中!您的 p=none 域名不会受到网络攻击的保护。为了强化这一点,黑客组织 Kimsuky 最近利用使用许可 DMARC 政策的域名发起了一系列网络钓鱼攻击。 

    开始时将 DMARC 设置为 "无 "有助于监控电子邮件流量和活动,但长期保持这一级别是无效的。通过逐步安全地升级 DMARC 策略到 "隔离 "或 "拒绝",就能更好地防范域名欺骗。

    许多瑞士组织目前将 DMARC 政策设置为 "无",这削弱了其域的安全性。利用 DMARC 分析仪可以促进顺利过渡到更严格的执行,大大降低域名滥用的风险。

  • 缺少 MTA-STS 和 TLS-RPT 记录

    MTA-STS通过加密的 TLS 通道进行传输,防止中间人攻击等拦截技术,从而确保 SMTP 电子邮件的安全。采用 MTA-STS 可大大提高电子邮件的安全性。然而,瑞士有许多域名尚未实施 MTA-STS,因此很容易受到攻击。 SMTP TLS 报告与 MTA-STS 协同工作,深入分析 TLS 加密失败导致的电子邮件发送问题。

  • 域名 DNSSEC 已禁用

    DNSSEC是 IETF 扩展的集合,有助于对 DNS 上共享的信息进行数字签名。它通过身份验证增强 DNS 的安全性,并促进 DNS 服务器中受保护的信息交换。DNSSEC 可帮助防止 DNS 级网络攻击,如 DNS 欺骗。

    属于所有部门的大多数瑞士域名都禁用了 DNSSEC,导致其 DNS 容易被外泄和篡改。

  • SPF 超过最大查询限制

    RFC 为域名所有者规定了 SPF 处理限制,规定 SPF 实施者必须将 DNS 查询次数保持在 10 次以下。一些机制和修改器(如 "include""ptr""redirect "等)会增加查询次数。第三方电子邮件供应商也会增加复杂性。因此,超过 10 DNS 查询限制会破坏 SPF 并返回错误。

    相当一部分瑞士域名的 SPF 记录无效,这可能是由于超过 DNS 查询限制这一常见问题造成的。

  • 同一域名的多个 DMARC/SPF 记录

    确保每个域都有一条 SPF 和 DMARC 记录至关重要。同一域名拥有多个记录将导致 SPF 失效。这是瑞士企业常犯的错误,但可以纠正。因此,避免为单个域配置多个记录非常重要。

瑞士企业如何提高电子邮件安全?

瑞士 dmarc

为了改善电子邮件安全状况,瑞士的组织和政府可以采取以下措施:

  • 确保它们不超过 SPF 字符长度和查找限制

  • 实施准确无误的 SPF、DMARC 和 MTA-STS 记录

  • 每个域只发布 1 条 SPF 和 DMARC 记录

  • 启用 DMARC RUA 和 RUF 报告,以监控域和发送源

  • 有计划地逐步从 p=none 转向 p=reject DMARC 政策,以防范基于电子邮件的攻击

  • 启用 MTA-STS 和 TLS-RPT,确保 TLS 加密 SMTP 通信

  • 启用 DNSSEC,为您的 DNS 增加一层身份验证和安全性

  • 启用BIMI,将您的品牌徽标附加到经过验证的电子邮件上,提高客户信任度

在此过程中,我们能为您提供哪些帮助

对于各种规模的组织而言,确保电子邮件安全都是至关重要的。我们深知保护您的通信免受网络威胁的重要性。因此,我们提供一整套电子邮件和域安全解决方案,以满足您的组织需求。

  • 完整的电子邮件验证套件

    我们的团队在配置和管理 DMARC、DKIM 和 SPF 等关键电子邮件验证协议方面提供专业指导。我们确保您的记录不出错,并为最高级别的安全性进行优化。

  • 托管电子邮件验证服务

    我们提供各种托管电子邮件验证服务,包括 托管 DMARC、DKIM、SPF、MTA-STS、TLS-RPT 和 BIMI。我们的云原生平台简化了配置和更新,无需多次访问 DNS。

  • 智能而简单的报告

    我们智能且用户友好的报告可让您随时了解电子邮件验证状态。通过每日汇总和取证 DMARC 报告,监控您的电子邮件活动变得轻松有效。您还可以下载 PDF/CSV 格式的报告,与内部团队共享。

  • 全天候 24/7 专门支持

    我们的专家团队为您提供卓越的支持,帮助您顺利过渡到 DMARC 执行并提高合规性。我们将不遗余力地确保您能够充分利用您的协议。

  • 优化 SPF 记录

    利用我们平台上强大的SPF 宏,您只需几个简单的步骤就能优化SPF记录。我们会帮助您遵守 DNS查询和 SPF长度限制,确保您的 SPF 协议正常运行。

  • 声誉监测

    通过我们的声誉监控服务,密切关注您的域名声誉,并在问题出现之前加以解决。我们通过 200 多个 DNS blocklists 跟踪您的域名和 IP,帮助您防止电子邮件被拒收或标记。

  • 实时警报

    设置自定义警报,随时了解任何电子邮件安全问题。通过电子邮件、Slack、Discord 或 webhook 警报接收通知,确保及时采取行动降低风险。

  • 合规协助

    遵守最新的电子邮件发送要求和合规性规定,包括 Google、Yahoo 和即将实施的 PCI-DSS 规定。我们帮助您快速、轻松地满足这些要求,让您开始执行我们的 合规计划.

  • MSP 合作伙伴计划

    与 PowerDMARC 合作,根据贵组织的需求量身定制安全管理服务。我们的 DMARC MSP/MSSP就绪平台和专用服务台可确保为您的电子邮件安全工作提供全面支持。我们还为 MSP 提供全平台白色标签机会、专用培训材料等!

让我们携手提高 DMARC 的采用率,加强瑞士企业的电子邮件安全基础设施。联系我们 [email protected]了解我们如何帮助保护您的域名和业务!

安全的电子邮件 powerdmarc准备好防止品牌滥用、诈骗并获得对你的电子邮件渠道的全面了解了吗?