岗位

电子邮件认证标准。SPF、DKIM和DMARC在减少电子邮件欺骗企图和提高电子邮件交付能力方面显示出良好的前景。在区分欺骗(假)电子邮件和合法电子邮件的同时,电子邮件认证标准通过验证发件人的身份,进一步区分电子邮件是否合法。

随着越来越多的组织采用这些标准,电子邮件通信中的信任和权威的整体信息将开始重新得到确认。每一个依赖电子邮件营销、项目请求、金融交易以及公司内部或公司之间的一般信息交流的企业,都需要了解这些解决方案的基本原理,以及他们可以从中获得什么好处。

什么是电子邮件欺骗?

电子邮件欺骗是当今企业遇到的一个常见的网络安全问题。在这篇文章中,我们将了解欺骗的工作原理和打击欺骗的各种方法。我们将了解电子邮件供应商使用的三种认证标准--SPF、DKIM和DMARC,以阻止其发生。

电子邮件欺骗可以被归类为一种先进的社会工程攻击,它使用复杂的技术组合来操纵信息传递环境和利用电子邮件的合法功能。这些电子邮件通常看起来完全合法,但它们的设计目的是为了获取您的信息和/或资源。电子邮件欺骗被用于各种目的,从试图实施欺诈,到破坏安全,甚至试图获得机密商业信息。作为一种非常流行的电子邮件伪造形式,欺骗攻击的目的是欺骗收件人,使其相信电子邮件是由他们使用和可以信任的企业发出的,而不是实际的发件人。由于电子邮件越来越多地被大量发送和接收,这种恶意的电子邮件诈骗形式在近年来急剧增加。

电子邮件认证如何防止欺骗?

电子邮件认证帮助你用SPF、DKIM和DMARC等协议验证电子邮件发送源,以防止攻击者伪造域名和发起欺骗毫无戒心的用户的攻击。它提供关于电子邮件发送者的可验证信息,可用于证明其合法性,并向接收的MTA指定如何处理未通过验证的电子邮件。

因此,为了列举电子邮件认证的各种好处,我们可以确认SPF、DKIM和DMARC的帮助。

  • 保护你的域名免受网络钓鱼攻击、域名欺骗和BEC的影响
  • 提供关于电子邮件发送源的细化信息和洞察力
  • 提高域名信誉和电子邮件送达率
  • 防止你的合法邮件被标记为垃圾邮件

SPF、DKIM和DMARC如何协同工作以阻止欺骗行为?

发件人政策框架

SPF是一种电子邮件认证技术,用于防止垃圾邮件发送者以你的域名名义发送邮件。通过它,你可以发布授权的邮件服务器,让你能够指定哪些邮件服务器被允许代表你的域名发送邮件。SPF记录存储在DNS中,列出所有被授权为你的组织发送邮件的IP地址。

如果你想利用 SPF 来保证它的正常运作,你需要确保 SPF 不会对你的邮件造成破坏。这可能发生在你超过 10 个 DNS 查询限制的情况下,导致SPF 崩溃。SPF 扁平化可以帮助你保持在这个限制之下,并对你的邮件进行无缝认证。

域名密钥识别的邮件

冒充受信任的发件人可以用来欺骗你的收件人,让他们放松警惕。DKIM是一种电子邮件安全解决方案,它为来自你的客户收件箱的每一封邮件添加数字签名,使收件人能够验证它确实是由你的域名授权的,并进入你的网站的可信发件人名单。

DKIM在每封发出的电子邮件中添加一个与域名相关的独特的哈希值,使接收者能够检查声称来自特定域名的电子邮件是否确实得到该域名所有者的授权。这最终有助于发现欺骗性的企图。

基于域的信息验证、报告和一致性

简单地实施SPF和DKIM可以帮助验证发送源,但并不足以有效地阻止欺骗行为。为了阻止网络犯罪分子向你的收件人发送假邮件,你今天需要实施DMARC。DMARC帮助你调整电子邮件标题,以验证电子邮件的来源地址,暴露欺骗企图和域名的欺诈性使用。此外,它赋予域名所有者权力,向电子邮件接收服务器指定如何回应未能通过SPF和DKIM验证的电子邮件。域名所有者可以根据他们需要的DMARC执行程度,选择交付、隔离和拒绝假的电子邮件。

注意。 只有拒绝的DMARC策略才允许你停止欺骗行为。

此外,DMARC还提供了一个报告机制,为域名所有者提供关于他们的电子邮件渠道和认证结果的可见性。通过配置你的DMARC报告分析器,你可以定期监测你的电子邮件域,了解电子邮件发送源、电子邮件认证结果、欺诈性IP地址的地理位置以及电子邮件的整体性能等详细信息。它可以帮助你把你的DMARC数据解析成有组织的、可读的格式,并更快地对攻击者采取行动。

最终,SPF、DKIM和DMARC可以共同帮助你把你的组织的电子邮件安全推向新的高度,并阻止攻击者欺骗你的域名,以保障你的组织的声誉和信誉。

在我们讨论如何为你的域名设置DKIM之前,让我们先谈一谈什么是DKIM。DKIM,或称DomainKeys Identified Mail,是一个电子邮件认证协议,用于验证外发电子邮件的真实性。这个过程包括使用一个由你的邮件服务器生成的私人加密密钥,对每封外发邮件进行签名。这确保你的收件人可以验证他们收到的电子邮件是由你的邮件服务器发送的,而不是伪造的。这可以提高送达率并帮助剔除垃圾邮件。简单地说,来自支持DKIM的邮件服务器的电子邮件包含一个数字签名,或者更正确地说,一个加密签名,可以由接收者的电子邮件服务器验证。

DKIM是通过结合现有的技术,如DomainKeys(来自雅虎)和Identified Internet Mail(来自思科)创建的。它已经发展成为一种被广泛采用的认证方法,被称为DKIM,它也被IETF(互联网工程任务组)注册为RFC(征求意见稿)。所有主要的互联网服务供应商,如谷歌、微软和雅虎,都会创建一个数字签名,嵌入到发出的电子邮件的标题中,并以他们自己的政策验证收到的邮件。

在这篇博客中,我们将深入探讨DKIM中用来验证你的邮件的机制及其各种优势,并了解如何为你自己的域名设置DKIM。

如何设置DKIM以保护你的域名免受欺骗?

DKIM签名是由MTA生成的,并存储在列表域中。收到邮件后,你可以通过使用公钥来验证DKIM。DKIM作为一种认证机制,可以证明邮件的身份。这个签名证明了该邮件是由合法的服务器产生的。

这是特别需要的,因为域名欺骗攻击在最近一段时间内正在上升。

什么是DKIM签名?

为了使用DKIM,你需要决定签名中应该包括什么。一般来说,这就是电子邮件的正文和一些默认的头信息。这些元素一旦设置好了,你就无法改变,所以要谨慎选择。一旦你决定了电子邮件的哪些部分将包括在DKIM签名中,这些元素必须保持不变以维持有效的DKIM签名。

不要与DKIM选择器混淆,DKIM签名只不过是一个任意字符串值的联合体,也被称为 "哈希值"。当你的域名被配置为DKIM时,你的发送电子邮件的服务器会用只有你能访问的私钥对这个值进行加密。这个签名确保你发送的电子邮件在发送后没有被改变或篡改。为了验证DKIM签名,电子邮件接收者将运行一个DNS查询来搜索公钥。该公钥将由拥有该域名的组织提供。如果它们匹配,你的电子邮件就被归类为真实的。

如何用3个简单的步骤设置DKIM?

为了用PowerDMARC轻松实现DKIM,你所需要做的就是使用我们免费的DKIM记录生成器来生成你的DKIM记录。你的DKIM记录是一个DNS TXT记录,发布在你的域名的DNS中。接下来你可以使用我们的DKIM记录查询工具,进行免费的DKIM查询。这个免费的工具提供了一个一键式的DKIM检查,确保你的DKIM记录是没有错误和有效的。然而,为了生成该记录,你需要首先确定你的DKIM选择器。

我如何识别我的DKIM选择器?

域名所有者经常提出的一个共同问题是,我如何找到我的DKIM? 为了找到你的DKIM选择器,你所需要做的就是。

1) 向你的gmail账户发送一封测试邮件 

2) 在你的Gmail收件箱中点击邮件旁边的3个点

3) 选择 "显示原始"。 

4) 在 "原始信息 "页面,导航到页面底部的DKIM签名部分,尝试找到 "s="标签,这个标签的值就是你的DKIM选择器。 

DMARC和DKIM

你可能经常发现自己问的一个常见的问题是,实施DKIM是否足够?答案是否定的。虽然DKIM帮助你用加密签名来加密你的电子邮件,以验证你的发件人的合法性,但它并没有为电子邮件接收者提供一种方法来回应那些不能通过DKIM的邮件。这就是DMARC的作用!

基于域的信息验证、报告和一致性(DMARC)是一个电子邮件验证协议,帮助域主对未能通过SPF/DKIM验证的信息采取行动。这反过来又最大限度地减少了域名欺骗攻击和BEC的机会。DMARC与SPF和DKIM一起可以将电子邮件的送达率提高10%,并提高你的域名声誉。

今天就注册PowerDMARC,今天就可以利用你的免费DMARC分析器试用!

为什么我需要DKIM?SPF还不够吗?

远程工作特别让人们接触到越来越多的网络钓鱼和网络攻击。大多数情况下,最严重的是那些让人无法忽视的网络钓鱼攻击。无论接收和发送多少工作邮件,尽管工作场所聊天和即时通讯应用程序的兴起,对于大多数在办公室工作的人来说,电子邮件仍然主导着内部和外部的业务沟通。

然而,这并不是一个秘密,电子邮件通常是网络攻击最常见的切入点,这涉及到将恶意软件和漏洞潜入网络和凭证,并揭示敏感数据。根据SophosLabs在2020年9月的数据,大约97%被垃圾邮件陷阱抓到的恶意垃圾邮件是钓鱼邮件,猎取凭证,或任何其他信息。

其中,剩下的3%携带着混合的信息袋,这些信息带有恶意网站的链接,或者是那些有诱杀装置的附件。这些信息主要是希望安装后门、远程访问木马(RATs)、信息窃取者、漏洞,或者可能下载其他恶意文件。

无论来源是什么,对于攻击者来说,无论他们的最终目的是什么,网络钓鱼仍然是一个相当可怕的有效策略。所有组织都可以使用一些强有力的措施来验证一封邮件是否来自于它所声称的人和来源。

DKIM是如何来拯救的?

必须确保一个组织的电子邮件安全应该能够对每一封传入的电子邮件进行检查,这将违背电子邮件似乎来自的域名所设置的认证规则。域名密钥识别邮件(DKIM)是一种帮助检查入站邮件的方法,以检查是否有任何被改变。对于那些合法的电子邮件,DKIM肯定会找到一个数字签名,它将与一个特定的域名相联系。

这个域名将被附在电子邮件的标题上,并且在源域会有一个相应的加密密钥。DKIM最大的优点是它在你的邮件标题上提供了一个数字签名,这样,收到邮件的服务器就可以用密码学方法验证这些标题,认为它是有效的和原始的。

这些标题通常签署为 "发件人"、"收件人"、"主题 "和 "日期"。

你为什么需要DKIM?

网络安全领域的专家指出,DKIM在日常情况下是非常需要的,以确保官方电子邮件的安全。在DKIM中,签名是由MTA(邮件传输代理)生成的,它创建了一个独特的字符串,称为哈希值。

此外,哈希值被存储在列出的域中,在收到邮件后,接收者可以通过使用在域名系统(DNS)中注册的公钥来验证DKIM签名。在这之后,这个密钥被用来解密标题中的哈希值,并从它收到的电子邮件中重新计算哈希值。

在这之后,专家们会发现,如果这两个DKIM签名是匹配的,那么MTA就会知道这封邮件没有被修改过。此外,用户将得到进一步的确认,即该邮件确实是从列出的域名发出的。

DKIM,最初是在2004年由两个站的密钥,即域名密钥(由雅虎创建的)和识别互联网邮件(由思科创建的)合并而成,并一直发展成为一种新的被广泛采用的认证技术,使一个组织的电子邮件程序相当值得信赖,这也是具体为什么像谷歌、微软和雅虎这样的领先科技公司总是检查传入邮件的DKIM签名。

DKIM与SPF

发件人政策框架(SPF)是一种电子邮件认证形式,它定义了一个过程,以验证电子邮件,一个从授权邮件服务器发送的电子邮件,以检测伪造和防止诈骗。

虽然大多数人认为SPF和DKIM都必须在组织中使用,但DKIM肯定比其他的更有优势。原因如下。

  • 在DKIM中,域名所有者发布了一个加密密钥,该密钥在整个DNS记录中被特别格式化为TXT记录
  • 附加在邮件头的独特DKIM签名使其更加真实。
  • 使用DKIM被证明是更有成效的,因为入站邮件服务器用来检测和解密邮件签名的DKIM密钥证明了邮件是更真实的,而且没有被改变过。

总结

对于大多数商业机构来说,DKIM不仅可以保护他们的企业免受网络钓鱼和欺骗性攻击,而且DKIM还有助于保护客户关系和品牌声誉。

这一点特别重要,因为DKIM提供了一个加密密钥和一个数字签名,这可以加倍证明电子邮件没有被伪造或篡改。这些做法将帮助组织和企业更进一步提高他们的电子邮件交付能力和发送安全的电子邮件,这将有助于创造收入。大多数情况下,这取决于组织如何使用和实施这些做法。这是最重要的,也是最有意义的,因为大多数组织都想使自己免于网络攻击和威胁。

作为一个DMARC服务提供商,我们经常被问到这个问题。"如果DMARC只是使用SPF和DKIM认证,我们为什么要为DMARC费心?这不是没有必要吗?"

从表面上看,这似乎没有什么区别,但现实是非常不同的。DMARC不仅仅是SPF和DKIM技术的组合,它本身是一个全新的协议。它有几个特点,使它成为世界上最先进的电子邮件认证标准之一,并且是企业的绝对必需品。

但是,等一下。我们还没有准确回答你为什么需要DMARC。它提供了什么SPF和DKIM没有的东西?嗯,这是个相当长的答案;对于一篇博文来说,太长了。所以让我们把它分开,先谈谈SPF。如果你对它不熟悉,这里有一个简单的介绍。

什么是SPF?

SPF,即发件人政策框架,是一个电子邮件认证协议,可以保护电子邮件接收者免受欺骗性的电子邮件。它本质上是一个授权通过你(域名所有者)的渠道发送电子邮件的所有IP地址的列表。当接收服务器看到来自你的域名的邮件时,它会检查你的DNS上公布的SPF记录。如果发件人的IP在这个 "列表 "中,邮件就会被传送。如果不是,服务器会拒绝该邮件。

正如你所看到的,SPF做得很好,把很多不怀好意的电子邮件拒之门外,这些电子邮件可能会损害你的设备或破坏你组织的安全系统。但是,SPF并不像一些人可能认为的那样好。这是因为它有一些非常重要的缺点。让我们来谈谈这些问题中的一些。

SPF的局限性

SPF记录不适用于发件人地址

电子邮件有多个地址来识别它们的发件人:你通常看到的发件人地址,以及隐藏的返回路径地址,需要点击一到两次才能看到。在启用SPF的情况下,接收电子邮件的服务器会查看Return Path,并检查来自该地址的域名的SPF记录。

这里的问题是,攻击者可以利用这一点,在他们的返回路径地址中使用一个假域名,而在发件人部分使用一个合法(或看起来合法)的电子邮件地址。即使接收者要检查发件人的电子邮件ID,他们也会先看到发件人地址,而通常不会去检查返回路径。事实上,大多数人甚至不知道有返回路径地址这种东西。

通过使用这种简单的技巧,SPF可以很容易地被规避,而且它甚至使有SPF保护的域名在很大程度上受到伤害。

SPF记录有一个DNS查询限制

SPF记录包含一个由域名所有者授权发送电子邮件的所有IP地址的列表。然而,它们有一个关键的缺点。接收服务器需要检查该记录,看发件人是否被授权,为了减少服务器的负荷,SPF记录有10次DNS查询的限制。

这意味着,如果你的组织使用多个第三方供应商,通过你的域名发送电子邮件,那么 SPF 记录最终会超过这个限制。除非进行适当的优化(自己做起来并不容易),否则 SPF 记录会有一个非常有限的限制。当你超过这个限制时,SPF的实现就会被认为是无效的,你的邮件就无法通过SPF。这有可能损害你的邮件发送率。

 

当电子邮件被转发时,SPF并不总是起作用

SPF还有一个关键的故障点,会损害你的邮件送达能力。当你在你的域名上实施了SPF,而有人转发你的邮件时,转发的邮件会因为你的SPF政策而被拒绝。

这是因为转发的信息改变了电子邮件的收件人,但电子邮件发件人的地址却保持不变。这就成了一个问题,因为邮件包含了原发件人的From地址,但是接收服务器看到的是一个不同的IP。转发邮件服务器的IP地址并不包括在原发件人的域名的SPF记录中。这可能导致邮件被接收服务器拒绝。

DMARC是如何解决这些问题的?

DMARC使用SPF和DKIM的组合来验证电子邮件。一封电子邮件需要通过SPF或DKIM,才能通过DMARC并被成功传递。而且,它还增加了一个关键功能,使它比单独的SPF或DKIM有效得多。报告。

通过DMARC报告,你每天都能得到关于你的电子邮件渠道状态的反馈。这包括有关你的DMARC调整的信息,认证失败的电子邮件的数据,以及潜在的欺骗企图的细节。

如果你想知道如何做才能不被欺骗,请查看我们关于避免电子邮件欺骗的5大方法的便捷指南。