岗位

大型组织中的信息系统的用户往往对他们的系统体验有强烈的反应。需要浏览一个由无数的点解决方案组成的IT环境会让终端用户感到沮丧。因此,许多部门开发并依赖他们自己的点解决方案,以克服单一组织范围内的解决方案所带来的限制。这就标志着影子IT的起源。一个拥有影子IT资源的部门在其流程中拥有更多的敏捷性。此外,它还避免了部门之间的协调,这往往是不可能的:这是它所围绕的主要好处。然而,影子IT带来了巨大的安全风险和挑战,完全抵消了它的一个好处。这些安全风险可以通过DMARC来解决。

让我们进一步了解什么是影子信息技术,以及DMARC如何通过增强可见性来帮助对抗影子信息技术的安全风险。

什么是影子IT?

大公司通常有庞大的中央IT部门来监控网络,提供支持,并管理组织使用的服务。然而,据观察,近年来开始出现了影子IT的趋势,因为员工经常绕过中央机关,购买自己的技术来完成与工作有关的目标。在一个日益移动化的世界里,员工更愿意带着自己的设备去工作,因为他们已经有了这些设备,他们对这些设备很熟悉,或者他们没有像IT部门那样被复杂的设置所困扰。 随着基于云的消费者应用程序的普及,影子IT的采用正在增加。EMC的安全部门 RSA报告说,35%的员工为了完成他们的工作而规避公司的安全政策。

尽管据估计,如此多的属于其他部门的员工会使用不符合规定的方法来完成他们的工作,但公司必须牢记,不受控制地使用影子信息技术可能导致生产力和安全方面的损失。

组织的影子IT风险和挑战

根据云计算协会最近进行的一项调查,超过30%的企业运行着IT部门不知道的云应用程序。许多企业由于使用云应用程序而面临数据泄露和失败。这些云应用通常已经被员工使用,但没有被IT部门监控。

你永远不知道你公司的一个非IT部门何时使用影子IT来绕过组织安全,并使用基于云的应用程序和服务发送电子邮件,而这些应用程序和服务不是你的组织的授权发送源,使用你的身份。这可能为未经过滤的恶意活动、垃圾邮件和欺诈性信息的交换铺平道路,有可能损害贵公司的声誉和信誉。所谓的影子IT,如果不加以适当的监控,可能会受到数据泄露和系统故障的影响。这正是DMARC介入的地方通过验证发送源,即使它们成功绕过综合安全网关到达你的客户的电子邮件服务器,来解决安全方面的影子IT风险

DMARC如何防范影子IT带来的风险?

影子IT引发的主要问题是,在IT部门不知情的情况下,不同部门的活动以及他们通过第三方电子邮件交换服务与客户和合作伙伴等外部资源的沟通缺乏可见性。 这种未经授权使用基于云的应用程序来交换信息和通信的情况增加,导致电子邮件欺诈、冒名攻击和BEC的大量涌现。DMARC作为业内最值得推荐的电子邮件认证协议,帮助企业在影子IT活动中领先一步。

  • DMARC汇总报告提供了关于发送源和其背后的IP地址的可见性,向IT部门显示所有未经授权的发送源的确切来源。
  • 在你的组织中执行DMARC,来自非法来源的邮件在进入你的客户收件箱之前就会被接收的MTA拒绝。
  • DMARC取证报告非常详细地阐述了任何企图进行域名欺骗、冒充、BEC和其他欺诈活动的行为。
  • 这有助于结束非IT部门未经IT部门批准的影子IT做法。
  • 这也有助于获得不同部门在任何时候向你的域名发送和来自你的域名的所有电子邮件的可见性,它们包含什么,以及它们的认证状态。

今天就注册DMARC分析器,开始你的电子邮件认证之旅,以遏制你的组织的影子IT活动,并保持所有部门的完全透明。

电子邮件认证是电子邮件提供商工作的一个重要方面。电子邮件认证也被称为SPF和DKIM,检查电子邮件提供商的身份。DMARC增加了验证电子邮件的过程,通过检查电子邮件是否从合法的域名发送,并向接收服务器指定如何回应未能通过认证检查的邮件。今天我们将讨论各种情况,以回答你关于DMARC失败的疑问。

DMARC是你的电子邮件认证政策中的一项关键活动,有助于防止伪造的 "欺骗 "电子邮件通过交易性垃圾邮件过滤器。但是,它只是整个反垃圾邮件计划的一个支柱,并非所有的DMARC报告都是一样的。有些报告会告诉你邮件接收者对每封邮件采取的确切行动,而其他报告只告诉你某封邮件是否成功。了解一封邮件失败的原因与了解它是否失败同样重要。下面的文章解释了邮件未能通过DMARC认证检查的原因。这些是最常见的原因(其中一些可以很容易地解决),这些原因可能导致邮件无法通过DMARC认证检查。

邮件可能无法通过DMARC的常见原因

识别DMARC失败的原因可能很复杂。然而,我将介绍一些典型的原因,以及导致这些原因的因素,这样,作为域名所有者的你就可以更及时地纠正这个问题。

DMARC对准失败

DMARC利用域名对齐来验证你的电子邮件。这意味着DMARC通过与隐藏的Return-path头(用于SPF)和DKIM签名头(用于DKIM)中提到的域进行匹配,来验证发件人地址(在可见的头中)中提到的域是否是真实的。如果两者匹配,则电子邮件通过DMARC,否则DMARC失败。

因此,如果你的邮件不能通过DMARC,这可能是一个域名错位的案例。也就是说,SPF和DKIM的标识符都没有对准,邮件看起来是从一个未经授权的来源发出的。然而,这只是DMARC失败的原因之一。

DMARC对准模式 

你的协议排列模式在你的信息通过或不通过DMARC方面也起着巨大的作用。你可以为SPF认证选择以下排列模式。

  • 放松:这表示如果Return-path头中的域和From头中的域只是简单的组织匹配,即使这样,SPF也会通过。
  • 严格的。这表示只有当Return-path头中的域和From头中的域完全匹配时,SPF才会通过。

你可以为DKIM认证选择以下排列模式。

  • 放松:这表示如果DKIM签名中的域和发件人头中的域只是简单的组织匹配,即使这样DKIM也会通过。
  • 严格的。这表示只有当DKIM签名中的域和发件人中的域完全匹配时,才会通过DKIM。

请注意,要使电子邮件通过DMARC认证,SPF或DKIM都需要对齐。  

没有设置你的DKIM签名 

一个很常见的情况是,你的DMARC可能会失败,因为你没有为你的域名指定一个DKIM签名。在这种情况下,你的邮件交换服务商会给你的出站邮件分配一个默认的DKIM签名,而这个签名并不与你的发件人标题中的域名一致。接收的MTA无法对准这两个域,因此,你的邮件的DKIM和DMARC失败了(如果你的邮件同时对准了SPF和DKIM)。

未在您的DNS中添加发送源 

值得注意的是,当你为你的域名设置DMARC时,接收的MTA会执行DNS查询来授权你的发送源。这意味着,除非你在域名的DNS中列出所有授权的发送源,否则对于那些没有列出的发送源,你的邮件将无法通过DMARC,因为接收方无法在你的DNS中找到它们。因此,为了确保你的合法邮件总是被送达,请确保在你的DNS中列出所有授权的第三方电子邮件供应商,他们被授权代表你的域名发送邮件。

在电子邮件转发的情况下

电子邮件转发过程中,电子邮件在最终被送到接收服务器之前会经过一个中间服务器。在邮件转发过程中,由于中间服务器的IP地址与发送服务器的IP地址不一致,所以SPF检查失败,而这个新的IP地址通常不包括在原服务器的SPF记录中。相反,转发邮件通常不会影响DKIM邮件认证,除非中介服务器或转发实体对邮件内容进行了某些改动。

我们知道,在电子邮件转发过程中,SPF不可避免地会失效,如果发送源是DKIM中立的,而仅仅依靠SPF进行验证,那么在DMARC认证过程中,转发的电子邮件将被视为非法的。为了解决这个问题,你应该立即在你的组织中选择完全符合DMARC的标准,根据SPF和DKIM来调整和验证所有发出的邮件,因为要通过DMARC验证,邮件需要通过SPF或DKIM验证和调整。

你的域名被欺骗了

如果你为你的域名正确配置了DMARC、SPF和DKIM协议,你的策略处于执行状态,并且有有效的无误记录,而且问题不是上述两种情况,那么你的邮件无法通过DMARC的最可能的原因是你的域名被欺骗或伪造。这是指冒名顶替者和威胁者试图使用一个恶意的IP地址来发送看似来自你的域名的邮件。

最近的电子邮件欺诈统计得出的结论是,电子邮件欺骗案件在最近一段时间呈上升趋势,对你的组织的声誉是一个非常大的威胁。在这种情况下,如果你在拒绝策略上实施了DMARC,它就会失败,被欺骗的邮件就不会被送到收件人的收件箱。因此,域名欺骗可能是大多数情况下DMARC失败的答案。

我们建议你注册我们的免费DMARC分析器,开始你的DMARC报告和监测之旅。

  • 有了无政策,你可以通过DMARC(RUA)汇总报告来监控你的域名,并密切关注你的入站和出站邮件,这将有助于你应对任何不需要的交付问题。
  • 之后,我们会帮助你转向一个强制的政策,最终帮助你获得对域名欺骗和网络钓鱼攻击的免疫力。
  • 在我们的威胁情报引擎的帮助下,你可以记下恶意的IP地址,并直接从PowerDMARC平台上报告,以规避未来的冒名攻击
  • PowerDMARC的DMARC(RUF)取证报告帮助你获得有关你的电子邮件未能通过DMARC的案例的详细信息,以便你能找到问题的根源并加以解决。

防止域名欺骗,用PowerDMARC监控你的邮件流,今天就开始吧!

作为一个域名所有者,你总是需要注意威胁者发动域名欺骗攻击和网络钓鱼攻击,利用你的域名或品牌名称进行恶意活动。无论你使用哪种电子邮件交换解决方案,保护你的域名不被欺骗和冒充都是当务之急,以确保品牌的可信度并维持你尊敬的客户群的信任。本博客将带你了解为Office 365用户设置DMARC记录的过程。

最近,大多数企业已经转向使用有效和强大的基于云的平台和托管电子邮件交换解决方案,如Office 365。随后,网络犯罪分子也升级了他们的恶意技术,通过避开集成在平台上的安全解决方案来进行电子邮件欺诈。这就是为什么微软在其所有的电子邮件平台上扩大了对DMARC等电子邮件认证协议的支持。但是,你应该知道如何正确实施Office 365的DMARC,以充分利用其优势。

为什么是DMARC?

可能出现的第一个问题是,既然反垃圾邮件解决方案和电子邮件安全网关已经集成到Office 365套件中以阻止虚假电子邮件,为什么还需要DMARC进行认证?这是因为,虽然这些解决方案专门防止发送到你的域名的入站钓鱼邮件,但DMARC认证协议赋予域名所有者权力,向接收的电子邮件服务器指定如何响应从你的域名发送的未通过认证检查的邮件。

DMARC利用两个标准的认证做法,即SPF和DKIM来验证电子邮件的真实性。通过设置强制执行的策略,DMARC可以提供高水平的保护,防止冒充攻击和直接域名欺骗。

在使用Office 365时,你真的需要DMARC吗?

企业中普遍存在一种误解,认为拥有Office 365解决方案可以确保免受垃圾邮件和网络钓鱼攻击的安全。然而,在2020年5月,对几个使用Office 365的中东保险公司进行的一系列网络钓鱼攻击造成了重大的数据损失和空前的安全漏洞。这就是为什么简单地依赖微软的集成安全解决方案,而不实施外部努力来保护你的领域,可能是一个巨大的错误

虽然Office 365的集成安全解决方案可以提供对入站安全威胁和网络钓鱼尝试的保护,但你仍然需要确保从你自己的域名发送的出站信息在落入你的客户和合作伙伴的收件箱之前得到有效验证。这就是DMARC的作用。

利用DMARC确保Office 365免受欺骗和冒充的影响

Office 365套件附带的安全解决方案作为垃圾邮件过滤器,不能保证你的域名不被冒充,这就突出了对DMARC的需求。DMARC作为DNS TXT记录存在于你的域名的DNS中。为了给你的域名配置DMARC,你需要。

第1步为你的域名确定有效的电子邮件来源
第2步。为你的域名设置SPF
第3步:为你的域名设置DKIM
第4步。 在你的域名的DNS中发布一个DMARC TXT记录

你可以使用PowerDMARC的免费DMARC记录生成器,用正确的语法即时生成一条记录,发布在你的DNS中,并为你的域名配置DMARC。然而,请注意,只有拒绝的执行策略才能有效地帮助你缓解冒名攻击和域名滥用。

但是,发布一个DMARC记录就够了吗?答案是否定的。这就把我们带到了最后一个环节,即DMARC报告和监控。

使用微软Office365时需要PowerDMARC的5个原因

微软Office 365为用户提供了大量基于云的服务和解决方案,以及集成的反垃圾邮件过滤器。然而,尽管有各种优势,但从安全角度来看,这些是你在使用它时可能面临的缺点。

  • 没有验证从你的域名发出的外发信息的解决方案
  • 没有关于认证检查失败的电子邮件的报告机制
  • 对你的电子邮件生态系统没有可见性
  • 没有仪表盘来管理和监控你的入站和出站邮件流
  • 没有机制来确保你的SPF记录总是在10个查询限制以下

使用PowerDMARC的DMARC报告和监控

PowerDMARC与Office 365无缝集成,为域名所有者提供先进的认证解决方案,防止复杂的社会工程攻击,如BEC和直接域名欺骗。当你与PowerDMARC签约时,你将签署一个多租户SaaS平台,它不仅集合了所有电子邮件认证的最佳实践(SPF、DKIM、DMARC、MTA-STS、TLS-RPT和BIMI),而且还提供一个广泛和深入的DMARC报告机制,为你的电子邮件生态系统提供完整的可视性。PowerDMARC仪表板上的DMARC报告以两种格式生成。

  • 汇总报告
  • 法证报告

我们通过解决各种行业问题,努力为您提供更好的认证体验。我们确保对您的DMARC取证报告进行加密,并以7种不同的视图显示汇总报告,以增强用户体验和清晰度。PowerDMARC帮助您监控电子邮件流和认证失败,并将来自世界各地的恶意IP地址列入黑名单。我们的DMARC分析工具可以帮助你为你的域名正确配置DMARC,并在短时间内从监控转变为执行!

 

好吧,你刚刚经历了为你的域名设置DMARC的整个过程。你发布了你的SPF、DKIM和DMARC记录,你分析了所有的报告,解决了交付问题,把你的执行级别从p=none提高到了quarantine,最后是拒绝。你正式成为100%的DMARC执行者。祝贺你现在只有你的邮件到达人们的收件箱。如果你能帮助,没有人会冒充你的品牌。

就这样了,对吗?你的域名安全了,我们都可以高兴地回家了,因为知道你的电子邮件将是安全的。对不对......?

嗯,不完全是。DMARC有点像运动和节食:你做了一段时间,减掉了一堆体重,有了一些变态的腹肌,一切都很顺利。但是,如果你停下来,所有这些你刚刚取得的成果都会慢慢减少,而且欺骗的风险又开始悄悄出现了。但不要吓坏了!就像饮食和运动一样,健身(即达到100%的执行力)是最难的部分。一旦你做到了这一点,你只需要把它保持在同一水平上,这就容易多了。

好了,类比够多了,让我们进入正题。如果你刚刚在你的域名上实施并执行了DMARC,下一步是什么?你如何继续保持你的域名和电子邮件渠道的安全?

实现了DMARC的执行后该怎么做?

电子邮件安全并不是在你达到100%的执行率后就简单地结束了,其首要原因是攻击模式、网络钓鱼骗局和发送源总是在不断变化。电子邮件诈骗中的一个流行趋势往往甚至不会持续超过几个月。想想2018年的WannaCry勒索软件攻击,或者甚至像2020年初的WHO冠状病毒钓鱼诈骗那样的最新情况。你现在在野外没有看到很多这样的情况,对吗?

网络犯罪分子在不断改变他们的策略,恶意发送源也总是在不断变化和繁殖,而你能做的并不多。你能做的是为你的品牌准备好任何可能的网络攻击。做到这一点的方法是通过DMARC监测和可视性。

即使在你被强制执行后,你仍然需要对你的电子邮件渠道进行全面控制。这意味着你必须知道哪些IP地址在通过你的域名发送电子邮件,你在哪里遇到了电子邮件交付或认证问题,并识别和应对任何潜在的欺骗企图或代表你进行网络钓鱼活动的恶意服务器。你对你的域名监控得越多,你就越能了解它。因此,你将能够更好地保护你的电子邮件、你的数据和你的品牌。

为什么DMARC监测如此重要

识别新的邮件来源
当你监控你的电子邮件渠道时,你不只是要检查是否一切正常。你还要寻找从你的域名发送电子邮件的新IP。你的组织可能每隔一段时间就会更换其合作伙伴或第三方供应商,这意味着他们的IP可能会被授权代表你发送电子邮件。那个新的发送源是你的新供应商之一,还是有人试图冒充你的品牌?如果你定期分析你的报告,你会有一个明确的答案。

PowerDMARC让你根据你的域名的每个发送源查看你的DMARC报告。

了解域名滥用的新趋势
正如我前面提到的,攻击者总是在寻找新的方法来冒充品牌,欺骗人们给他们提供数据和金钱。但是,如果你只是每隔几个月看一次你的DMARC报告,你就不会注意到任何欺骗的蛛丝马迹。除非你定期监测你的域名中的电子邮件流量,否则你不会注意到可疑活动的趋势或模式,当你受到欺骗性攻击时,你就会像被攻击的人一样毫无所知。相信我,这对你的品牌来说绝不是一件好事。

查找并将恶意IP列入黑名单
仅仅找到究竟是谁在试图滥用你的域名是不够的,你需要尽快关闭他们。当你知道你的发送源时,更容易确定一个违规的IP,一旦你找到它,你可以向他们的主机供应商报告该IP,并将其列入黑名单。这样,你就可以永久地消除这个特定的威胁,避免欺骗性攻击。

通过Power Take Down,你可以找到一个恶意IP的位置,他们的滥用历史,并让他们下架。

控制送达率
即使你小心翼翼地将DMARC的执行率提高到100%,而不影响你的邮件送达率,但持续确保高送达率也很重要。毕竟,如果没有一封电子邮件到达目的地,那么所有的电子邮件安全又有什么用呢?通过监测你的邮件报告,你可以看到哪些邮件通过了,哪些没有通过,哪些没有与DMARC保持一致,并发现问题的根源。如果没有监控,就不可能知道你的邮件是否被送达,更不用说解决这个问题了。

PowerDMARC让你可以根据他们的DMARC状态来查看报告,这样你就可以立即确定哪些邮件没有通过。

 

我们的尖端平台提供24×7的域监控,甚至给你一个专门的安全响应团队,可以为你管理安全漏洞。了解更多关于PowerDMARC扩展支持。

乍一看,微软的Office 365套件似乎很......甜蜜,对吗?你不仅可以得到一大堆生产力应用程序、云存储和电子邮件服务,而且你还可以通过微软自己的电子邮件安全解决方案免受垃圾邮件的影响。难怪它是目前最广泛采用的企业电子邮件解决方案,拥有54%的市场份额和超过1.55亿活跃用户。你可能也是他们中的一员。

但是,如果一家网络安全公司写了一篇关于Office 365的博客,那就一定会有更多的东西,对吗?嗯,是的。有的。因此,让我们谈谈Office 365的安全选项到底有什么问题,以及为什么你真的需要了解这个问题。

微软Office 365的安全性有哪些优势

在我们谈论它的问题之前,首先让我们迅速把这个问题说清楚。微软Office 365高级威胁保护(好大的口气)在基本电子邮件安全方面相当有效。它将能够阻止垃圾邮件、恶意软件和病毒进入你的收件箱。

如果你只是在寻找一些基本的反垃圾邮件保护,这已经很好了。但这就是问题所在:像这样的低级别的垃圾邮件通常不构成最大的威胁。大多数电子邮件供应商通过阻止来自可疑来源的电子邮件提供某种形式的基本保护。真正的威胁--那种可以使你的组织失去金钱、数据和品牌完整性的威胁--是精心设计的电子邮件,让你意识不到它们是假的。

这时你就进入了严重的网络犯罪领域。

微软Office 365无法保护你的东西

微软Office 365的安全解决方案像反垃圾邮件过滤器一样工作,使用算法来确定一封电子邮件是否与其他垃圾邮件或网络钓鱼邮件相似。但是,当你遇到使用社交工程的更复杂的攻击,或针对特定员工或员工群体的攻击时,会发生什么?

这些不是你的普通的垃圾邮件,而是一次性发送给成千上万的人。商业电子邮件破坏(BEC)供应商电子邮件破坏(VEC)是攻击者精心选择目标的例子,通过监视他们的电子邮件来了解他们组织的更多信息,并在一个战略点上,通过电子邮件发送假发票或请求,要求转移资金或分享数据。

这种策略,广义上称为鱼叉式网络钓鱼,使电子邮件看起来是来自你自己组织内的某个人,或一个值得信赖的合作伙伴或供应商。即使在仔细检查的情况下,这些电子邮件也可能看起来非常逼真,而且几乎不可能被发现,即使是经验丰富的网络安全专家。

如果一个攻击者假装是你的老板或你的组织的首席执行官,并向你发送电子邮件,你不太可能检查该电子邮件看起来是否真实。这正是BEC和CEO欺诈的危险之处。Office 365将无法保护你免受这种攻击,因为这些表面上是来自一个真实的人,而且算法不会认为它是一封垃圾邮件。

如何保护Office 365免受BEC和 "鱼叉式 "网络钓鱼的侵害?

基于域的信息验证、报告和一致性,或称DMARC,是一个电子邮件安全协议,它使用域名所有者提供的信息来保护接收者免受欺骗的电子邮件。当你在你的组织的域名上实施DMARC时,接收服务器将根据你发布的DNS记录检查每一封来自你的域名的电子邮件。

但是,如果Office 365 ATP不能防止有针对性的欺骗攻击,那么DMARC是如何做到的?

嗯,DMARC的功能与反垃圾邮件过滤器非常不同。垃圾邮件过滤器检查进入你收件箱的邮件,而DMARC是认证由你的组织的域名发送的外发邮件。这意味着,如果有人试图冒充你的组织并向你发送钓鱼邮件,只要你有DMARC认证,这些邮件就会被扔进垃圾邮件文件夹或完全被阻止。

而且,这也意味着,如果网络犯罪分子利用你信任的品牌来发送钓鱼邮件,甚至你的客户也不必与他们打交道。DMARC实际上也有助于保护你的业务。

但还有更多。Office 365实际上并没有让你的组织对网络钓鱼攻击有任何了解,它只是阻止了垃圾邮件。但是,如果你想适当地保护你的域名,你需要确切地知道谁或什么在试图冒充你的品牌,并立即采取行动。DMARC提供了这些数据,包括滥用发送源的IP地址,以及他们发送的邮件数量。PowerDMARC通过在你的仪表板上进行高级的DMARC分析,将这一点提升到了一个新的水平。

了解更多关于PowerDMARC可以为你的品牌做什么。