岗位

像网络钓鱼和欺骗这样的冒充攻击会极大地影响你的域名的健康,并导致认证失败、电子邮件泄露,以及更多!这就是为什么你需要从今天开始加强对它们的防御。这就是为什么你需要提高对它们的防御能力,从今天开始。你可以部署各种方法来确保你的电子邮件得到充分的保护,以防止网络钓鱼和欺骗性攻击。让我们来讨论一下它们是什么!

防止冒名顶替攻击的电子邮件认证协议

  1. 发件人政策框架 (SPF)
    开始的一个好方法是部署SPF。发件人政策框架是基于你的域名的DNS,它可以证明用于发送电子邮件的IP有权利这样做。它可以防止对你的域名进行欺诈性使用,并防止第三方冒充你。SPF协议对网络钓鱼和欺骗性攻击特别有效,因为它们经常利用这种错误。如果一个邮件服务器声明它是由一个IP地址可以归属于你的域名的邮件服务器发送的,那么在一般情况下,操作系统会在发送邮件之前进行两次检查。这样一来,不尊重SPF的邮件服务器就会被成功忽略。简单地说,"SPF协议 "允许一个域名的所有者(例如[email protected])向其DNS权威机构发送一个授权。

  2. 域名密钥识别邮件(DKIM)
    DomainKeys Identified Mail,或称DKIM,是一个电子邮件认证系统,使用数字签名来验证邮件的来源和内容。它是一套加密技术,用于验证电子邮件的来源和内容,以减少垃圾邮件、网络钓鱼和其他形式的恶意电子邮件。具体来说,它使用共享的私人加密密钥来验证特定信息的发件人(这里的关键是只有预定的收件人应该拥有这个私人密钥),确保电子邮件不能被 "欺骗",或被冒名顶替。它还允许授权收件人检测在邮件发送后对其进行的任何修改;如果负责验证这些签名的组织检测到邮件中的数据损坏,他们可以简单地将其作为虚假邮件拒绝,并通知其发件人。

  3. 基于域的消息认证、报告和一致性(DMARC)
    DMARC的存在有几个原因。首先,DMARC为你提供一种方法,告诉邮件服务器哪些邮件是合法的,哪些是不合法的。第二,DMARC为你提供报告,说明你的域名在多大程度上受到了攻击的保护。第三,DMARC有助于保护你的品牌不与可能损害你的声誉的信息相联系。DMARC提供了更多的保护,以防止网络钓鱼和欺骗,验证电子邮件是否真的来自它所声称的域名。DMARC还使你的组织能够要求提供关于你收到的邮件的报告。这些报告可以帮助你调查可能的安全问题,并识别可能的威胁,如恶意软件感染或针对你的组织的网络钓鱼攻击。

PowerDMARC如何帮助你保护你的域名免受网络钓鱼和欺骗攻击?

PowerDMARC的电子邮件安全认证套件不仅可以帮助你实现SPF、DKIM和DMARC协议的无缝对接,还可以提供更多的额外好处,包括。

  • SPF扁平化以确保你的SPF记录保持有效,并且不超过SPF的10次查询的硬限制。
  • BIMI为您的商业邮件提供视觉识别。BIMI确保到达你的客户的电子邮件包含你的品牌标志,甚至在他们打开邮件之前就能被他们发现。
  • MTA-STS在传输过程中对你的邮件进行加密

要享受 免费的DMARC,你只需要注册并创建一个PowerDMARC账户,无需任何额外费用。与我们一起开始您的电子邮件认证之旅,以获得更安全的电子邮件体验!

电子邮件认证是电子邮件提供商工作的一个重要方面。电子邮件认证也被称为SPF和DKIM,检查电子邮件提供商的身份。DMARC增加了验证电子邮件的过程,通过检查电子邮件是否从合法的域名发送,并向接收服务器指定如何回应未能通过认证检查的邮件。今天我们将讨论各种情况,以回答你关于DMARC失败的疑问。

DMARC是你的电子邮件认证政策中的一项关键活动,有助于防止伪造的 "欺骗 "电子邮件通过交易性垃圾邮件过滤器。但是,它只是整个反垃圾邮件计划的一个支柱,并非所有的DMARC报告都是一样的。有些报告会告诉你邮件接收者对每封邮件采取的确切行动,而其他报告只告诉你某封邮件是否成功。了解一封邮件失败的原因与了解它是否失败同样重要。下面的文章解释了邮件未能通过DMARC认证检查的原因。这些是最常见的原因(其中一些可以很容易地解决),这些原因可能导致邮件无法通过DMARC认证检查。

邮件可能无法通过DMARC的常见原因

识别DMARC失败的原因可能很复杂。然而,我将介绍一些典型的原因,以及导致这些原因的因素,这样,作为域名所有者的你就可以更及时地纠正这个问题。

DMARC对准失败

DMARC利用域名对齐来验证你的电子邮件。这意味着DMARC通过与隐藏的Return-path头(用于SPF)和DKIM签名头(用于DKIM)中提到的域进行匹配,来验证发件人地址(在可见的头中)中提到的域是否是真实的。如果两者匹配,则电子邮件通过DMARC,否则DMARC失败。

因此,如果你的邮件不能通过DMARC,这可能是一个域名错位的案例。也就是说,SPF和DKIM的标识符都没有对准,邮件看起来是从一个未经授权的来源发出的。然而,这只是DMARC失败的原因之一。

DMARC对准模式 

你的协议排列模式在你的信息通过或不通过DMARC方面也起着巨大的作用。你可以为SPF认证选择以下排列模式。

  • 放松:这表示如果Return-path头中的域和From头中的域只是简单的组织匹配,即使这样,SPF也会通过。
  • 严格的。这表示只有当Return-path头中的域和From头中的域完全匹配时,SPF才会通过。

你可以为DKIM认证选择以下排列模式。

  • 放松:这表示如果DKIM签名中的域和发件人头中的域只是简单的组织匹配,即使这样DKIM也会通过。
  • 严格的。这表示只有当DKIM签名中的域和发件人中的域完全匹配时,才会通过DKIM。

请注意,要使电子邮件通过DMARC认证,SPF或DKIM都需要对齐。  

没有设置你的DKIM签名 

一个很常见的情况是,你的DMARC可能会失败,因为你没有为你的域名指定一个DKIM签名。在这种情况下,你的邮件交换服务商会给你的出站邮件分配一个默认的DKIM签名,而这个签名并不与你的发件人标题中的域名一致。接收的MTA无法对准这两个域,因此,你的邮件的DKIM和DMARC失败了(如果你的邮件同时对准了SPF和DKIM)。

未在您的DNS中添加发送源 

值得注意的是,当你为你的域名设置DMARC时,接收的MTA会执行DNS查询来授权你的发送源。这意味着,除非你在域名的DNS中列出所有授权的发送源,否则对于那些没有列出的发送源,你的邮件将无法通过DMARC,因为接收方无法在你的DNS中找到它们。因此,为了确保你的合法邮件总是被送达,请确保在你的DNS中列出所有授权的第三方电子邮件供应商,他们被授权代表你的域名发送邮件。

在电子邮件转发的情况下

电子邮件转发过程中,电子邮件在最终被送到接收服务器之前会经过一个中间服务器。在邮件转发过程中,由于中间服务器的IP地址与发送服务器的IP地址不一致,所以SPF检查失败,而这个新的IP地址通常不包括在原服务器的SPF记录中。相反,转发邮件通常不会影响DKIM邮件认证,除非中介服务器或转发实体对邮件内容进行了某些改动。

我们知道,在电子邮件转发过程中,SPF不可避免地会失效,如果发送源是DKIM中立的,而仅仅依靠SPF进行验证,那么在DMARC认证过程中,转发的电子邮件将被视为非法的。为了解决这个问题,你应该立即在你的组织中选择完全符合DMARC的标准,根据SPF和DKIM来调整和验证所有发出的邮件,因为要通过DMARC验证,邮件需要通过SPF或DKIM验证和调整。

你的域名被欺骗了

如果你为你的域名正确配置了DMARC、SPF和DKIM协议,你的策略处于执行状态,并且有有效的无误记录,而且问题不是上述两种情况,那么你的邮件无法通过DMARC的最可能的原因是你的域名被欺骗或伪造。这是指冒名顶替者和威胁者试图使用一个恶意的IP地址来发送看似来自你的域名的邮件。

最近的电子邮件欺诈统计得出的结论是,电子邮件欺骗案件在最近一段时间呈上升趋势,对你的组织的声誉是一个非常大的威胁。在这种情况下,如果你在拒绝策略上实施了DMARC,它就会失败,被欺骗的邮件就不会被送到收件人的收件箱。因此,域名欺骗可能是大多数情况下DMARC失败的答案。

我们建议你注册我们的免费DMARC分析器,开始你的DMARC报告和监测之旅。

  • 有了无政策,你可以通过DMARC(RUA)汇总报告来监控你的域名,并密切关注你的入站和出站邮件,这将有助于你应对任何不需要的交付问题。
  • 之后,我们会帮助你转向一个强制的政策,最终帮助你获得对域名欺骗和网络钓鱼攻击的免疫力。
  • 在我们的威胁情报引擎的帮助下,你可以记下恶意的IP地址,并直接从PowerDMARC平台上报告,以规避未来的冒名攻击
  • PowerDMARC的DMARC(RUF)取证报告帮助你获得有关你的电子邮件未能通过DMARC的案例的详细信息,以便你能找到问题的根源并加以解决。

防止域名欺骗,用PowerDMARC监控你的邮件流,今天就开始吧!

好吧,你刚刚经历了为你的域名设置DMARC的整个过程。你发布了你的SPF、DKIM和DMARC记录,你分析了所有的报告,解决了交付问题,把你的执行级别从p=none提高到了quarantine,最后是拒绝。你正式成为100%的DMARC执行者。祝贺你现在只有你的邮件到达人们的收件箱。如果你能帮助,没有人会冒充你的品牌。

就这样了,对吗?你的域名安全了,我们都可以高兴地回家了,因为知道你的电子邮件将是安全的。对不对......?

嗯,不完全是。DMARC有点像运动和节食:你做了一段时间,减掉了一堆体重,有了一些变态的腹肌,一切都很顺利。但是,如果你停下来,所有这些你刚刚取得的成果都会慢慢减少,而且欺骗的风险又开始悄悄出现了。但不要吓坏了!就像饮食和运动一样,健身(即达到100%的执行力)是最难的部分。一旦你做到了这一点,你只需要把它保持在同一水平上,这就容易多了。

好了,类比够多了,让我们进入正题。如果你刚刚在你的域名上实施并执行了DMARC,下一步是什么?你如何继续保持你的域名和电子邮件渠道的安全?

实现了DMARC的执行后该怎么做?

电子邮件安全并不是在你达到100%的执行率后就简单地结束了,其首要原因是攻击模式、网络钓鱼骗局和发送源总是在不断变化。电子邮件诈骗中的一个流行趋势往往甚至不会持续超过几个月。想想2018年的WannaCry勒索软件攻击,或者甚至像2020年初的WHO冠状病毒钓鱼诈骗那样的最新情况。你现在在野外没有看到很多这样的情况,对吗?

网络犯罪分子在不断改变他们的策略,恶意发送源也总是在不断变化和繁殖,而你能做的并不多。你能做的是为你的品牌准备好任何可能的网络攻击。做到这一点的方法是通过DMARC监测和可视性。

即使在你被强制执行后,你仍然需要对你的电子邮件渠道进行全面控制。这意味着你必须知道哪些IP地址在通过你的域名发送电子邮件,你在哪里遇到了电子邮件交付或认证问题,并识别和应对任何潜在的欺骗企图或代表你进行网络钓鱼活动的恶意服务器。你对你的域名监控得越多,你就越能了解它。因此,你将能够更好地保护你的电子邮件、你的数据和你的品牌。

为什么DMARC监测如此重要

识别新的邮件来源
当你监控你的电子邮件渠道时,你不只是要检查是否一切正常。你还要寻找从你的域名发送电子邮件的新IP。你的组织可能每隔一段时间就会更换其合作伙伴或第三方供应商,这意味着他们的IP可能会被授权代表你发送电子邮件。那个新的发送源是你的新供应商之一,还是有人试图冒充你的品牌?如果你定期分析你的报告,你会有一个明确的答案。

PowerDMARC让你根据你的域名的每个发送源查看你的DMARC报告。

了解域名滥用的新趋势
正如我前面提到的,攻击者总是在寻找新的方法来冒充品牌,欺骗人们给他们提供数据和金钱。但是,如果你只是每隔几个月看一次你的DMARC报告,你就不会注意到任何欺骗的蛛丝马迹。除非你定期监测你的域名中的电子邮件流量,否则你不会注意到可疑活动的趋势或模式,当你受到欺骗性攻击时,你就会像被攻击的人一样毫无所知。相信我,这对你的品牌来说绝不是一件好事。

查找并将恶意IP列入黑名单
仅仅找到究竟是谁在试图滥用你的域名是不够的,你需要尽快关闭他们。当你知道你的发送源时,更容易确定一个违规的IP,一旦你找到它,你可以向他们的主机供应商报告该IP,并将其列入黑名单。这样,你就可以永久地消除这个特定的威胁,避免欺骗性攻击。

通过Power Take Down,你可以找到一个恶意IP的位置,他们的滥用历史,并让他们下架。

控制送达率
即使你小心翼翼地将DMARC的执行率提高到100%,而不影响你的邮件送达率,但持续确保高送达率也很重要。毕竟,如果没有一封电子邮件到达目的地,那么所有的电子邮件安全又有什么用呢?通过监测你的邮件报告,你可以看到哪些邮件通过了,哪些没有通过,哪些没有与DMARC保持一致,并发现问题的根源。如果没有监控,就不可能知道你的邮件是否被送达,更不用说解决这个问题了。

PowerDMARC让你可以根据他们的DMARC状态来查看报告,这样你就可以立即确定哪些邮件没有通过。

 

我们的尖端平台提供24×7的域监控,甚至给你一个专门的安全响应团队,可以为你管理安全漏洞。了解更多关于PowerDMARC扩展支持。

乍一看,微软的Office 365套件似乎很......甜蜜,对吗?你不仅可以得到一大堆生产力应用程序、云存储和电子邮件服务,而且你还可以通过微软自己的电子邮件安全解决方案免受垃圾邮件的影响。难怪它是目前最广泛采用的企业电子邮件解决方案,拥有54%的市场份额和超过1.55亿活跃用户。你可能也是他们中的一员。

但是,如果一家网络安全公司写了一篇关于Office 365的博客,那就一定会有更多的东西,对吗?嗯,是的。有的。因此,让我们谈谈Office 365的安全选项到底有什么问题,以及为什么你真的需要了解这个问题。

微软Office 365的安全性有哪些优势

在我们谈论它的问题之前,首先让我们迅速把这个问题说清楚。微软Office 365高级威胁保护(好大的口气)在基本电子邮件安全方面相当有效。它将能够阻止垃圾邮件、恶意软件和病毒进入你的收件箱。

如果你只是在寻找一些基本的反垃圾邮件保护,这已经很好了。但这就是问题所在:像这样的低级别的垃圾邮件通常不构成最大的威胁。大多数电子邮件供应商通过阻止来自可疑来源的电子邮件提供某种形式的基本保护。真正的威胁--那种可以使你的组织失去金钱、数据和品牌完整性的威胁--是精心设计的电子邮件,让你意识不到它们是假的。

这时你就进入了严重的网络犯罪领域。

微软Office 365无法保护你的东西

微软Office 365的安全解决方案像反垃圾邮件过滤器一样工作,使用算法来确定一封电子邮件是否与其他垃圾邮件或网络钓鱼邮件相似。但是,当你遇到使用社交工程的更复杂的攻击,或针对特定员工或员工群体的攻击时,会发生什么?

这些不是你的普通的垃圾邮件,而是一次性发送给成千上万的人。商业电子邮件破坏(BEC)供应商电子邮件破坏(VEC)是攻击者精心选择目标的例子,通过监视他们的电子邮件来了解他们组织的更多信息,并在一个战略点上,通过电子邮件发送假发票或请求,要求转移资金或分享数据。

这种策略,广义上称为鱼叉式网络钓鱼,使电子邮件看起来是来自你自己组织内的某个人,或一个值得信赖的合作伙伴或供应商。即使在仔细检查的情况下,这些电子邮件也可能看起来非常逼真,而且几乎不可能被发现,即使是经验丰富的网络安全专家。

如果一个攻击者假装是你的老板或你的组织的首席执行官,并向你发送电子邮件,你不太可能检查该电子邮件看起来是否真实。这正是BEC和CEO欺诈的危险之处。Office 365将无法保护你免受这种攻击,因为这些表面上是来自一个真实的人,而且算法不会认为它是一封垃圾邮件。

如何保护Office 365免受BEC和 "鱼叉式 "网络钓鱼的侵害?

基于域的信息验证、报告和一致性,或称DMARC,是一个电子邮件安全协议,它使用域名所有者提供的信息来保护接收者免受欺骗的电子邮件。当你在你的组织的域名上实施DMARC时,接收服务器将根据你发布的DNS记录检查每一封来自你的域名的电子邮件。

但是,如果Office 365 ATP不能防止有针对性的欺骗攻击,那么DMARC是如何做到的?

嗯,DMARC的功能与反垃圾邮件过滤器非常不同。垃圾邮件过滤器检查进入你收件箱的邮件,而DMARC是认证由你的组织的域名发送的外发邮件。这意味着,如果有人试图冒充你的组织并向你发送钓鱼邮件,只要你有DMARC认证,这些邮件就会被扔进垃圾邮件文件夹或完全被阻止。

而且,这也意味着,如果网络犯罪分子利用你信任的品牌来发送钓鱼邮件,甚至你的客户也不必与他们打交道。DMARC实际上也有助于保护你的业务。

但还有更多。Office 365实际上并没有让你的组织对网络钓鱼攻击有任何了解,它只是阻止了垃圾邮件。但是,如果你想适当地保护你的域名,你需要确切地知道谁或什么在试图冒充你的品牌,并立即采取行动。DMARC提供了这些数据,包括滥用发送源的IP地址,以及他们发送的邮件数量。PowerDMARC通过在你的仪表板上进行高级的DMARC分析,将这一点提升到了一个新的水平。

了解更多关于PowerDMARC可以为你的品牌做什么。

 

当世界各地的组织设立慈善基金来对抗Covid-19时,一场不同的战斗正在互联网的电子渠道中展开。在冠状病毒大流行期间,世界各地数以千计的人已经成为电子邮件欺骗和Covid-19电子邮件诈骗的受害者。看到网络犯罪分子在他们的电子邮件中使用这些组织的真实域名以显示合法,已经变得越来越普遍。

在最近备受瞩目的冠状病毒骗局中,一封据称来自世界卫生组织(WHO)的电子邮件被发送到世界各地,要求向团结响应基金捐款。发件人的地址是 "[email protected]",其中 "who.int "是世界卫生组织的真实域名。这封电子邮件被证实是一个网络钓鱼骗局,但乍一看,所有迹象都表明发件人是真的。毕竟,该域名属于真正的世卫组织。

捐献响应基金

然而,这只是越来越多的网络钓鱼骗局中的一个,这些骗局利用与冠状病毒有关的电子邮件来窃取人们的金钱和敏感信息。但是,如果发件人使用的是真实的域名,我们如何区分合法的电子邮件和虚假的电子邮件?为什么网络犯罪分子能够如此轻易地对如此大的组织采用电子邮件域名欺骗?

而像世卫组织这样的实体如何发现有人利用其域名发起网络钓鱼攻击?

电子邮件是世界上使用最广泛的商业通信工具,但它是一个完全开放的协议。就其本身而言,几乎没有什么可以监控谁发送了什么电子邮件,以及从哪个电子邮件地址发送。当攻击者把自己伪装成一个值得信赖的品牌或公众人物,要求人们把钱和个人信息交给他们时,这就成为一个巨大的问题。事实上,近年来90%以上的公司数据泄露事件都涉及到这种或那种形式的电子邮件钓鱼。而电子邮件域名欺骗是其中的主要原因之一。

为了保证电子邮件的安全,开发了诸如发件人政策框架(SPF)域名密钥识别邮件(DKIM)等协议。SPF将发件人的IP地址与批准的IP地址列表进行交叉检查,而DKIM使用加密的数字签名来保护电子邮件。虽然这些都是单独有效的,但它们都有自己的一套缺陷。DMARC于2012年开发,是一个同时使用SPF和DKIM认证来保护电子邮件的协议,并有一个机制,每当电子邮件未能通过DMARC验证时,就会向域名所有者发送一份报告。

这意味着只要有未经授权的第三方发送的电子邮件,域名所有者就会得到通知。最重要的是,他们可以告诉电子邮件接收者如何处理未经认证的邮件:让它进入收件箱,隔离它,或直接拒绝它。从理论上讲,这应该可以阻止不良邮件充斥人们的收件箱,并减少我们面临的网络钓鱼攻击的数量。那么,为什么它没有呢?

DMARC能否防止域名欺骗和Covid-19电子邮件诈骗?

电子邮件认证要求发件人域名向DNS发布其SPF、DKIM和DMARC记录。根据一项研究,2018年只有44.9%的Alexa前100万个域名发布了有效的SPF记录,而只有5.1%的域名有有效的DMARC记录。而这是尽管没有DMARC认证的域名遭受欺骗的程度是有安全保障的域名的近四倍。整个商业领域缺乏认真的DMARC实施,而且这些年来也没有得到什么改善。甚至像联合国儿童基金会这样的组织也还没有在他们的域名中实施DMARC,而白宫和美国国防部的DMARC政策都是p = none,这意味着他们没有被执行。

弗吉尼亚理工大学的专家进行的一项调查揭示了尚未使用DMARC认证的大公司和企业所提到的一些最严重的问题。

  1. 部署困难。严格执行安全协议往往意味着在大型机构中需要高度的协调,而他们往往没有这样的资源。除此之外,许多机构对他们的DNS没有太多的控制,所以发布DMARC记录变得更加具有挑战性。
  2. 利益不超过成本。DMARC认证通常对电子邮件的收件人有直接的好处,而不是对域名所有者。由于缺乏采用新协议的严肃动机,许多公司没有将DMARC纳入其系统。
  3. 破坏现有系统的风险。DMARC的相对新颖性使得它更容易被不当实施,这就带来了合法邮件无法通过的真实风险。依靠电子邮件流通的企业无法承受这种情况的发生,因此根本不屑于采用DMARC。

认识到我们为什么需要DMARC

虽然企业在调查中表达的担忧有明显的道理,但这并不意味着DMARC的实施对电子邮件安全的重要性有所降低。企业在没有DMARC认证域名的情况下继续运作的时间越长,我们所有人就越容易暴露在电子邮件钓鱼攻击的真实危险中。正如冠状病毒邮件欺骗骗局告诉我们的那样,没有人可以避免被攻击或被冒充。把DMARC看作是一种疫苗--随着使用它的人越来越多,感染的几率就会急剧下降。

这个问题有真正的、可行的解决方案,可以克服人们对DMARC采用的担忧。以下是一些可以极大地促进实施的方案。

  1. 减少实施中的摩擦。阻碍公司采用DMARC的最大障碍是与之相关的部署成本。经济不景气,资源匮乏。这就是为什么PowerDMARC与我们的行业伙伴全球网络联盟(GCA)一起自豪地宣布在Covid-19大流行期间的限时优惠--3个月的全套应用、DMARC实施和反欺骗服务,完全免费。在几分钟内设置好你的DMARC解决方案,现在就开始使用PowerDMARC监控你的电子邮件。
  2. 提高感知的有用性。为了使DMARC对电子邮件安全产生重大影响,它需要有足够数量的用户来发布他们的SPF、DKIM和DMARC记录。通过奖励DMARC认证的域名的 "信任 "或 "验证 "图标(就像在网站中推广HTTPS一样),可以激励域名所有者为他们的域名获得一个积极的声誉。一旦达到一定的门槛,受DMARC保护的域名将比未受保护的域名更受青睐。
  3. 简化部署。通过使部署和配置反欺骗协议变得更容易,更多的领域将同意DMARC认证。一种方法是允许协议在 "监控模式 "下运行,允许电子邮件管理员在全面部署之前评估它对其系统的影响。

每一项新的发明都会带来新的挑战。每一个新的挑战都迫使我们找到一个新的方法来克服它。DMARC已经存在了一些年头了,然而网络钓鱼存在的时间要长得多。在最近几周,Covid-19的流行只是给了它一个新的面孔。在PowerDMARC,我们将帮助您迎战这一新的挑战。请在此注册您的免费DMARC分析器,这样,当您呆在家里不受冠状病毒影响时,您的域名也不会受到电子邮件欺骗。