岗位

你知道你的域名有多安全吗?大多数组织在运作时都假设他们的域名是高度安全的,但过不了多久,他们就发现情况并非如此。安全得分低的一个明显迹象是,如果你的域名被欺骗了--这意味着有人在使用你的域名,以便冒充你(或制造混乱)并欺骗电子邮件收件人。但你为什么要关心呢?因为这些欺骗活动有可能会危及你的声誉。 

在一个充满了域名冒充者的世界里,电子邮件域名欺骗不应该是公司轻视的事情。那些这样做的人可能会把自己以及他们的客户置于危险之中。一个域名的安全等级可以对你是否被那些想赚快钱的钓鱼者盯上或在你不知情的情况下利用你的域名和品牌传播勒索软件产生巨大的影响。

用我们的免费DMARC查询工具检查你的域名的安全等级。你可能会对你学到的东西感到惊讶!

攻击者如何欺骗你的域名?

当攻击者使用合法来源的伪造身份时,就会发生电子邮件欺骗,通常是为了冒充另一个人或伪装成一个组织。它可以通过以下方式进行。

操纵域名:攻击者可以利用你的域名向你毫无戒心的收件人发送电子邮件,这些人可能会成为他们恶意的牺牲品。俗称直接域名欺骗攻击,这些攻击对一个品牌的声誉和你的客户对你的电子邮件的看法特别有害。

伪造电子邮件域名或地址:其中攻击者利用现有电子邮件安全协议的漏洞,以合法域名的名义发送电子邮件。这种攻击的成功率较高,因为攻击者使用第三方电子邮件交换服务来进行他们的恶意活动,而这些服务并不验证电子邮件发送源的来源。

由于域名验证并没有内置于简单邮件传输协议(SMTP),即电子邮件所基于的协议中,最近开发的电子邮件验证协议,如DMARC,提供了更大的验证。

低域安全如何影响你的组织?

由于大多数组织通过电子邮件传输和接收数据,必须有一个安全的连接来保护公司的品牌形象。然而,在电子邮件安全性低的情况下,它可能导致企业和个人的灾难。电子邮件仍然是使用最广泛的通信平台之一。数据泄露或黑客攻击发出的电子邮件可能对你的组织的声誉造成破坏。使用电子邮件还可能导致恶意攻击、恶意软件和垃圾邮件的传播。因此,有一个巨大的需求,那就是修订如何在电子邮件平台内部署安全控制。

仅在2020年,品牌冒充就占了所有网络钓鱼攻击的81%,而一次鱼叉式网络钓鱼攻击造成的平均损失为160万美元。安全研究人员预测,到2021年底,这些数字有可能翻倍。这给企业增加了更大的压力,需要尽早改善他们的电子邮件安全。

虽然跨国企业对采用电子邮件安全协议的想法比较开放,但小型企业和中小企业仍然不愿意。这是因为这是一个普遍的神话,即中小企业不属于网络攻击者的潜在目标雷达。然而,这是不真实的。攻击者的目标是基于他们的电子邮件安全态势中的弱点和漏洞,而不是组织的规模,这使得任何域名安全不佳的组织都是潜在的目标。

了解如何通过我们的电子邮件安全评级指南获得更高的域名安全评级

利用认证协议获得最大的域名安全性

在检查你的域名的电子邮件安全等级时,低分可能是由于以下因素。

  • 你的组织内没有部署SPF、DMARC和DKIM等电子邮件认证协议
  • 你已经部署了协议,但没有为你的域执行这些协议。
  • 你的认证记录中存在错误
  • 你没有启用DMARC报告以获得你的电子邮件渠道的可见性
  • 您的邮件在传输过程中和服务器通信没有通过MTA-STS 的TLS加密来保证安全
  • 你没有实施SMTPTLS报告,以获得关于电子邮件交付问题的通知
  • 你没有为你的域名配置BIMI以提高你的品牌记忆度
  • 你没有用动态SPF平坦化来解决SPF的错觉

所有这些都有助于使你的域名越来越容易受到电子邮件欺诈、冒充和域名滥用的影响。

PowerDMARC是您的一站式电子邮件认证SaaS平台,它将所有的认证协议(DMARC、SPF、DKIM、MTA-STS、TLS-RPT、BIMI)集中在一块玻璃上,使您的电子邮件再次安全,并改善您的域名的电子邮件安全状况。我们的DMARC分析器通过在后台处理所有复杂的问题并为域名用户自动处理,简化了协议实施。这有助于你利用你的认证协议,释放它们的最大潜力,并从你的安全解决方案中获得最佳效果。

今天就注册免费的DMARC报告分析器,以获得较高的域名安全等级和对欺骗性攻击的保护。

营销人员是品牌形象的设计者,因此他们需要了解这5个著名的网络钓鱼术语,它们会对公司的声誉造成严重破坏。 网络钓鱼是一种攻击载体,它涉及到一个网站或电子邮件,看起来好像是来自一个有信誉的组织,但实际上是为了收集敏感信息,如用户名、密码和信用卡详细信息(也称为卡数据)。网络世界中,网络钓鱼攻击很常见。

当你的公司成为网络钓鱼攻击的受害者时,它可能会对品牌名称造成伤害,并干扰你的搜索引擎排名或转换率。对营销人员来说,防范网络钓鱼攻击应该是一个优先事项,因为它们直接反映了你公司的一致性。因此,作为营销人员,当涉及到网络钓鱼诈骗时,我们需要极其谨慎地行事。

网络钓鱼骗局已经存在了很多年。如果你以前没有听说过,不要担心,这不是你的错。有人说,网络骗局诞生于10年前,但网络钓鱼在2004年正式成为一种犯罪。随着网络钓鱼技术的不断发展,遇到新的网络钓鱼邮件很快就会变得混乱,有时很难分辨信息是否合法。通过对这五种常见的网络钓鱼技术保持警惕,你可以更好地保护自己和你的组织。

你需要知道的5个常见的网络钓鱼术语

1) 电子邮件网络钓鱼 

钓鱼邮件通常是从一个模仿合法域名的域名中批量发送的。一个公司可能有电子邮件地址[email protected],但钓鱼公司可能使用[email protected]。其目的是通过假装成与你有业务往来的真实公司,骗取你点击恶意链接或分享敏感信息。 一个假的域名往往涉及到字符替换,比如用'r'和'n'相邻来创造'rn'而不是'm'。

网络钓鱼攻击在不断发展,并且随着时间的推移越来越难以察觉。威胁者正在使用社会工程战术来欺骗域名,并从合法的域名发送欺诈性的电子邮件,以达到恶意的目的。

2) 鱼叉式网络钓鱼 

鱼叉式网络钓鱼攻击是一种新的网络攻击形式,它利用虚假信息来获得对安全级别较高的账户的访问。专业攻击者的目标是损害一个受害者,为了实施这一想法,他们研究公司的社会概况以及该公司内员工的姓名和角色。与网络钓鱼不同,鱼叉式网络钓鱼是针对一个组织或个人的目标活动。这些活动是由威胁者精心构建的,其唯一目的是针对特定的人,以获得进入一个组织的机会。

3) 捕鲸

捕鲸是一种针对性很强的技术,可以破坏较高级别的同事的电子邮件。其目的与其他网络钓鱼方法类似,是诱使员工点击一个恶意链接。通过企业网络的最具破坏性的电子邮件攻击之一是捕鲸骗局。这些企图谋取私利的行为利用说服力降低受害者的抵抗力,诱使他们交出公司资金。捕鲸也被称为CEO欺诈,因为攻击者经常冒充公司CEO等独裁者。

4) 商业电子邮件的破坏 

商业电子邮件入侵(BEC)是一种网络犯罪形式,可能会给企业带来极大的损失。这种类型的网络攻击利用电子邮件欺诈来影响组织域参与欺诈活动,从而导致敏感数据的泄露和被盗。BEC的例子可以包括发票诈骗、域名欺骗和其他形式的冒充攻击。每年一个普通的组织可能因BEC诈骗而损失高达7000万美元,了解更多关于2020年BEC攻击的统计数据。在一个典型的攻击中,欺诈者通过发送一系列声称来自高级同事、客户或业务伙伴的欺诈性电子邮件,瞄准组织内的特定员工角色。他们可能会指示收件人进行付款或发布机密数据。

5) 垂钓者钓鱼 

许多公司有成千上万的客户,每天收到数以百计的投诉。通过社交媒体,公司能够摆脱其局限性的束缚,与他们的客户接触。这使公司能够灵活地适应客户的要求。钓鱼者网络钓鱼是指通过社交媒体联系不满的客户,并假装是公司的一部分的行为。钓鱼者网络诈骗是一种简单的伎俩,用于欺骗休闲的社交媒体用户,使其认为公司正在努力补救他们的问题,而实际上,另一端的人正在利用他们。

如何保护您的组织免受网络钓鱼和电子邮件欺诈之害

你的电子邮件服务提供商可能会将集成安全包作为其服务的一部分。然而,这些作为垃圾邮件过滤器,提供保护以防止入站的网络钓鱼企图。然而,当骗子使用你的域名向收件人的收件箱发送电子邮件时,如BEC、捕鲸和上述其他形式的冒充攻击,它们将无法达到目的。这就是为什么你需要立即利用电子邮件认证解决方案,如DMARC,并转变为执行政策。

  • DMARC通过使你的电子邮件与SPF和DKIM认证标准相一致来认证你的电子邮件。
  • 它向接收服务器指定了他们应该如何回应未能通过认证检查的电子邮件。
  • DMARC聚合(RUA)报告为您提供了对电子邮件生态系统和认证结果的增强可见性,并帮助您轻松监控您的域名。
  • DMARC取证(RUF)报告为您提供了DMARC失败结果的深入分析,帮助您更快地应对冒充攻击。

PowerDMARC如何帮助您的品牌?

PowerDMARC不仅仅是您的DMARC服务提供商,它是一个多用户的SaaS平台,提供广泛的认证解决方案和DMARC MSSP项目。我们使每一个组织,从小型企业到跨国企业的电子邮件认证变得简单易行。

  • 我们帮助你在短时间内从p=none转变为p=reject,从而保护你的品牌免受冒充攻击、域名欺骗和网络钓鱼的影响。
  • 我们帮助您轻松配置DMARC报告,并提供6种不同格式的综合图表和RUA报告视图,以方便使用和提高可见度。
  • 我们关心你的隐私,所以你可以用你的私人密钥对你的DMARC RUF报告进行加密。
  • 我们帮助你对你的认证结果生成预定的PDF报告
  • 我们提供像PowerSPF这样的动态SPF扁平化解决方案,使你永远不会超过10个DNS的查询限制。
  • 我们帮助你在SMTP中强制使用TLS加密,用MTA-STS来保护你的域名免受普遍的监控攻击
  • 我们通过BIMI帮助您在收件人的收件箱中使您的品牌在视觉上得到识别

今天就注册PowerDMARC,获得免费的DMARC分析工具试用,并从监控政策转变为执行政策,为您的域名提供最大的保护,防止BEC、网络钓鱼和欺骗攻击。

电子邮件作为B2B线索生成和客户沟通的一个重要渠道,但它也是网络攻击和电子邮件诈骗最广泛的目标渠道之一。网络犯罪分子一直在创新他们的攻击,以窃取更多的信息和金融资产。随着企业继续以更强大的安全措施进行反击,网络犯罪分子必须不断发展他们的战术,改进他们的网络钓鱼和欺骗技术。

2021年,来自世界各地的安全研究人员发现,基于机器学习(ML)和人工智能(AI)的网络钓鱼攻击的使用急剧增加,这些攻击没有被传统的电子邮件安全解决方案所发现。这些攻击的主要目的是操纵人类行为,诱使人们执行未经授权的行动--比如把钱转到欺诈者的账户。

虽然基于电子邮件的攻击和电子邮件欺诈的威胁总是在不断发展,但不要落后。了解接下来几年在欺诈者战术、工具和恶意软件方面将发生的电子邮件欺诈趋势。通过这篇博文,我将向你展示网络犯罪分子如何发展他们的战术,并解释你的企业如何防止这种电子邮件攻击的发生。

2021年应注意的电子邮件欺诈类型

1.商业电子邮件破坏(BEC

COVID-19迫使各组织实施远程工作环境,并转向员工、合作伙伴和客户之间的虚拟通信。虽然这有一些好处可以列举,但最明显的缺点是在过去一年中BEC惊人的上升。BEC是一个更广泛的术语,用于指电子邮件欺诈攻击,如电子邮件欺骗和网络钓鱼。

常见的想法是,网络攻击者使用你的域名向你的合作伙伴、客户或员工发送电子邮件,试图窃取企业证书,以获取机密资产或启动电汇。在过去一年中,BEC已经影响了70%以上的组织,并导致了价值数十亿美元的公司资产的损失。

2.进化的电子邮件钓鱼攻击

在过去的几年里,电子邮件钓鱼攻击已经发生了巨大的变化,尽管其动机保持不变,它是操纵你信任的合作伙伴、员工和客户点击封装在看似由你发出的电子邮件中的恶意链接的媒介,以启动恶意软件的安装或凭据盗窃。进化的电子邮件诈骗者正在发送难以察觉的钓鱼邮件。从编写无懈可击的主题词和无错误的内容到创建具有高度准确性的假登陆页面,人工追踪他们的活动在2021年已变得越来越困难。

3.中间人"(Man-In-The-Middle)

攻击者发送写得很差的电子邮件的日子已经一去不复返了,即使是外行人也能识别为欺诈行为。现在的威胁者正在利用SMTP的安全问题,如在两个通信的电子邮件服务器之间的电子邮件交易中使用机会主义加密,在成功地将安全连接回滚到未加密的连接之后,窃听对话。像SMTP降级和DNS欺骗这样的MITM攻击在2021年已经越来越流行了。

4.首席执行官的欺诈行为

首席执行官欺诈是指正在进行的针对高级管理人员的计划,以获取机密信息。攻击者通过冒充实际的人,如首席执行官或首席财务官的身份,向组织内较低级别的人、合作伙伴和客户发送信息,诱使他们泄露敏感信息。这种类型的攻击也被称为商业电子邮件破坏或捕鲸。在商业环境中,一些犯罪分子通过冒充组织的决策者,冒险创建一个更可信的电子邮件。这使他们能够要求轻松地进行资金转移或提供有关公司的敏感信息。

5.COVID-19 疫苗诱饵

安全研究人员发现,黑客仍在试图利用与COVID-19大流行病相关的恐惧。最近的研究揭示了网络犯罪分子的心态,揭示了他们对围绕COVID-19大流行病的恐慌状态的持续兴趣,以及针对公司领导人的网络钓鱼和商业电子邮件泄露(BEC)攻击的可衡量的上升。实施这些攻击的媒介是一个假的COVID-19疫苗诱饵,立即引起电子邮件接收者的兴趣。

如何加强电子邮件安全?

  • 用SPF、DKIM和DMARC等电子邮件认证标准配置你的域名
  • 从DMARC监测转向DMARC执行,以获得对BEC、CEO欺诈和演变的网络钓鱼攻击的最大保护
  • 始终如一地监测电子邮件流和认证结果,不定期地进行监测
  • 使用MTA-STS对SMTP进行强制加密,以减轻MITM攻击。
  • 通过SMTP TLS报告(TLS-RPT ),定期获得有关电子邮件交付问题的通知,并详细了解其根本原因。
  • 始终保持在10个DNS查询限制以下,以缓解SPF的错误。
  • 用BIMI帮助你的收件人在他们的收件箱中直观地识别你的品牌

PowerDMARC是您的单一电子邮件认证SaaS平台,它将所有的电子邮件认证协议,如SPF、DKIM、MTA-STS、TLS-RPT和BIMI集合在一块玻璃上。今天就注册,获得免费的DMARC分析器!

加密在SMTP中是可选的,这意味着电子邮件可以以明文形式发送。邮件传输代理-严格传输安全(MTA-STS)是一个相对较新的标准,它使邮件服务提供商能够强制执行传输层安全(TLS)以保证SMTP连接的安全,并指定发送SMTP服务器是否应拒绝向不支持TLS的MX主机发送邮件。它已被证明能够成功地缓解TLS降级攻击和中间人(MITM)攻击。

启用MTA-STS是根本不够的,因为你需要一个有效的报告机制来检测建立加密通道的失败。SMTP TLS报告(TLS-RPT)是一个标准,能够报告发送电子邮件的应用程序所遇到的TLS连接问题,并检测错误的配置。它能够报告当电子邮件没有用TLS加密时发生的电子邮件交付问题。

用PowerMTA-STS轻松实现MTA-STS

实施MTA-STS是一项艰巨的任务,在采用过程中涉及很多复杂的问题。从生成策略文件和记录到维护网络服务器和托管证书,这是一个漫长的过程。PowerDMARC已经为您提供了保障!我们的托管MTA-STS服务提供了以下好处。

  • 只需点击几下就能发布你的DNS CNAME记录
  • 我们负责维护政策网络服务器和托管证书。
  • 你可以通过PowerDMARC仪表板即时、轻松地进行MTA-STS策略更改,而无需手动对DNS进行更改。
  • PowerDMARC的托管MTA-STS服务符合RFC标准并支持最新的TLS标准。
  • 从生成证书和MTA-STS策略文件到策略执行,我们帮助您规避采用该协议所涉及的巨大的复杂性。

为什么电子邮件在传输过程中需要加密?

由于安全问题不得不在SMTP中进行改造,以确保其向后兼容,增加了STARTTLS命令来启动TLS加密,如果客户端不支持TLS,通信就会退回到明文。这样一来,传输中的电子邮件就会成为MITM等普遍监控攻击的牺牲品,网络犯罪分子可以窃听你的信息,并通过替换或删除加密命令(STARTTLS)来改变和篡改信息,使通信回滚为明文。

这就是MTA-STS的用武之地,它使TLS加密成为SMTP的必经之路。这有助于减少MITM、DNS欺骗和降级攻击的威胁。

在为你的域名成功配置MTA-STS后,你需要的是一个有效的报告机制,帮助你以更快的速度检测和应对由于TLS加密问题而导致的电子邮件交付问题。PowerTLS-RPT正是为你做到了这一点!

使用PowerTLS-RPT接收邮件发送问题报告

TLS-RPT完全集成到PowerDMARC安全套件中,因此,只要你注册了PowerDMARC并为你的域名启用SMTP TLS报告,我们就会把包含你的电子邮件交付问题报告的复杂的JSON文件转换为简单、可读的文件,使你可以轻松地浏览和理解!

在PowerDMARC平台上,TLS-RPT汇总报告以两种格式生成,以方便使用,提高洞察力,并增强用户体验。
  • 每个结果的汇总报告
  • 每个发送源的汇总报告

此外,PowerDMARC的平台会自动检测并随后传达你所面临的问题,以便你能及时处理和解决这些问题。

为什么你需要SMTP TLS报告?

如果由于TLS加密的问题而导致电子邮件交付失败,通过TLS-RPT,你将得到通知。TLS-RPT为你的所有电子邮件渠道提供了更强的可见性,使你能更好地了解你的域名中的所有情况,包括未能交付的邮件。此外,它还提供深入的诊断报告,使你能够识别并找到电子邮件交付问题的根源,并毫不拖延地加以解决。

要获得关于MTA-STS和TLS-RPT实施和采用的实践知识,请立即查看我们的详细指南!

使用PowerDMARC为你的域名配置DMARC,并部署电子邮件验证的最佳做法,如SPF、DKIM、BIMI、MTA-STS和TLS-RPT,所有这些都在一个屋檐下。今天就注册一个免费的DMARC试验

1982年,当SMTP首次被指定时,它不包含任何在传输层面提供安全的机制,以保证邮件传输代理之间的通信安全。然而,在1999年,STARTTLS命令被添加到SMTP中,反过来支持服务器之间的电子邮件加密,提供了将非安全连接转换成使用TLS协议加密的安全连接的能力。

然而,在SMTP中,加密是可选的,这意味着即使是明文的电子邮件也可以被发送。 邮件传输代理-严格的传输安全(MTA-STSTLS是一个相对较新的标准,它使邮件服务提供商能够执行传输层安全(TLS),以确保SMTP连接的安全,并指定发送SMTP服务器是否应拒绝向不提供TLS与可靠服务器证书的MX主机发送电子邮件。它已被证明可以成功地缓解TLS降级攻击和中间人(MITM)攻击。 SMTP TLS报告(TLS-RPT)是一个标准,能够报告发送电子邮件的应用程序所遇到的TLS连接问题,并检测错误配置。它能够报告当电子邮件没有用TLS加密时发生的电子邮件交付问题。2018年9月,该标准首次被记录在RFC 8460中。

为什么你的电子邮件需要在传输中加密?

主要目标是提高SMTP通信过程中的传输级安全,确保电子邮件流量的隐私。此外,入站和出站信息的加密增强了信息安全,使用密码学来保护电子信息。 此外,中间人(MITM)和TLS降级等加密攻击在近来越来越流行,并成为网络犯罪分子的常见做法,通过执行TLS加密和扩展对安全协议的支持,可以规避这些攻击。

MITM攻击是如何发起的?

由于加密必须加装到SMTP协议中,所以加密传输的升级必须依靠以明文发送的STARTTLS命令。一个MITM攻击者可以很容易地利用这一特点,通过篡改升级命令对SMTP连接进行降级攻击,迫使客户端退回到以明文发送邮件。

在截获通信后,MITM攻击者可以很容易地窃取解密的信息并访问电子邮件的内容。这是因为SMTP作为邮件传输的行业标准,采用了机会主义的加密方式,这意味着加密是可选的,邮件仍然可以以明文形式传递。

TLS降级攻击是如何发起的?

由于加密必须加装到SMTP协议中,所以加密传输的升级必须依靠以明文发送的STARTTLS命令。一个MITM攻击者可以通过篡改升级命令对SMTP连接进行降级攻击来利用这一特性。攻击者可以简单地将STARTTLS替换成一个客户无法识别的字符串。因此,客户端很容易退回到以明文发送电子邮件。

简而言之,降级攻击通常是作为MITM攻击的一部分而发起的,目的是通过替换或删除STARTTLS命令,将通信回滚为明文,从而创造出一种在通过最新版本的TLS协议加密的连接情况下无法实现的攻击途径。

除了加强信息安全和减轻无孔不入的监控攻击外,在传输过程中对信息进行加密还可以解决多种SMTP安全问题。

用MTA-STS实现对邮件的强制TLS加密

如果你没有通过安全连接来传输你的电子邮件,你的数据可能会受到影响,甚至被网络攻击者修改和篡改。这里就是MTA-STS介入并解决这个问题的地方,通过强制执行TLS加密,使您的电子邮件能够安全传输,并成功地减轻加密攻击,增强信息安全。简单地说,MTA-STS强制要求电子邮件通过TLS加密途径传输,如果不能建立加密连接,电子邮件根本不会被传递,而会以明文方式传递。此外,MTA存储MTA-STS策略文件,使攻击者更难发起DNS欺骗攻击。

 

MTA-STS提供了针对.NET的保护。

  • 降级攻击
  • 中间人(MITM)攻击
  • 它解决了多个SMTP安全问题,包括过期的TLS证书和缺乏对安全协议的支持。

主要的邮件服务提供商,如微软、Oath和谷歌都支持MTA-STS。谷歌作为最大的行业参与者,在采用任何协议时都处于中心位置,谷歌采用MTA-STS表明对安全协议的支持延伸,并强调了电子邮件在传输中加密的重要性。

用TLS-RPT解决邮件发送中的问题

SMTP TLS报告为域名所有者提供诊断报告(JSON文件格式),详细说明已经发送到你的域名并面临交付问题的邮件,或者由于降级攻击或其他问题而无法交付的邮件,以便你能主动解决问题。一旦你启用TLS-RPT,默许的邮件传输代理将开始发送有关通信服务器之间的电子邮件交付问题的诊断报告给指定的电子邮件域。这些报告通常每天发送一次,涵盖并传达发件人观察到的MTA-STS策略、流量统计以及电子邮件交付失败或问题的信息。

部署TLS-RPT的必要性 :

  • 如果电子邮件由于递送中的任何问题而未能发送给你的收件人,你将得到通知。
  • TLS-RPT为你的所有电子邮件渠道提供了更强的可见性,这样你就能更好地了解你的域名中发生的所有事情,包括未能送达的邮件。
  • TLS-RPT提供深入的诊断报告,使你能够识别并找到电子邮件交付问题的根源,并毫不拖延地解决它。

通过PowerDMARC使采用MTA-STS和TLS-RPT变得简单而迅速

MTA-STS需要一个具有有效证书的HTTPS网络服务器,DNS记录,以及持续的维护。PowerDMARC通过完全在后台为您处理所有这些,使您的生活变得更加轻松--从生成证书和MTA-STS策略文件到策略执行,我们帮助您避免了采用该协议所涉及的巨大的复杂性。一旦我们帮助你设置了它,只需点击几下,你甚至不必再考虑这个问题。

在PowerDMARC的电子邮件认证服务的帮助下你可以在你的组织中部署托管MTA-STS,而不需要麻烦,而且速度非常快,在它的帮助下,你可以强制要求电子邮件通过TLS加密的连接发送到你的域,从而使你的连接安全,并保持MITM攻击。

PowerDMARC通过使SMTP TLS报告(TLS-RPT)的实施过程变得简单而迅速,使您的生活更加轻松。只要您注册了PowerDMARC,并为您的域名启用了SMTP TLS报告,我们就会把包含您的电子邮件交付问题报告的复杂的JSON文件转换为简单的,可读的文件(每个结果和每个发送源),您可以轻松地浏览和理解PowerDMARC的平台会自动检测并随后传达您在电子邮件发送中所面临的问题,这样您就可以在短时间内及时处理并解决这些问题!

今天就注册,获得免费的DMARC!

邮件传输代理-严格传输安全(MTA-STS)是一个新的标准,它使邮件服务提供商有能力强制执行传输层安全(TLS)以保证SMTP连接的安全,并指定发送SMTP服务器是否应该拒绝向不提供TLS和可靠服务器证书的MX主机发送邮件。它已被证明能够成功地缓解TLS降级攻击和中间人(MITM)攻击。

更简单地说,MTA-STS是一个互联网标准,用于保护SMTP邮件服务器之间的连接安全。SMTP最突出的问题是,加密是完全可选的,在邮件传输过程中并不强制执行。这就是为什么SMTP采用STARTTLS命令,从明文升级到加密。这是缓解被动攻击的宝贵一步,然而,解决通过主动网络和MITM攻击的问题仍然没有解决。

因此,MTA-STS要解决的问题是,SMTP利用机会性加密,即如果不能建立一个加密的通信通道,连接就会退回到明文,从而使MITM和降级攻击得到遏制。

什么是TLS降级攻击?

我们已经知道,SMTP并没有附带加密协议,后来不得不通过添加STARTTLS命令来改造加密技术,以增强现有协议的安全性。如果客户端支持加密(TLS),它将理解STARTTLS动词,并在发送邮件之前启动TLS交换,以确保邮件被加密。如果客户端不知道TLS,它将直接忽略STARTTLS命令,并以明文形式发送电子邮件。

因此,由于加密必须加装到SMTP协议中,加密传输的升级必须依靠以明文发送的STARTTLS命令。一个MITM攻击者可以通过篡改升级命令对SMTP连接进行降级攻击,从而轻易地利用这一特性。攻击者只需将STARTTLS替换成一个客户无法识别的垃圾字符串。因此,客户端很容易退回到以明文发送电子邮件。

攻击者通常用包含相同数量字符的垃圾字符串替换命令,而不是把它撵走,因为这保留了数据包的大小,因此,使它更容易。选项命令中的垃圾字符串的八个字母使我们能够检测和识别TLS降级攻击是由网络犯罪分子执行的,我们可以衡量其普遍性。

简而言之,降级攻击通常是作为MITM攻击的一部分而发起的,目的是通过替换或删除STARTTLS命令,将通信回滚为明文,从而创造出一条实现加密攻击的途径,而在通过最新版本的TLS协议进行加密的情况下是不可能的。

虽然有可能在客户端到服务器的通信中强制执行TLS,因为对于这些连接,我们知道应用程序和服务器支持它。然而,对于服务器到服务器的通信,我们必须失败开放,以允许传统的服务器发送电子邮件。问题的关键在于,我们不知道另一边的服务器是否支持TLS。MTA-STS允许服务器表明他们支持TLS,这将允许他们在升级协商没有发生时失败关闭(即不发送邮件),从而使TLS降级攻击无法发生。

tls报告

MTA-STS如何来拯救?

MTA-STS的功能是提高EXO或Exchange在线电子邮件的安全性,是解决各种SMTP安全弊端和问题的最终方案。它解决了SMTP安全方面的问题,如缺乏对安全协议的支持,过期的TLS证书,以及不是由可靠的第三方颁发的证书。

当邮件服务器开始发送邮件时,SMTP连接很容易受到加密攻击,如降级攻击和MITM。降级攻击可以通过删除STARTTLS响应来发起,从而以明文方式传递信息。同样,MITM攻击也可以通过不安全的连接将信息重定向给服务器入侵者而发起。MTA-STS允许你的域名发布一个策略,使发送邮件时必须使用加密的TLS。如果由于某种原因,发现接收服务器不支持STARTTLS,那么电子邮件将根本不会被发送。这使得不可能煽动TLS降级攻击。

近来,大多数邮件服务提供商都采用了MTA-STS,从而使服务器之间的连接更加安全,并通过最新版本的TLS协议进行加密,从而成功缓解了TLS降级攻击,使服务器通信中的漏洞失效。

PowerDMARC为您带来了,快速而简单的托管MTA-STS服务,这让您的生活变得更加轻松,因为我们在实施过程中和实施后都会照顾到MTA-STS所需要的所有规格,例如一个具有有效证书的HTTPS网络服务器,DNS记录,以及持续的维护。PowerDMARC完全在后台管理这一切,因此,在我们帮助您设置之后,您甚至不必再考虑这个问题了

在PowerDMARC的帮助下,你可以在你的组织中部署托管MTA-STS,而不需要麻烦,而且速度非常快,在它的帮助下,你可以强制要求通过TLS加密的连接向你的域名发送电子邮件,从而使你的连接安全,并保持TLS降级攻击。