岗位

作为一个DMARC服务提供商,我们经常被问到这个问题。"如果DMARC只是使用SPF和DKIM认证,我们为什么要为DMARC费心?这不是没有必要吗?"

从表面上看,这似乎没有什么区别,但现实是非常不同的。DMARC不仅仅是SPF和DKIM技术的组合,它本身是一个全新的协议。它有几个特点,使它成为世界上最先进的电子邮件认证标准之一,并且是企业的绝对必需品。

但是,等一下。我们还没有准确回答你为什么需要DMARC。它提供了什么SPF和DKIM没有的东西?嗯,这是个相当长的答案;对于一篇博文来说,太长了。所以让我们把它分开,先谈谈SPF。如果你对它不熟悉,这里有一个简单的介绍。

什么是SPF?

SPF,即发件人政策框架,是一个电子邮件认证协议,可以保护电子邮件接收者免受欺骗性的电子邮件。它本质上是一个授权通过你(域名所有者)的渠道发送电子邮件的所有IP地址的列表。当接收服务器看到来自你的域名的邮件时,它会检查你的DNS上公布的SPF记录。如果发件人的IP在这个 "列表 "中,邮件就会被传送。如果不是,服务器会拒绝该邮件。

正如你所看到的,SPF做得很好,把很多不怀好意的电子邮件拒之门外,这些电子邮件可能会损害你的设备或破坏你组织的安全系统。但是,SPF并不像一些人可能认为的那样好。这是因为它有一些非常重要的缺点。让我们来谈谈这些问题中的一些。

SPF的局限性

SPF记录不适用于发件人地址

电子邮件有多个地址来识别它们的发件人:你通常看到的发件人地址,以及隐藏的返回路径地址,需要点击一到两次才能看到。在启用SPF的情况下,接收电子邮件的服务器会查看Return Path,并检查来自该地址的域名的SPF记录。

这里的问题是,攻击者可以利用这一点,在他们的返回路径地址中使用一个假域名,而在发件人部分使用一个合法(或看起来合法)的电子邮件地址。即使接收者要检查发件人的电子邮件ID,他们也会先看到发件人地址,而通常不会去检查返回路径。事实上,大多数人甚至不知道有返回路径地址这种东西。

通过使用这种简单的技巧,SPF可以很容易地被规避,而且它甚至使有SPF保护的域名在很大程度上受到伤害。

SPF记录有一个DNS查询限制

SPF记录包含一个由域名所有者授权发送电子邮件的所有IP地址的列表。然而,它们有一个关键的缺点。接收服务器需要检查该记录,看发件人是否被授权,为了减少服务器的负荷,SPF记录有10次DNS查询的限制。

这意味着,如果你的组织使用多个第三方供应商,通过你的域名发送电子邮件,那么 SPF 记录最终会超过这个限制。除非进行适当的优化(自己做起来并不容易),否则 SPF 记录会有一个非常有限的限制。当你超过这个限制时,SPF的实现就会被认为是无效的,你的邮件就无法通过SPF。这有可能损害你的邮件发送率。

 

当电子邮件被转发时,SPF并不总是起作用

SPF还有一个关键的故障点,会损害你的邮件送达能力。当你在你的域名上实施了SPF,而有人转发你的邮件时,转发的邮件会因为你的SPF政策而被拒绝。

这是因为转发的信息改变了电子邮件的收件人,但电子邮件发件人的地址却保持不变。这就成了一个问题,因为邮件包含了原发件人的From地址,但是接收服务器看到的是一个不同的IP。转发邮件服务器的IP地址并不包括在原发件人的域名的SPF记录中。这可能导致邮件被接收服务器拒绝。

DMARC是如何解决这些问题的?

DMARC使用SPF和DKIM的组合来验证电子邮件。一封电子邮件需要通过SPF或DKIM,才能通过DMARC并被成功传递。而且,它还增加了一个关键功能,使它比单独的SPF或DKIM有效得多。报告。

通过DMARC报告,你每天都能得到关于你的电子邮件渠道状态的反馈。这包括有关你的DMARC调整的信息,认证失败的电子邮件的数据,以及潜在的欺骗企图的细节。

如果你想知道如何做才能不被欺骗,请查看我们关于避免电子邮件欺骗的5大方法的便捷指南。

打破DMARC的神话

对于很多人来说,并不清楚DMARC的作用,也不清楚它是如何防止域名欺骗、冒充和欺诈的。这可能导致对DMARC的严重误解,电子邮件认证如何工作,以及为什么它对你有好处。但是,你如何知道什么是正确的,什么是错误的?你又如何确保你的实施是正确的? 

PowerDMARC是来拯救你的!为了帮助你更好地理解DMARC,我们编制了这份关于DMARC的6大最常见误解的清单。

关于DMARC的误解

1.DMARC与垃圾邮件过滤器是一样的

这是人们对DMARC最常犯的错误之一。垃圾邮件过滤器会阻止送入你收件箱的邮件。这些可能是来自任何人的域名的可疑邮件,而不仅仅是你的。另一方面,DMARC告诉接收电子邮件的服务器如何处理从你的域名发出的电子邮件像微软Office 365ATP这样的垃圾邮件过滤器并不能防止这种网络攻击。如果你的域名是DMARC强制的,而电子邮件未能通过认证,接收服务器就会拒绝它。

2.一旦你设置了DMARC,你的电子邮件就永远安全了

DMARC是目前最先进的电子邮件认证协议之一,但这并不意味着它是完全自给自足的。你需要定期监测你的DMARC报告,以确保来自授权来源的电子邮件没有被拒绝。更重要的是,你需要检查未经授权的发件人是否滥用了你的域名。当你看到一个IP地址反复尝试欺骗你的电子邮件时,你需要立即采取行动,将其列入黑名单或取缔。

3.DMARC会降低我的邮件送达率

当你设置DMARC时,重要的是首先将你的策略设置为p=none。这意味着你的所有邮件仍然会被送达,但你会收到DMARC报告,了解它们是通过还是没有通过认证。如果在这个监测期间,你发现你自己的邮件没有通过DMARC,你可以采取行动来解决这些问题。一旦你所有的授权邮件都得到正确的验证,你就可以用p=quarantine或p=reject的策略来强制执行DMARC。

4.我不需要执行DMARC(p=none就够了)。

当你设置了DMARC而不执行它时(政策为p=none),所有来自你的域名的邮件--包括那些失败的DMARC--都会被送达。你会收到DMARC的报告,但却不能保护你的域名免受任何欺骗的尝试。在最初的监测期之后(如上所述),绝对有必要将你的策略设置为p=quarantine或p=reject并强制执行DMARC。

5.只有大品牌需要DMARC

许多小型企业认为,只有最大、最知名的品牌才需要DMARC保护。实际上,网络犯罪分子会利用任何商业域名来发动欺骗性攻击。许多小型企业通常没有专门的网络安全团队,这使得攻击者更容易针对中小型组织。请记住,每一个拥有域名的组织都需要DMARC保护!

6.DMARC报告易于阅读

我们看到许多组织实施了DMARC,并让报告发送到他们自己的电子邮件收件箱。这样做的问题是,DMARC报告是以XML文件格式出现的,如果你不熟悉它,可能会很难阅读。使用一个专门的DMARC平台,不仅可以使你的设置过程更容易,而且PowerDMARC可以将你复杂的XML文件转换成易于阅读的报告,其中包括图表和深度统计。

 

电子邮件往往是网络犯罪分子发动时的首选,因为它很容易被利用。与重在处理能力的暴力攻击或需要高水平技能的更复杂的方法不同,域名欺骗可以像写一封假装是别人的电子邮件一样容易。在很多情况下,这个 "别人 "是人们赖以工作的一个主要软件服务平台。

这就是2020年4月15日至30日期间发生的事情,当时我们PowerDMARC的安全分析师发现了一波针对中东地区主要保险公司的新的钓鱼邮件。这次攻击只是最近在Covid-19危机期间增加的网络钓鱼和欺骗案件中的一个。早在2020年2月,另一个重大的网络钓鱼骗局竟然冒充世界卫生组织,向成千上万的人发送电子邮件,要求他们为冠状病毒救援捐款。

在最近的这一系列事件中,微软的Office 365服务的用户收到了似乎是关于其用户账户状态的常规更新邮件。这些邮件来自他们组织自己的域名,要求用户重新设置密码或点击链接查看待定通知。

我们已经汇编了一份我们观察到的一些正在使用的电子邮件标题的清单。

*为保护用户隐私,账户信息被更改

你也可以查看一个发送至保险公司的欺骗性电子邮件中使用的邮件标题样本。

收到:来自[恶意的_ip] (helo=恶意域名)

id 1jK7RC-000uju-6x

for [email protected]; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

收到:来自 [xxxx] (port=58502 helo=xxxxx)。

通过恶意域名使用esmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-gcm-sha384:256)

来自。"微软账户团队" 

致。 [email protected]

题目:微软办公室通知[email protected] 在 4/1/2020 23:46 的Microsoft Office通知书

日期:2020年4月2日 22:31:45 +0100

Message-ID: <[email protected]>

MIME-Version: 1.0

Content-Type: text/html;

charset="utf-8"。

Content-Transfer-Encoding: quoted-printable

X-AntiAbuse:这个标题是为了跟踪滥用情况而添加的,请在任何滥用报告中包括这个标题。

X-AntiAbuse:主要主机名 - 恶意域名

X-AntiAbuse:原有域名 - domain.com

X-AntiAbuse:发起人/呼叫者UID/GID - [47 12] / [47 12] 。

X-AntiAbuse:发件人地址 域名 - domain.com

X-Get-Message-Sender-Via: malicious_domain: authenticated_id: [email protected]_domain

X-Authenticated-Sender: malicious_domain: [email protected]_domain

X-Source。 

X-Source-Args: 

X-Source-Dir: 

Received-SPF: fail ( domain.com的域名没有指定 malicious_ip_address 作为允许的发件人) client-ip=malicious_ip_address ; envelope-from=[email protected]; helo=恶意域名;

X-SPF-Result: domain.com的域名不指定。 malicious_ip_address 为允许的发件人

X-Sender-Warning:反向DNS查询失败的 恶意的ip_address (失败)

X-DKIM-Status: none / / domain.com / / /

X-DKIM-Status: pass / / 恶意域名 / 恶意域名/ / 默认

 

我们的安全运营中心追踪到电子邮件链接到针对微软Office 365用户的钓鱼网址。这些URL重定向到世界各地不同地点的被攻击网站。

只要看一下这些电子邮件的标题,就不可能看出它们是由某人假冒你的组织的域名发送的。我们已经习惯了源源不断的工作或账户相关的电子邮件,提示我们登录各种在线服务,就像Office 365。域名欺骗利用了这一点,使他们的假的、恶意的电子邮件与真正的电子邮件无法区分。如果不对电子邮件进行彻底的分析,几乎没有办法知道它是否来自一个可信赖的来源。而每天都有几十封邮件进来,没有人有时间仔细检查每一封。唯一的解决办法是采用一种认证机制,检查所有从你的域名发出的电子邮件,并只阻止那些由未经授权的人发出的电子邮件。

这种认证机制被称为DMARC。作为世界上领先的电子邮件安全解决方案供应商之一,我们在PowerDMARC已经把让你了解保护你的组织的域名的重要性作为我们的使命。不仅仅是为了你自己,而是为了每一个信任和依赖你的人,在他们的收件箱中提供安全、可靠的电子邮件,每一次都是如此。

你可以在这里阅读关于欺骗的风险:https://powerdmarc.com/stop-email-spoofing/

了解如何保护你的域名免受欺骗并提升你的品牌,请点击:https://powerdmarc.com/what-is-dmarc/