使用 DKIM、SPF 和 DMARC 保护客户免受鱼叉式网络钓鱼邮件的侵害

  • 2023-06-13 19:08:29

介绍

诈骗者使用各种策略来让用户提供个人信息。一种非常常见的策略称为网络钓鱼。网络钓鱼是一种骗局,精通技术的骗子使用垃圾邮件和恶意网站来传递恶意软件,或诱骗人们向他们提供个人信息,例如社会保险号、银行帐号和信用卡信息。一种更具针对性(通常更危险)的网络钓鱼类型称为鱼叉式网络钓鱼。

什么是鱼叉式网络钓鱼?

鱼叉式网络钓鱼是一种针对性攻击,通常针对特定个人。通过鱼叉式网络钓鱼,犯罪者知道一些关于您的个人信息。他可能知道您的姓名、电子邮件地址或朋友的姓名,或者他可能拥有您最近进行的在线购买的信息。虽然大多数网络钓鱼电子邮件都有一个通用的问候语,例如“亲爱的先生或女士”,但鱼叉式网络钓鱼电子邮件可能会通过姓名称呼您,例如“你好约翰”。它也可能似乎来自您认识的人。

根据SANS研究所研究主任Allen Paller的说法,企业网络上95%的攻击都是鱼叉式网络钓鱼攻击的结果。今年早些时候,赛门铁克发布了关于针对美国、印度和英国中小型企业的持续鱼叉式网络钓鱼攻击的警告,该攻击通过远程访问木马 (RAT) 感染用户。RAT使攻击者能够远程访问机器,并可能导致敏感信息泄露和经济损失。根据赛门铁克网络钓鱼准备技术开展的活动,平均而言,员工在 18% 的时间内容易受到基于电子邮件的攻击。

您如何保护自己和您的业务?

保护您的公司免受鱼叉式网络钓鱼攻击是员工和邮件服务器管理员的责任。对于员工来说,用户教育是关键。这篇文章包含对最终用户有用的电子邮件安全提示。对于管理员来说,实施 DKIM、SPF 和 DMARC 有助于减少数据泄露、财务损失和其他业务威胁。下面将更详细地介绍这三种方法。

DKIM 如何运作

DKIM(域名密钥识别邮件)是一种加密电子邮件验证系统,可用于防止欺骗。它还可用于确保邮件完整性,或确保邮件在离开发送邮件服务器和到达您的邮件服务器之间未被更改。以下是 DKIM 的工作原理:

  • 加密的公钥将发布到发送服务器的 DNS 记录中。
  • 每条传出消息都由服务器使用相应的加密私钥进行签名。
  • 对于传入邮件,当接收服务器看到邮件已由 DKIM 签名时,它将从发送服务器的 DNS 记录中检索公钥,然后将该密钥与邮件的加密签名进行比较以确定其有效性。
  • 如果无法验证传入邮件,则接收服务器知道它包含欺骗地址或已被篡改或更改。然后可以拒绝失败的邮件,也可以接受它但调整其垃圾邮件分数。

SPF的工作原理

另一种有助于防止欺骗的技术称为 SPF。SPF(发件人策略框架)允许域所有者发布 DNS 记录(SPF 记录),以标识有权为其域发送邮件的位置。通过对传入邮件执行 SPF 查找,您可以尝试确定是否允许发送服务器为假定的发送域传递邮件,从而确定发件人的地址是否可能是伪造或欺骗的。

MDaemon 的 SPF 设置位于“安全 |安全设置 |发件人身份验证 |SPF验证。此屏幕截图显示建议的设置。

建议的发件人策略框架设置

DMARC(基于域的邮件身份验证,报告和一致性)

当邮件未通过 DKIM 或 SPF 时,由接收邮件服务器的管理员决定如何处理该邮件。这样做的问题是,如果DKIM或SPF设置不正确,可能会导致问题。DMARC(基于域的邮件身份验证、报告和一致性)消除了如何处理来自域中与 DKIM 或 SPF 未正确对齐的邮件的猜测。

DMARC 定义了一种可扩展的机制,通过该机制,邮件发件人可以使用 DNS 记录(DMARC 记录)表达域级别策略,这些策略管理当声称来自其域的邮件与 DKIM 和 SPF 查找结果不完全一致时应如何处理这些策略。换句话说,如果您对声称来自我的域(example.com)的邮件执行SPF,DKIM和DMARC记录查找,并且它与SPF,DKIM或两者不一致,我的DMARC记录可以告诉您我希望如何处理与SPF和DKIM不一致的邮件。我的 DMARC 记录可以指定我是否希望您接受、隔离或拒绝未对齐的邮件,我甚至可以更进一步,根据我的策略首选项指定我希望您拒绝或隔离的未对齐邮件的百分比。这在首次部署DMARC时很有用,因为它允许您更宽容地拒绝未对齐的邮件,直到您确定DKIM和SPF配置正确为止。