压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

三大主要電子郵件安全協議互為補充，若能全部實現，可獲得最佳電子郵件安全防護。雖說知易行難，但遵從專家的建議能有所幫助。

盡管取得了一些進展，SPF、DKIM和DMARC這3個電子郵件安全協議的部署之路依然舉步維艱。這3個協議的配置比較困難，需認真研究了解其相互間聯系與各自保護性功能間的互補關系。但是，磨刀不誤砍柴工，這種學習研究上的投入會帶來巨大的安全回報。

• 發件人策略框架(SPF)能加強DNS服務器安全并限制誰能以你的域名發出電子郵件。SPF可防止域名欺騙，令你的郵件服務器能夠確定郵件是何時從其所用域名發出的。SPF由3個主要部分構成：策略框架、身份驗證方法，以及包含這些信息的特殊郵件頭。2006年發布的互聯網工程任務組(IETF)標準4408首次提出了SPF，2014年的IETF標準7208對該框架做了更新。
• 域名密鑰識別郵件(DKIM)協議可確保郵件內容不被偷窺或篡改。2007年初版出爐后歷經多次修改，最近一次更新是今年1月的IETF標準8301。SFP和DKIM在2014年的IETF標準7372中都做了更新。
• 基于域的郵件身份驗證、報告及一致性(DMARC)協議以一組協調一致的策略黏合了SPF和DKIM，并將發件人域名與郵件頭中From:域列出的內容相關聯，還具備更好的收件人反饋機制。該協議于2015年在IETF標準7489中提出。

網絡釣魚和垃圾電子郵件是黑客侵入公司網絡的最大機會。只要某用戶點擊了惡意附件，整個企業都有可能遭遇勒索軟件、加密貨幣劫持腳本、數據泄露或提權漏洞利用。

但為什么多數企業都需要這3個協議來保護自身電子郵件基礎設施，就不是每個人都清楚了。IT世界中，多種解決方案并不是總有交集。事實上，它們往往是互為補充的，公司企業最好把這3個協議都實現了。

最近的發展驅動了對電子郵件安全協議的關注。

眾所周知，這3個協議早在新世紀之初就已提出，那么最近發生了什么，才導致大家的視線又集中到了它們身上呢？

1. 垃圾郵件和漁叉式網絡釣魚一直都很成問題

且隨著越來越多的公司網絡深受其害，IT經理紛紛找尋更好的安全解決方案加以應對。還有近幾年來上升勢頭很猛的勒索軟件(往往緊隨漁叉式網絡釣魚電子郵件而至)，也讓公司企業更想要保護自身電子郵件基礎設施。垃圾郵件顯然是不會消失的。

2. 政府也涉入了

美國國土安全部(DHS)去年頒布了一項命令，要求各政府機構拿出實現這些協議的行動計劃。英國和澳大利亞的機構也發布了各自的強制部署時間表，至少政府運營的服務器上要實現這些協議。盡管很多機構都沒能趕上最初定下的截止日期，仍有一些機構已開始實現，并取得了重大進展，朝著完全部署邁進了一大步。

3. 谷歌Gmail、雅虎和Fastmail等電子郵件提供商的實現激勵了其他人的跟進

因為想要保證客戶的電子郵件受到保護，在其托管電子郵件解決方案中添加這些協議就顯得很有意義了。

4. 安全提供商改進了產品和咨詢服務，可以讓協議部署得更加容易

Valimail、Barracuda和Agari就是個中代表，Proofpoint則提供免費互動工具以創建客戶自己的DMARC記錄。需注意的是，Agari、Valimail和微軟正在開發名為品牌指標郵件識別(BIMI)的新標準，可在每封電子郵件中展示公司品牌標志，幫助移動電子郵件用戶識別垃圾郵件。

SPF、DKIM和DMARC組合拳

不妨進一步審視這3個協議。首先，為什么3個都要實現？

因為它們各自解決電子郵件問題中不同的方面，通過結合標志身份驗證及加密工具，比如公鑰和私鑰簽名，再輔以特殊DNS記錄以驗證出自公司域名的電子郵件，3個協議聯合使用可防止網絡釣魚與垃圾郵件侵入。

其次，互聯網電子郵件協議的進化發展方式也要求綜合使用這3個協議。互聯網早期，電子郵件主要是大學里的研究人員使用，大家互相認識，彼此信任，但那美好的舊時光已一去不復返。

郵件頭(比如收件人(To:)發件人(From:)和抄送(Bcc:)地址字段)與郵件實際內容部分被有意剝離開來。這算是電子郵件的一項重要特性，但這種剝離給現在的IT管理員帶來了新的痛苦。

如果你的電子郵件基礎設施恰當地實現了全部3個協議，你就可以確保郵件不會被輕易偽造，也可以防止垃圾郵件淹沒用戶的收件箱。但這只是個理想狀態，前面的那個“如果”沒那么容易實現。

前面說了那么多好處，下面我們來看看棘手的部分。

去年年底，一名安全研究員發了篇如何用一組多主題電子郵件破解DKIM的帖子。雖然他在DKIM實踐與實現上有些心得，Valimail(托管DKIM解決方案供應商)卻指稱他并不清楚自己在做什么，他帖子描述的不過是無關緊要的邊緣案例。

大多數情況下，電子郵件客戶端未能對這些多主題郵件進行身份驗證，因為Fastmail部署這3個協議的恰當部署還是相當難的。

更加令人迷惑的是各種互相沖突的使用情況調查。谷歌的調查顯示，Gmail郵件系統中85%的收件都用到了一些防護措施，但普通企業電子郵件用戶的情況根本不是這樣，他們的防護措施采用率沒什么值得大書特書的。

250OK今年8月新出的一份DMARC報告顯示，律所在安全協議采用上走在各行業前列，但其采納率也僅有1/3這么點兒。大部分其他公司的采納率微乎其微。詳情如下圖所示：

250OK的研究與Agari早些時候的調查遙相呼應。Agari發現，財富500強企業中恰當實現了DMARC的僅占8%，僅2%的域名有所防護。

設置DMARC、DKIM和SPF并不容易，且易受運營商錯誤影響

舉個例子，想要SPF和DMARC起到有效防護作用，你得在自己的每個域名上都安裝設置這倆協議。如果公司運營有很多域名和子域名，設置工作會變得冗長繁瑣。而且你還得確保每個子域名都有正確的DNS條目保護。

雖然有各種工具加以輔助，要配置好所有東西還是需要非常專業的技術的。甚至公司的DNS大師都未必熟悉每種協議所需的具體命令，不是因為缺乏這方面知識，而是因為這些命令使用太廣泛，語法太瑣碎。按一定的順序設置這幾個協議會讓配置工作變得稍微簡單些。

Easysol的帖子建議先從SPF開始，然后著手DKIM，最后處理DMARC。SPF相對較容易部署，所以放在最先。走到DMARC部署階段，可以在開始封堵電子郵件之前先使用其僅監視模式，確保每項設置都符合要求。

LinkedIn的工程師在協議總體實現上有些建議包括怎樣設置公司電子郵件標準以更好地保護郵件流量安全。

跟蹤消費電子郵件的所有應用

子域名及各種網頁插件可能會給協議實現帶來意想不到的麻煩。舉個例子，WordPress博客服務器上的很多插件都會發送各種各樣的郵件通知，如果在實現這幾個安全協議時未作調整，某些博客評論的郵件通知便會被放到垃圾郵件文件夾中。這種不太明顯的隱藏郵件應用需要附加額外的設置工作。

運營著很多應用的企業，可能需要搜索出接入電子郵件基礎設施的那些應用，為它們特別設置合適的身份驗證方法。有些應用可能不支持DMARC或SPF或DKIM，這種時候你就得找其他解決辦法，或者接受部分郵件可能暗藏風險的事實。

DMARC/DKIM/SPF實現之路肯定不好走，有很多岔路。最好能取得高層的支持，并正確評估完成實現計劃所需的時間。

IETF標準8301地址：

https://tools.ietf.org/html/rfc8301

DMARC報告原文地址：

https://s3.amazonaws.com/250ok-wordpress/wp-content/uploads/2018/07/31203230/Aggregate-DMARC-Report-2018.pdf