預防BEC詐騙,從三大郵件安全協議開始
責編:gltian |2020-07-28 13:23:59聯邦調查局在2019年收到467,361起互聯網和網絡犯罪投訴,該機構估計這些投訴造成的損失超過35億美元。聯邦調查局表示,幾乎一半的損失來自商業電子郵件詐騙(Business Email Compromise,簡稱 BEC)。在黑客入侵公司的電子郵件賬戶之后,就可能會發生典型的BEC詐騙。通常,黑客會采用偽造郵箱地址、假冒身份、假冒郵件等手段,這樣做的目的是誘使財務人員將錢匯入黑客指定的銀行賬戶。
目前,電子郵件仍是企業溝通和信息傳遞最重要的工具,80%以上辦公文檔、95%以上的公司業務機密文件都通過電子郵件進行傳遞和交流并留檔保存。郵件安全顯得尤為重要,如何進行安全防護?如何避免BEC詐騙?做好SPF、DKIM 、DMARC三大郵件安全協議部署可謂是磨刀不誤砍柴工。
SPF記錄
SPF 全稱為Sender Policy Framework,是電子郵件系統中發件人策略框架的縮寫,它的內容寫在DNS的txt類型記錄里面,作用是防止別人偽造實際發件人的郵件地址進行發信。
你也許會問 SPF記錄設置中 ??~all和-all有什么區別?
SPF記錄為發件方設置,收件方檢查,~all 收件方默認不做主動處理,-all?收件方一般會做主動處理。
如何設置SPF?
設置階段一: ~all觀察模式
v=spf1 ip4:X.X.X.X/31 ip4:X.X.X.X ~all
可以外發163等公共郵箱,查看郵件標頭,驗證郵件是否正常顯示SPF為pass狀態。
設置階段二: -all判斷模式
v=spf1 ip4:X.X.X.X/31 ip4:X.X.X.X -all
再將記錄改為-all模式,收件方才可正常判斷。
使用守內安SPAM SQR郵件安全網關進行SPF處理,檢查郵件是否由經過授權的郵件服務器發出,阻擋偽裝網域對內發送的假冒郵件。
1、可對Fail失敗(-all狀態記錄)進行可靠的拒絕聯機
2、安全角度管控,亦可以對SoftFail軟性失敗(~all狀態記錄)進行處理,原因是SPF是發件方設置對外宣稱的網域來源IP,既然發件方設置,即可進行拒絕或攔截
3、可以對SPF記錄進行標記處理,搭配郵件行為過濾條件靈活設置,針對網域進行分別處理
DKIM記錄
DKIM 全稱為 DomainKeys Identified Mail,DKIM簽名可以表明郵件真實來源和內容完整性,防止郵件被篡改。
設置階段一: 使用openssl工具先產生一對公鑰和密鑰
設置階段二: 在域名管理web平臺設置txt記錄
主機記錄格式為 default._domainkey
記錄值格式為 v=DKIM1; p=ADAS…QQCB 其中 p= 后邊的一串字符就是我們在第一步中創建的公鑰文件pubkey.pem里邊“—–BEGIN PUBLIC KEY—–”和“—–END PUBLIC KEY—–”之間的內容。
使用守內安 Mail SQR Expert 郵件審計進行 DKIM 處理,發送時,可以加入 DKIM 簽章,供收信端驗證。接收時,可以做 DKIM 驗證,失敗可在主題添加提示文字,提醒收件人留意郵件來源。
- 針對外發郵件進行審計操作,并在郵件最終投遞之前添加DKIM信息,保障郵件信息完整性
- 公私鑰靈活設置,可由系統自行產生或管理者自行定義
DMARC記錄
DMARC 全稱為 Domain-based Message Authentication, Reporting and Conformance,可以判斷header-from地址是否滿足DMARC記錄,其域名和envelope-from域名是否一致,防止攻擊者冒充顯示地址,繞過SPF記錄,欺騙他人。
如何設置DMARC?
設置階段一: 前提必須發件方先設置SPF或DKIM
設置階段二:
主機記錄格式為 _dmarc
記錄值格式為???? v=DMARC1; p=reject;??????其中p=為狀態處理
=none?????? 僅做測試,收信方應忽略DMARC檢查結果,進入后續的反垃圾流程
=quarantine? 收信方應認為這是一封可疑郵件,可以投遞到垃圾箱或做特殊標記
=reject??? 收信方應直接拒絕本次SMTP會話請求
使用守內安SPAM SQR郵件安全網關進行DMARC處理,有效識別偽造郵件,避免遭受詐騙攻擊。
- 可根據發件方設置動作進行處理
- 亦可根據發件方設置,采用標記域名,靈活區分判斷
守內安 BEC 詐騙解決方案
SPAM SQR 威脅郵件全防御
N-tier 多層次過濾機制,具備完善的威脅特征與惡意網址數據庫,搭載多種防御引擎,利用差分更新技術,有效縮短零時差攻擊的風險,提供企業更安全的郵件使用環境。
高級防御模塊 ( Advanced Defense Module ),提供智能詐騙郵件行為特征檢測,通過云端機制定期更新詐騙源數據庫和詐騙特征,防御 BEC 詐騙郵件、冒名偽造網域社交郵件以及各式詐騙來源郵件。
SPAM SQR 協助揭露潛在威脅
密碼強度檢測模塊,定期掃描用戶密碼強度,了解實際弱密碼漏洞數與用戶密碼安全意識強弱。獨立的威脅統計報表提供完整郵件收發情況、密碼被猜測次數及認證來源異常、惡意連結不當點擊等信息。并可通過系統自動匯總威脅指針觸發的排行名單,讓管理者快速定位被瞄準者與安全意識不足者。
可運用 SPAM SQR 約定往來信件的驗證機制,如 SPF,DKIM,DMARC,降低待發郵件被偽造冒名的機會。
Mail SQR Expert 外發加密防偽、內發提醒
可將內容含有匯款賬號,匯款金額關鍵詞的待發郵件,將附件自動轉為 PDF 并加密,收件人必須取得密碼才能看到附件內容。
可將內容含有匯款賬號,匯款金額關鍵詞的待發郵件,轉換成超鏈接發給收件人,收件人必須訪問超鏈接輸入密碼才能看到信件內容。
當發件來源隱藏偽造特征,或 DKIM 驗證失敗的郵件,傳送到客戶端時,Mail SQR Expert 便會在郵件主題加以標注提醒,讓收件人提高警惕。