為什么有了 SPF,還要設置 DMARC?
責編:gltian |2020-07-28 13:29:39還記得小編前段時間在推文中介紹的郵件安全三大協議嗎?今天就和大家來聊聊為什么有了 SPF,還要設置 DMARC?這要從郵件發件人地址說起,每一封郵件都有兩個發件人地址欄位,一個是 header-from,即顯示發件人,用戶客戶端直觀看到的發件人地址,
另一個是 envelope-from,即實際發件人,服務器之間傳輸的發件人地址,標識在郵件標頭中。
在漫天飛舞的外部郵件中,往往實際發件人和顯示發件人常常會有不一致的情況,如系統發送的郵件,訂閱類、廣告類郵件,從某種角度上來說,可能郵件并未存在真實的發件人,因為這兩個地址都可以偽造。
為什么有了 SPF,還要設置 DMARC?
發件方不是內部用戶,收件方無法驗證發件方是否通過賬戶密碼驗證,只能做匿名接收,所以郵件發件人地址都可能是不可靠的。根據最新報告顯示,虛假電子郵件的日發送量已經高達 64 億封。這一總數還僅僅包含了精確域(exact-domain)發件人欺詐,在這種形式中,發件人會在“From”(郵件來源)一欄中放入虛假的電子郵件地址。這是最難檢測且極具破壞性的虛假電子郵件類型之一。
SPF 的判斷僅針對實際發件人生效,也就是顯示發件人依然可以被偽造利用。而 DMARC 恰恰彌補了 SPF 的不足,針對顯示發件人也可以分析。DMARC的目標是建立在發件方和收件方協作的系統之上,以改進發送方的郵件身份驗證實踐,并使接收方能夠拒絕未經身份驗證的消息。由于記錄是發件方設置,收件方檢查,所以設置 DMARC,加固自身,對于提高發件方自身信譽,防止被偽造有一定幫助。而有郵件往來的公司都進行 DMARC 設置,則對雙方安全加固均有幫助。
DMARC是怎么運作的?
DMARC從發送方策略框架(SPF)開始。該框架詳細列出了哪些服務器有權從特定域名發出電子郵件消息。 SPF 記錄存儲在某公司或機構的 DNS 服務器上,郵件到達公司電子郵件網關時,其原始服務器信息會比照 SPF 記錄進行核對。如果是經過授權的服務器,該條消息就能繼續發送,如果不是,做丟棄處理。
然后就是域名認證密鑰識別郵件(DKIM)登場的時候了。DKIM 會使用存儲在公司 DNS 服務器上的數字簽名來驗證電子郵件消息關聯的域名。電子郵件消息隨附的簽名與存儲的密鑰作比對,如果不匹配,說明該電子郵件消息來自未授權服務器,做丟棄處理。
除了提醒與你有郵件往來的合作伙伴設置郵件安全三大協議外,還可以使用守內安 SPAM SQR 進行郵件安全防范。
關于 守內安電子郵件安全網關SPAM SQR 與 ADM 高級防御模塊
守內安 SPAM SQR 內置多種引擎 (惡意文檔分析引擎、威脅感知引擎、智能詐騙引擎) 、惡意網址數據庫,并可整合防毒與動態沙箱等機制,以多層式的運行過濾方式,對抗惡意威脅郵件的入侵。
SPAM SQR 的 ADM 高級防御模塊 (Advanced Defense Module),可防御魚叉式攻擊、 APT 等新型進階攻擊手法郵件。研究團隊經長時間的追蹤黑客攻擊行為,模擬產出靜態特征。程序自動解封裝文檔進行掃描,可發掘潛在代碼、隱藏的邏輯路徑及反組譯代碼,以利進行進階惡意程序分析比對。可提高攔截夾帶零時差 (Zero-day) 惡意程序、APT 攻擊工具及含有文件漏洞的攻擊附件等攻擊手法郵件的能力。