定义
DMARC是一个开放式电子邮件身份验证协议,提供电子邮件通道的域级保护。DMARC.身份验证检测并防止用于网络钓鱼,商业电子邮件危及(BEC)和其他基于电子邮件的攻击的电子邮件欺骗技术。在现有标准上构建-SPF和DKIM-DMARC是第一个且唯一可广泛部署的技术,可以使域名标题“来自”域标准。域所有者可以在域名系统(DNS)中发布DMARC记录,并创建一个策略,以告诉接收器与失败身份验证的电子邮件有关。
例子
- 领域欺骗 - 攻击者欺骗公司的域名,以发给电子邮件似乎合法。
- 电子邮件欺骗 - 一个涉及电子邮件的欺骗活动的术语。
- 商业电子邮件妥协(BEC)-AN电子邮件似乎来自一个组织内的高级员工,要求发送金钱或敏感信息。
- Ippostor电子邮件 - 一个欺骗者发送的欺骗电子邮件,被声称成为他们不是的人。
- 电子邮件网络钓鱼 - 这是一个尝试让受害者安装恶意软件或提供其凭据的电子邮件。网络钓鱼电子邮件通常看起来像一个熟悉的品牌出现合法。
- 消费者网络钓鱼欺骗式电子邮件发送给声称来自该公司的公司的消费者,以窃取凭证。
- 供应链合作伙伴之间的合作伙伴欺骗业务的欺骗电子邮件,试图更改付款详细信息以才能虹吸金钱。
- 捕鲸电子邮件诈骗邮件发送给一个旨在获得大型财务收益的组织内的高级员工。
标准
- 基于域的消息身份验证报告和符合(DMARC)-an检测和防止的电子邮件验证系统电子邮件欺骗。它有助于打击经常使用的某些技术网络钓鱼和电子邮件垃圾邮件,例如具有伪造的发件人地址的电子邮件,该地址似乎来自合法组织。
- 发件人策略框架(SPF)-an电子邮件验证协议旨在检测和阻止电子邮件。它允许接收邮件交换机来验证来自域中的传入邮件来自该域管理员授权的IP地址。
- DomainKeys识别邮件(DKIM)-an电子邮件身份验证方法,可检测电子邮件欺骗。它允许接收器检查该域所有者是否授权来自特定域名的电子邮件。
- 绑定运营指令18-01-国土安全部发出绑定运营指令18-01,以升级其电子邮件和网络安全。各机构需要有效地实施SPF,DMARC和StartTL。
SPF和DKIM
发件人策略框架(SPF)是一种电子邮件验证协议,允许组织指定可以从其域发送电子邮件的组织。组织可以在域名系统(DNS)中发布的SPF记录中授权发件人。此记录包括电子邮件发件人的已批准的IP地址,包括已授权在组织上发送电子邮件的服务提供商的IP地址。发布和检查SPF记录是停止网络钓鱼和其他基于电子邮件的基于电子邮件的威胁的可靠方法。
域键已识别邮件(DKIM)是一种电子邮件身份验证协议,允许接收器检查该域所有者是否真正授权来自特定域的电子邮件。它允许组织负责通过将数字签名附加到它来传输消息。验证是通过使用DNS中发布的签名者的公钥进行加密身份验证完成的。签名确保了电子邮件的某些部分,因为附加数字签名时尚未修改。
DMARC如何工作
对于传递DMARC身份验证的消息,它必须通过SPF身份验证和SPF对齐和/或通过DKIM身份验证和DKIM对齐。如果消息失败DMARC,则发件人可以通过DMARC策略指示与该消息处理的接收器。域所有者有三个策略可以强制执行:无(邮件被传递给收件人,DMARC报告被发送到域所有者),隔离区(消息被移动到隔离文件夹)并拒绝(未传递消息)根本)。
“无”的DMARC政策是一个很好的第一步。这样,域名所有者可以确保所有合法的电子邮件都正常验证。域所有者接收DMARC报告以帮助他们确保识别所有合法的电子邮件并通过身份验证。一旦域所有者相信他们已经确定了所有合法的发件人并拥有固定的身份验证问题,他们可以转向“拒绝”和块网络钓鱼,商业电子邮件妥协以及其他电子邮件欺诈攻击的策略。作为电子邮件接收器,组织可以确保其安全电子邮件网关强制执行到域所有者实现的DMARC策略。这将保护员工免受入站电子邮件威胁。
SPF认证通过识别应该从给定域发送电子邮件的所有合法IP地址开始,然后在DNS中发布此列表。在提供邮件之前,通过查找电子邮件的隐藏技术标题中的“来自”地址中包含的“信封”地址中包含的域,将验证SPF记录。如果在域的SPF记录中未列出代表此域名发送电子邮件的IP地址,则该消息将失败SPF身份验证。
对于DKIM身份验证,发件人首先识别他们希望在其DKIM签名中包含的字段。这些字段可以包括“来自”地址,电子邮件正文,主题等。这些字段必须保持不变,或者消息将失败DKIM身份验证。其次,发件人的电子邮件平台将创建DKIM签名中包含的文本字段的哈希字段。生成哈希字符串后,它将使用私钥加密,只有发送方可以访问。发送电子邮件后,它由电子邮件网关或消费者邮箱提供商验证为DKIM签名。这是通过定位一个私钥的完全匹配的公钥来完成的。然后将DKIM签名解密回其原始哈希字符串。
DMARC最佳实践和工具
- 由于DMARC报告的卷,即电子邮件发件人可以在DMARC报告中提供和缺乏清晰度,完全实现DMARC身份验证可能很困难。
- DMARC解析工具可以帮助组织对DMARC报告中包含的信息感。
- DMARC中包含的附加数据和洞察力在DMARC中报告帮助组织更快,更准确地识别电子邮件发件人。这有助于加快实现DMARC身份验证的过程,并降低阻止合法电子邮件的风险。
- 具有DMARC专业知识的专业服务顾问可以帮助组织DMARC实施。顾问可以帮助识别所有合法的发件人,修复身份验证问题,甚至可以使用电子邮件服务提供商,以确保它们正常进行身份验证。
- 组织可以在几分钟内创建DMARC记录,并通过执行“无”的DMARC策略来开始通过DMARC报告获得可见性。
- 通过适当地识别所有合法的电子邮件发件人 - 包括第三方电子邮件服务提供商 - 并修复任何身份验证问题,组织应在执行“拒绝”的DMARC策略之前达到高度置信水平。