DMARC：如何应对企业电子邮件信息泄露

以电子邮件为潜在媒介的欺诈行为正在迅速猖獗，这将导致企业电子邮件泄露（BEC）。BEC攻击主要针对商业、政府和非营利组织。此类攻击影响巨大，可导致企业大量信息数据丢失、安全事故甚至财产损失。或许人们常常误以为网络犯罪分子的目标是跨国公司和企业级组织。然而，事实是，中小企业也“难逃一劫”。BEC攻击对企业安全的影响BEC攻击包括复杂的社会工程攻击，例如网络钓鱼、CEO欺诈、伪造发票和电子邮件欺骗。这种方法也称为冒名顶替攻击，即冒充公司高层人员进行欺诈活动，如CFO、CEO等，部分攻击者冒充业务合作伙伴或任何其他人更加信任和亲近。这些对于BEC攻击的成功很重要。因素。2021年2月，俄罗斯网络组织CosmicLynx进行了成熟的BEC攻击布局。自2019年7月以来，该组织针对全球46个国家进行了200次BEC攻击，重点是在全球开展业务的大型跨国公司。攻击者使用的钓鱼邮件经过高度混淆，难以辨别真假。新冠疫情后，远程办公进一步推动了视频会议应用的普及。在本案中，网络罪犯冒充视频会议程序Zoom的官方平台，发送虚假邮件，窃取登录凭证，进一步窃取企业的大量数据。可见，近期BEC的关注度正在迅速凸显，相关事件不断增多，攻击者的作案手法和工具也在不断创新。BEC影响着全球70%以上的组织，每年造成数十亿美元的损失。这就是为什么行业专家提出了DMARC等邮件身份验证协议来提供更高级别的假冒保护的原因。抵御BEC攻击的邮件认证方法邮件认证是部署各种能够提供邮件来源可信度的技术，在邮件传输过程中通过验证邮件传输代理的域名归属来检测其安全性。简单邮件传输协议(SMTP)是电子邮件传输的行业标准，但没有内置的消息验证功能。这就是为什么黑客机器容易受到电子邮件钓鱼和域名欺骗攻击的原因。利用是缺乏安全性使网络犯罪分子极易发起电子邮件网络钓鱼和域欺骗攻击的原因。因此，DMARC（Domain-basedMessageAuthentication,ReportingandConformance，邮件认证系统）应运而生。使用DMARC防止BEC的具体步骤如下。(1)第一步：实现实际上，对抗BEC攻击的第一步就是为用户域配置DMARC。DMARC使用SPF和DKIM身份验证标准来验证从拥有域发送的电子邮件。具体来说，它指的是接收服务器如何响应未同时通过SPF和DKIM身份验证的电子邮件，并允许域所有者控制收件人的响应方式。那么，您如何实施DMARC？识别对用户域具有权威性的所有有效电子邮件来源；在用户的DNS中发布一条SPF记录，并进行SPF域配置；在用户的DNS中发布DKIM记录，并进行DKIM域配置；在DNS中发布DMARC记录并配置DMARC域。(2)第2步：执行DMARC规则Policy可设置为：p=none（DMARC仅处于监听状态，未通过认证的邮件仍将被投递）p=quarantine（DMARC处于执行状态，未通过认证的邮件havenotpassedauthenticationwillbequarantine)p=reject(DMARCisenforced;non-authenticatedemailsareentirelyterminated)当DMARC与仅监控策略一起使用时，用户可以随时看到电子邮件流和传递问题，但是，这不向BEC提供任何Protect。因此，DMARC需要过渡到强制状态，隔离利用域所有者的恶意电子邮件传播给客户的电子邮件。（3）第3步：监控和上报当用户设置DMARC策略强制执行时，是否可以完全抵抗BEC？不，后续的监测和报告过程也很重要。采用的平台具体功能如下：控制用户域名；直观监控每个注册电子邮件、用户和域的身份验证结果；删除试图冒充用户的滥用IP地址。DMARC报告主要包括DMARC总结报告和DMARC取证报告。DMARC实施、执行和报告的结合有助于进一步防止企业BEC攻击并减少被抓到的机会。DMARC和反垃圾邮件过滤器之间的区别有些人可能会问这与反垃圾邮件过滤器有何不同？事实上，DMARC的工作方式与普通的反垃圾邮件过滤器和电子邮件安全网关完全不同。虽然这些解决方案通常与云电子邮件交换器服务集成，但它们仅提供针对入站网络钓鱼尝试的保护。所以，从用户域发送的邮件仍然存在被冒充的风险来看，这时候DMARC就派上用场了。其他增强邮件安全的方法(1)始终保持DNS查询记录少于10条。超过10条DNS查询记录会使用户的SPF完全失效，即使是普通的邮件也无法通过认证。在这种情况下，如果DMARC设置为“拒绝”，则不会发送常规电子邮件。(2)确保邮件在传输过程中的TLS加密尽管DMARC保护用户免受社会工程学攻击和BEC攻击，但它仍然需要为无处不在的监视攻击做好准备，例如中间人（MITM）。这可以通过确保每次将电子邮件发送到用户域时，通过TLS安全连接在SMTP服务器之间进行协调来实现。（3）使用BIMI提高邮件安全性使用BIMI（BrandIndexforEmailIdentification）进行分类，帮助收件人更直观地识别收件箱中的对方身份，将企业邮件的安全性提高到一个新的水平。参考来源：Thehackernews