如何通过电子邮件身份验证保护小型企业免受 BEC 的影响?
已发表: 2021-01-31Business Email Compromise 或 BEC 是一种电子邮件安全漏洞或假冒攻击,它会影响商业、政府、非营利组织、小型企业和初创公司以及跨国公司和企业,以提取可能对品牌或组织产生负面影响的机密数据。 鱼叉式网络钓鱼攻击、发票诈骗和欺骗攻击都是 BEC 的例子。
网络犯罪分子是专门针对组织内特定人员的专家策划者,尤其是那些处于独裁职位的人,例如首席执行官或类似人员,甚至是可信赖的客户。 BEC 对全球金融的影响是巨大的,尤其是在已成为主要枢纽的美国。 解决方案? 切换到 DMARC!
什么是 DMARC?
基于域的消息身份验证、报告和一致性 (DMARC) 是电子邮件身份验证的行业标准。 此身份验证机制指定接收服务器如何响应未通过 SPF 和 DKIM 身份验证检查的电子邮件。 DMARC 可以将您的品牌遭受 BEC 攻击的几率大大降低,并帮助保护您的品牌声誉、机密信息和金融资产。
请注意,在发布 DMARC 记录之前,您需要为您的域实施 SPF 和 DKIM,因为 DMARC 身份验证使用这两种标准身份验证协议来验证代表您的域发送的消息。
如何优化您的 DMARC 记录以防止 BEC?
为了保护您的域免受商业电子邮件入侵,并启用广泛的报告机制来监控身份验证结果并全面了解您的电子邮件生态系统,我们建议您在域的 DNS 中发布以下 DMARC 记录语法:
v=DMARC1; p=拒绝; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;
了解生成 DMARC 记录时使用的标签:
| v(强制) | 该机制指定协议的版本。 |
| p(强制) | 此机制指定正在使用的 DMARC 策略。 您可以将您的 DMARC 政策设置为:p=none(DMARC 仅监控其中未通过身份验证检查的电子邮件仍会进入接收者的收件箱)。 p=quarantine(执行 DMARC,其中未通过身份验证检查的电子邮件将被隔离或存入垃圾邮件文件夹)。 p=reject(DMARC 最大限度地执行,其中未通过身份验证检查的电子邮件将被丢弃或根本不发送)。 对于身份验证新手,建议从仅监控 (p=none) 的策略开始,然后慢慢转向强制执行。 但是,就本博客而言,如果您想保护您的域免受 BEC 的影响,建议您使用 p=reject 策略,以确保获得最大程度的保护。 |
| sp(可选) | 此标签指定子域策略,可以设置为 sp=none/quarantine/reject 为电子邮件未通过 DMARC 身份验证的所有子域请求策略。 仅当您希望为主域和子域设置不同的策略时,此标记才有用。 如果未指定,默认情况下将对您的所有子域征收相同的政策。 |
| adkim(可选) | 此机制指定 DKIM 标识符对齐模式,可以设置为 s(严格)或 r(宽松)。 严格对齐指定电子邮件标头的 DKIM 签名中的 d=field 必须与在 from 标头中找到的域完全对齐和匹配。 但是,对于松弛对齐,两个域必须仅共享相同的组织域。 |
| aspf(可选) | 该机制指定 SPF 标识符对齐模式,可以设置为 s(严格)或 r(宽松)。 严格对齐指定“返回路径”标头中的域必须与从标头中找到的域完全对齐和匹配。 但是,对于松弛对齐,两个域必须仅共享相同的组织域。 |
| rua(可选但推荐) | 此标签指定发送到 mailto: 字段后指定地址的 DMARC 汇总报告,提供有关通过和失败 DMARC 的电子邮件的洞察力。 |
| ruf(可选但推荐) | 此标记指定要发送到 mailto: 字段后指定的地址的 DMARC 取证报告。 取证报告是消息级报告,可提供有关身份验证失败的更详细信息。 由于这些报告可能包含电子邮件内容,因此最好对它们进行加密。 |
| pct(可选) | 此标签指定 DMARC 策略适用的电子邮件百分比。 默认值设置为 100。 |
| fo(可选但推荐) | 您的 DMARC 记录的取证选项可以设置为:DKIM 和 SPF 不通过或对齐 (0)DKIM 或 SPF 不通过或对齐 (1)DKIM 不通过或对齐 (d)SPF 不通过pass 或 align (s) 推荐的模式是 fo=1,指定当电子邮件未通过 DKIM 或 SPF 身份验证检查时生成取证报告并将其发送到您的域。 |
您可以使用 PowerDMARC 的免费 DMARC 记录生成器生成您的 DMARC 记录,您可以在其中根据您想要的执行级别选择字段。
请注意,只有拒绝执行策略才能最大限度地减少 BEC,并保护您的域免受欺骗和网络钓鱼攻击。
虽然 DMARC 可以成为保护您的业务免受 BEC 影响的有效标准,但正确实施 DMARC 需要付出努力和资源。 无论您是身份验证新手还是身份验证爱好者,作为电子邮件身份验证的先驱,PowerDMARC 是一个单一的电子邮件身份验证 SaaS 平台,它结合了 DMARC、SPF、DKIM、BIMI、MTA-STS 和 TLS-RPT 等所有电子邮件身份验证最佳实践,在同一个屋檐下为您服务。 我们帮助您:
- 立即从监控转向执法,以阻止 BEC
- 我们的汇总报告以简化图表和表格的形式生成,帮助您轻松理解它们,而无需阅读复杂的 XML 文件
- 我们对您的取证报告进行加密,以保护您的信息隐私
- 在我们用户友好的仪表板上以 7 种不同格式(每个结果、每个发送源、每个组织、每个主机、详细统计信息、地理位置报告、每个国家)查看您的身份验证结果,以获得最佳用户体验
- 通过将您的电子邮件与 SPF 和 DKIM 对齐来获得 100% 的 DMARC 合规性,这样未通过任一身份验证检查点的电子邮件就不会进入您的接收者的收件箱
DMARC 如何防止 BEC?
一旦您将 DMARC 政策设置为最大限度地强制执行 (p=reject),DMARC 就会通过减少假冒攻击和域滥用的机会来保护您的品牌免受电子邮件欺诈。 所有入站邮件都会根据 SPF 和 DKIM 电子邮件身份验证检查进行验证,以确保它们来自有效来源。
SPF 作为 TXT 记录存在于您的 DNS 中,显示所有有权从您的域发送电子邮件的有效来源。 收件人的邮件服务器根据您的 SPF 记录验证电子邮件以对其进行身份验证。 DKIM 分配使用私钥创建的加密签名来验证接收服务器中的电子邮件,其中接收者可以从发件人的 DNS 中检索公钥以验证消息。 根据您的拒绝政策,当身份验证检查失败时,电子邮件根本不会发送到收件人的邮箱,这表明您的品牌被冒充。 这最终可以阻止 BEC 之类的欺骗和网络钓鱼攻击。
PowerDMARC 的小型企业基本计划
我们的基本计划每月仅 8 美元起,因此尝试采用 DMARC 等安全协议的小型企业和初创公司可以轻松利用它。 您可以使用此计划获得的优势如下:
- 为您的年度计划节省 20%
- 多达 2,000,000 封符合 DMARC 的电子邮件
- 最多 5 个域
- 1年数据历史
- 2 平台用户
- 托管BIMI
- 托管 MTA-STS
- TLS-RPT
立即注册免费的 DMARC Analyzer,通过最大限度地减少商业电子邮件泄露和电子邮件欺诈的机会来保护您的品牌域名!
| Url-protecting-small-businesses-from-bec 关键字:BEC,电子邮件身份验证,DMARC,优化您的 DMARC 记录,DMARC 记录元:像 DMARC 这样的电子邮件身份验证协议可以帮助您有效地最小化 BEC,同时保持在您的预算之内! |