如何通過電子郵件身份驗證保護小型企業免受 BEC 的影響?
已發表: 2021-01-31Business Email Compromise 或 BEC 是一種電子郵件安全漏洞或假冒攻擊,它會影響商業、政府、非營利組織、小型企業和初創公司以及跨國公司和企業,以提取可能對品牌或組織產生負面影響的機密數據。 魚叉式網絡釣魚攻擊、發票詐騙和欺騙攻擊都是 BEC 的例子。
網絡犯罪分子是專門針對組織內特定人員的專家策劃者,尤其是那些處於獨裁職位的人,例如首席執行官或類似人員,甚至是可信賴的客戶。 BEC 對全球金融的影響是巨大的,尤其是在已成為主要樞紐的美國。 解決方案? 切換到 DMARC!
什麼是 DMARC?
基於域的消息身份驗證、報告和一致性 (DMARC) 是電子郵件身份驗證的行業標準。 此身份驗證機制指定接收服務器如何響應未通過 SPF 和 DKIM 身份驗證檢查的電子郵件。 DMARC 可以將您的品牌遭受 BEC 攻擊的機率大大降低,並幫助保護您的品牌聲譽、機密信息和金融資產。
請注意,在發布 DMARC 記錄之前,您需要為您的域實施 SPF 和 DKIM,因為 DMARC 身份驗證使用這兩種標準身份驗證協議來驗證代表您的域發送的消息。
如何優化您的 DMARC 記錄以防止 BEC?
為了保護您的域免受商業電子郵件入侵,並啟用廣泛的報告機制來監控身份驗證結果並全面了解您的電子郵件生態系統,我們建議您在域的 DNS 中發布以下 DMARC 記錄語法:
v=DMARC1; p=拒絕; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;
了解生成 DMARC 記錄時使用的標籤:
| v(強制) | 該機制指定協議的版本。 |
| p(強制) | 此機制指定正在使用的 DMARC 策略。 您可以將您的 DMARC 政策設置為:p=none(DMARC 僅監控其中未通過身份驗證檢查的電子郵件仍會進入接收者的收件箱)。 p=quarantine(執行 DMARC,其中未通過身份驗證檢查的電子郵件將被隔離或存入垃圾郵件文件夾)。 p=reject(DMARC 最大限度地執行,其中未通過身份驗證檢查的電子郵件將被丟棄或根本不發送)。 對於身份驗證新手,建議從僅監控 (p=none) 的策略開始,然後慢慢轉向強制執行。 但是,就本博客而言,如果您想保護您的域免受 BEC 的影響,建議您使用 p=reject 策略,以確保獲得最大程度的保護。 |
| sp(可選) | 此標籤指定子域策略,可以設置為 sp=none/quarantine/reject 為電子郵件未通過 DMARC 身份驗證的所有子域請求策略。 僅當您希望為主域和子域設置不同的策略時,此標記才有用。 如果未指定,默認情況下將對您的所有子域徵收相同的政策。 |
| adkim(可選) | 此機制指定 DKIM 標識符對齊模式,可以設置為 s(嚴格)或 r(寬鬆)。 嚴格對齊指定電子郵件標頭的 DKIM 簽名中的 d=field 必須與在 from 標頭中找到的域完全對齊和匹配。 但是,對於鬆弛對齊,兩個域必須僅共享相同的組織域。 |
| aspf(可選) | 該機制指定 SPF 標識符對齊模式,可以設置為 s(嚴格)或 r(寬鬆)。 嚴格對齊指定“返迴路徑”標頭中的域必須與從標頭中找到的域完全對齊和匹配。 但是,對於鬆弛對齊,兩個域必須僅共享相同的組織域。 |
| rua(可選但推薦) | 此標籤指定發送到 mailto: 字段後指定地址的 DMARC 匯總報告,提供有關通過和失敗 DMARC 的電子郵件的洞察力。 |
| ruf(可選但推薦) | 此標記指定要發送到 mailto: 字段後指定的地址的 DMARC 取證報告。 取證報告是消息級報告,可提供有關身份驗證失敗的更詳細信息。 由於這些報告可能包含電子郵件內容,因此最好對它們進行加密。 |
| pct(可選) | 此標籤指定 DMARC 策略適用的電子郵件百分比。 默認值設置為 100。 |
| fo(可選但推薦) | 您的 DMARC 記錄的取證選項可以設置為:DKIM 和 SPF 不通過或對齊 (0)DKIM 或 SPF 不通過或對齊 (1)DKIM 不通過或對齊 (d)SPF 不通過pass 或 align (s) 推薦的模式是 fo=1,指定當電子郵件未通過 DKIM 或 SPF 身份驗證檢查時生成取證報告並將其發送到您的域。 |
您可以使用 PowerDMARC 的免費 DMARC 記錄生成器生成您的 DMARC 記錄,您可以在其中根據您想要的執行級別選擇字段。
請注意,只有拒絕執行策略才能最大限度地減少 BEC,並保護您的域免受欺騙和網絡釣魚攻擊。
雖然 DMARC 可以成為保護您的業務免受 BEC 影響的有效標準,但正確實施 DMARC 需要付出努力和資源。 無論您是身份驗證新手還是身份驗證愛好者,作為電子郵件身份驗證的先驅,PowerDMARC 是一個單一的電子郵件身份驗證 SaaS 平台,它結合了 DMARC、SPF、DKIM、BIMI、MTA-STS 和 TLS-RPT 等所有電子郵件身份驗證最佳實踐,在同一個屋簷下為您服務。 我們幫助您:
- 立即從監控轉向執法,以阻止 BEC
- 我們的匯總報告以簡化圖表和表格的形式生成,幫助您輕鬆理解它們,而無需閱讀複雜的 XML 文件
- 我們對您的取證報告進行加密,以保護您的信息隱私
- 在我們用戶友好的儀表板上以 7 種不同格式(每個結果、每個發送源、每個組織、每個主機、詳細統計信息、地理位置報告、每個國家/地區)查看您的身份驗證結果,以獲得最佳用戶體驗
- 通過將您的電子郵件與 SPF 和 DKIM 對齊來獲得 100% 的 DMARC 合規性,這樣未通過任一身份驗證檢查點的電子郵件就不會進入您的接收者的收件箱
DMARC 如何防止 BEC?
一旦您將 DMARC 政策設置為最大限度地強制執行 (p=reject),DMARC 就會通過減少假冒攻擊和域濫用的機會來保護您的品牌免受電子郵件欺詐。 所有入站郵件都會根據 SPF 和 DKIM 電子郵件身份驗證檢查進行驗證,以確保它們來自有效來源。
SPF 作為 TXT 記錄存在於您的 DNS 中,顯示所有有權從您的域發送電子郵件的有效來源。 收件人的郵件服務器根據您的 SPF 記錄驗證電子郵件以對其進行身份驗證。 DKIM 分配使用私鑰創建的加密簽名來驗證接收服務器中的電子郵件,其中接收者可以從發件人的 DNS 中檢索公鑰以驗證消息。 根據您的拒絕政策,當身份驗證檢查失敗時,電子郵件根本不會發送到收件人的郵箱,這表明您的品牌被冒充。 這最終可以阻止 BEC 之類的欺騙和網絡釣魚攻擊。
PowerDMARC 的小型企業基本計劃
我們的基本計劃每月僅 8 美元起,因此嘗試採用 DMARC 等安全協議的小型企業和初創公司可以輕鬆利用它。 您可以使用此計劃獲得的優勢如下:
- 為您的年度計劃節省 20%
- 多達 2,000,000 封符合 DMARC 的電子郵件
- 最多 5 個域
- 1年數據歷史
- 2 平台用戶
- 託管BIMI
- 託管 MTA-STS
- TLS-RPT
立即註冊免費的 DMARC Analyzer,通過最大限度地減少商業電子郵件洩露和電子郵件欺詐的機會來保護您的品牌域名!
| Url-protecting-small-businesses-from-bec 關鍵字:BEC,電子郵件身份驗證,DMARC,優化您的 DMARC 記錄,DMARC 記錄元:像 DMARC 這樣的電子郵件身份驗證協議可以幫助您有效地最小化 BEC,同時保持在您的預算之內! |