DMARC 的电子邮件安全更改
Posted: Thu Jan 30, 2025 9:15 am
Masuda:到目前为止,“SPF*1”和“DKIM*2”主要用于防止垃圾邮件。 SPF 使用发件人的 IP 地址,DKIM 使用数字签名来确定电子邮件是否合法。但是,由于这两种方法都不会检查标头和信封是否相同,因此无法完全区分欺骗电子邮件。 DMARC 的作用是仔细研究这一点。
DMARC 有一种称为对齐的机制,用于检查标头中的域名是否与 SPF 或 DKIM 验证的域名匹配。因此,通过引入DMARC,可以完全防止“域欺骗”。
许多人错误地认为必须同时兼容SPF和DKIM才能实施DMARC,但这是一个误解。如果SPF或Masu兼容,则DMARC无法实施。
*1:SPF(发件人策略框架的缩写)是一种使用源 IP 地址验证真实性的机制。当接收方收到电子邮件时,会将发送方 DNS 服务器上注册的 SPF 记录与发件人的邮件服务器信息进行匹配,以确定发件人的合法性。 巴基斯坦赌博数据 SPF 只能检测发件人邮件服务器的合法性;它不能检测标头信息(例如标头From 和Reply-To)的篡改。
*2:DKIM(域密钥识别邮件的缩写)是一种使用电子签名来验证电子邮件内容是否未更改原始内容的系统。发送的电子邮件由发件人的 DNS 服务器提供电子签名。接收方从发送DNS服务器获取公钥信息并检查签名是否正确。它不仅可以检测信封 From 的有效性,还可以检测 SPF 无法检测到的标头信息(标头 From、Reply-to 等)以及消息内容的更改。
什么是“标题发件人”和“信封发件人”?
电子邮件中有两个发件人地址:“标题发件人”和“信封发件人”。
使用邮件类比,当 A 向 B 发送电子邮件时,会在 A 所写的电子邮件之外创建一个信封。实际传输所需的信息(信封来自)被写入信封中,并且基于该信息将信封递送给B先生。当电子邮件到达 B 的邮件文件夹时,信封将被丢弃,因此当 B 打开电子邮件时,仅显示来自的标题。 SPF和DKIM都不检查信封中包含的电子邮件内容,因此“电子邮件正文中写的地址和发件人(标题来自)”和“信封中写的收件人和发件人(信封来自)”即使您不这样做,电子邮件仍然会到达。
Masuda 此外,DMARC 还有另一大优势。这就是对欺骗电子邮件的控制。到目前为止,由收件人决定是否接受或拒绝欺骗性电子邮件。但是,随着 DMARC 的引入,域所有者将能够指定如何处理模拟其域的电子邮件。
DMARC 具有三个策略。第一步“无”仅用于监控,并且欺骗性电子邮件按原样发送。下一阶段“隔离”允许您将欺骗性电子邮件隔离到单独的文件夹(例如垃圾邮件文件夹),而最强大的“拒绝”允许您删除电子邮件而不允许其发送。换句话说,一旦达到“拒绝”,冒充该公司域名的电子邮件基本上将不会被发送到任何地方。这就是它的强大之处。
菱沼:我明白了,DMARC 是必要的安全措施,不仅可以保护您的公司,还可以保护您的业务合作伙伴。然而,在这三种技术中,DMARC 只能完全防止域欺骗。针对剩下的“名称欺诈”和“相似域名”这两种方法,应该采取什么对策?
Masuda:如果将 DMARC 推进到拒绝,您将能够引入 BIMI(消息识别品牌指标)。这是一种在电子邮件上显示品牌徽标的标准,被认为是高度可靠的,由 Google、Yahoo! 和 Proofpoint 等公司联合开发。为了在BIMI中使用该标志,需要将该标志注册为商标并提前获得VMC(认证标志证书)。仅您拥有商标注册和 VMC 认证这一事实就足以证明您的公司拥有可靠的身份。
也就是说,如果BIMI上显示了这个标志,你一看就知道这封邮件不是欺骗性的。另一方面,如果您收到一封没有通常徽标的电子邮件,则可以确定这是由于显示名称欺诈或类似域名而导致的欺诈电子邮件。
Masuda:到目前为止,安全措施包括建造大量的围墙来保护您的公司免受攻击。然而,DMARC 不仅可以保护您的公司,还可以保护您的业务合作伙伴和客户。真正可以说是保护整个供应链的安全。
如今,大多数针对大公司的攻击都是寻找供应链中的薄弱环节,然后对总部发起攻击。某世界著名半导体公司强烈要求其业务合作伙伴采用DMARC。我认为日本企业应该比传统的只保护自己的安全措施更进一步,引入DMARC来保护整个供应链。
DMARC 有一种称为对齐的机制,用于检查标头中的域名是否与 SPF 或 DKIM 验证的域名匹配。因此,通过引入DMARC,可以完全防止“域欺骗”。
许多人错误地认为必须同时兼容SPF和DKIM才能实施DMARC,但这是一个误解。如果SPF或Masu兼容,则DMARC无法实施。
*1:SPF(发件人策略框架的缩写)是一种使用源 IP 地址验证真实性的机制。当接收方收到电子邮件时,会将发送方 DNS 服务器上注册的 SPF 记录与发件人的邮件服务器信息进行匹配,以确定发件人的合法性。 巴基斯坦赌博数据 SPF 只能检测发件人邮件服务器的合法性;它不能检测标头信息(例如标头From 和Reply-To)的篡改。
*2:DKIM(域密钥识别邮件的缩写)是一种使用电子签名来验证电子邮件内容是否未更改原始内容的系统。发送的电子邮件由发件人的 DNS 服务器提供电子签名。接收方从发送DNS服务器获取公钥信息并检查签名是否正确。它不仅可以检测信封 From 的有效性,还可以检测 SPF 无法检测到的标头信息(标头 From、Reply-to 等)以及消息内容的更改。
什么是“标题发件人”和“信封发件人”?
电子邮件中有两个发件人地址:“标题发件人”和“信封发件人”。
使用邮件类比,当 A 向 B 发送电子邮件时,会在 A 所写的电子邮件之外创建一个信封。实际传输所需的信息(信封来自)被写入信封中,并且基于该信息将信封递送给B先生。当电子邮件到达 B 的邮件文件夹时,信封将被丢弃,因此当 B 打开电子邮件时,仅显示来自的标题。 SPF和DKIM都不检查信封中包含的电子邮件内容,因此“电子邮件正文中写的地址和发件人(标题来自)”和“信封中写的收件人和发件人(信封来自)”即使您不这样做,电子邮件仍然会到达。
Masuda 此外,DMARC 还有另一大优势。这就是对欺骗电子邮件的控制。到目前为止,由收件人决定是否接受或拒绝欺骗性电子邮件。但是,随着 DMARC 的引入,域所有者将能够指定如何处理模拟其域的电子邮件。
DMARC 具有三个策略。第一步“无”仅用于监控,并且欺骗性电子邮件按原样发送。下一阶段“隔离”允许您将欺骗性电子邮件隔离到单独的文件夹(例如垃圾邮件文件夹),而最强大的“拒绝”允许您删除电子邮件而不允许其发送。换句话说,一旦达到“拒绝”,冒充该公司域名的电子邮件基本上将不会被发送到任何地方。这就是它的强大之处。
菱沼:我明白了,DMARC 是必要的安全措施,不仅可以保护您的公司,还可以保护您的业务合作伙伴。然而,在这三种技术中,DMARC 只能完全防止域欺骗。针对剩下的“名称欺诈”和“相似域名”这两种方法,应该采取什么对策?
Masuda:如果将 DMARC 推进到拒绝,您将能够引入 BIMI(消息识别品牌指标)。这是一种在电子邮件上显示品牌徽标的标准,被认为是高度可靠的,由 Google、Yahoo! 和 Proofpoint 等公司联合开发。为了在BIMI中使用该标志,需要将该标志注册为商标并提前获得VMC(认证标志证书)。仅您拥有商标注册和 VMC 认证这一事实就足以证明您的公司拥有可靠的身份。
也就是说,如果BIMI上显示了这个标志,你一看就知道这封邮件不是欺骗性的。另一方面,如果您收到一封没有通常徽标的电子邮件,则可以确定这是由于显示名称欺诈或类似域名而导致的欺诈电子邮件。
Masuda:到目前为止,安全措施包括建造大量的围墙来保护您的公司免受攻击。然而,DMARC 不仅可以保护您的公司,还可以保护您的业务合作伙伴和客户。真正可以说是保护整个供应链的安全。
如今,大多数针对大公司的攻击都是寻找供应链中的薄弱环节,然后对总部发起攻击。某世界著名半导体公司强烈要求其业务合作伙伴采用DMARC。我认为日本企业应该比传统的只保护自己的安全措施更进一步,引入DMARC来保护整个供应链。