IT行业的决策者非常清楚电子邮件钓鱼攻击已经变得猖獗。其中包括“商业电子邮件泄露”(Business Email Compromise),公司被骗支付假发票,以及“捕鲸网络钓鱼”(whaling phishing),攻击者以首席财务官(cfo)和首席运营官(coo)等知名高管为目标,窃取敏感信息。不幸的是,像谷歌和Facebook这样的科技巨头并不安全,因为他们在2013-15年的一次大规模假发票骗局中被骗走了超过1亿美元。
防火墙和互联网安全软件等基本的安全措施不足以抵御电子邮件钓鱼攻击。如果你对公司的电子邮件设置有更深入的了解,就能得到更好的保护。为此,你需要像professional这样的高级工具电子邮件取证软件.这些程序可以帮助您分析和研究公司发送和接收的每一封电子邮件,以识别潜在的电子邮件钓鱼攻击,并限制损害,即使在攻击已经发生的情况下。但是,在此之前,您可以考虑实现电子邮件安全协议,如DKIM, SPF和DMARC。
什么是DKIM, SPF和DMARC?
DKIM, SPF和DMARC是安全技术,允许您验证您的电子邮件。他们还通知邮件服务、isp和其他电子邮件接收者,某些第三方实体被授权代表您发送电子邮件。当这些协议一起使用时,可以作为强大的反垃圾邮件和反钓鱼措施。
安全协议类型
为了保证所有邮件边界的安全,基于协议的安全三大支柱(DKIM、SPF和DMARC)必须协同工作。这是因为他们每个人都有不同的目的。例如,SPF定义哪些邮件服务器被授权代表您发送电子邮件,DKIM为您的消息添加数字签名以进行身份验证,DMARC定义SPF和DKIM如何协同工作。DKIM还提供了报告功能。
什么是DKIM?
域密钥识别邮件(DKIM)是一种电子邮件身份验证技术,允许您验证电子邮件是否已发送并获得发件人的授权。这是通过DKIM签名完成的,DKIM签名是添加到电子邮件消息中的加密数字签名。一旦收件人确认电子邮件是用真正的DKIM签名签署的,这意味着电子邮件的内容没有被篡改。
图1:DKIM的布局示意图
邮件传输代理为DKIM签名创建一个哈希值,该值保存在列出的域中。邮件接收方可以使用在DNS中注册的公钥对签名进行认证。如果通过解密邮件头中的哈希值获得的签名与电子邮件相同,则邮件传输代理可以确定电子邮件在整个过程中没有被篡改。
设置DKIM只需要三个步骤:
- 为您的域生成域密钥。您可以使用许多密钥生成器,例如PuTTYgen。PuTTYgen可以从在这里.
- 将公钥添加到域的DNS记录中。
- 打开DKIM签名可开始向今后发送的所有电子邮件添加DKIM签名。
例如,您可以使用DKIM milter,这是一种开源服务。它可以从在这里.
什么是SPF?
发件人策略框架(SPF)是另一种电子邮件身份验证技术,可以检查域欺骗并防止垃圾邮件发送者代表您的域发送消息。它由三个组件组成:身份验证功能、放置在电子邮件中的专用标题和策略框架。
图2:SPF布局示意图
SPF记录是添加到域的DNS记录中的记录。它包含您要授权代表您发送电子邮件的IP地址。如果你使用谷歌、Apple、Office 365或Higher Logic等电子邮件解决方案,这可以派上用场。
在SPF技术中,电子邮件的接收者可以使用邮件的“来自”地址来确认发送的IP地址是授权的。如果SPF记录中没有发送电子邮件服务器,电子邮件将被标记并被电子邮件接收者拒绝。
SPF DNS TXT记录样本
SPF记录的示例如下:
| 标签 | 意义 |
| v = spf1 | 使用SPF版本。1是目前唯一可用的版本,因为版本2已经停产 |
| Ip4 | IP地址/范围 |
| Ip6 | IP地址/范围 |
| 包括: | 对于外部域。可以在这里添加可信的外部域名,包括Salesforce、Mailchimp等。 |
| 没有其他功能 | 提供视频编辑,GIF创建,字幕,覆盖等。 |
| ~所有 | 只有域的邮件服务器以及“a”和“include”部分中的邮件服务器被授权为该域发送电子邮件 |
你的SPF记录应该是这样的:
V =spf1 ip4:34.243.61.237 ip6:2a05:d018:e3:8c00:bb71:dea8:8b83:851e
包括:thirdpartydomain.com -
什么是DMARC?
DMARC (Domain-based Message Authentication, Reporting, and Conformance)是一种将DKIM和SPF绑定在一起的协议。它为这两者制定了明确的策略,并创建了一个地址,可用于发送接收者针对特定域收集的电子邮件消息报告。它还提供了一种机制来确定在实现SPF协议后电子邮件是否被拒绝。
图3:DMARC布局示意图
要部署DMARC,必须为要在中使用的域创建DNS记录来自:地址。您可以在记录中放入多个值,但您必须至少包括以下两个值:
- (v)指示接收服务器实现DMARC
- (p)告诉服务器在身份验证失败时该做什么
设置SPF、DKIM和DMARC
SPF、DKIM和DMARC是健壮的电子邮件安全协议。但是,为您拥有的每个域设置它们可能会带来挑战,特别是如果您的公司控制许多域和子域。如果您正在使用Gmail,那么您很幸运,因为该公司已经为域密钥生成和DKIM提供了易于遵循的说明。如果您正在使用它,您还可以找到有关设置不同的DNS记录的信息cPanel.一旦完成,你还可以使用在线工具DKIMvalidator验证您的SPF和DKIM配置的端到端功能。
尽管现在有各种可用的资源和工具,但配置框架需要扎实的技术和知识,因为这些协议使用的命令并没有被广泛使用。它们的语法也不简单。
电子邮件取证调查如何帮助?
IT经理可以采取安全培训、健全的电子邮件使用策略、模拟演习等措施来减轻电子邮件钓鱼攻击。它们还可以实现上面讨论的强烈推荐的协议。然而,事实是没有万无一失的方法可以将电子邮件威胁拒之门外。当灾难发生时,公司通常会求助于安全运营中心团队来解决问题。
安全运营中心团队可能需要很长时间来验证和解决网络钓鱼攻击,因为涉及一系列步骤,如下所示:
- 员工将可疑的电子邮件以完整和原始的形式转发给安全运营中心团队。他们需要在这方面接受培训,以防止增加新的风险。
- 安全运营中心团队通过将附件上传到第三方检测网站进行分析。交付结果可能需要很长时间。
- 该团队分析了每封电子邮件的标题。它在电子邮件中验证发件人的姓名、地址、链接等。附加步骤包括SPF检查、DKIM检查、DMARC检查等。
- 如果怀疑是网络钓鱼,员工会被指示扫描所有的邮箱,寻找可疑的邮件。如果没有专门的工具,这个步骤可能会花费很长时间,并且有很高的出错几率。
传统的处理钓鱼攻击的方法既耗时又不可取。一个先进的电子发现和电子邮件调查软件,如恒星电子邮件取证减轻了所有这些复杂性。它使电子邮件调查简单而快速,通过在多个视图中布局所有细节,如十六进制,哈希值,HTML, RTF, Internet头等。法医调查人员还可以使用高级搜索选项轻松搜索可疑电子邮件,如布尔搜索和正则表达式搜索。恒星电子邮件取证支持分析和检查超过25种文件格式,如教育局OST,太平洋标准时间, dbx, nsf, mbox, olm, tbb, eml,等。此外,它支持删除邮件恢复在所有邮件客户机中,例如交换,Office 365,GroupWise服务器,谷歌邮件,笔记等),电子邮件备份文件,和基于web的邮箱100%的准确率.此外,它还能够提供MD5和SHA1哈希值的电子邮件。
全球范围内SPF、DKIM和DMARC的采用率正在迅速提高,因为这些协议可以极大地增强电子邮件的安全性。然而,它们的正确实施仍然是跨组织的挑战。
