DMARC：企業郵件信息泄漏應對之道

以電子郵件為潛在媒介的欺詐行為正快速且肆虐地發展，這會導致企業電子郵件泄密（Business Email Compromise，簡稱BEC）。

BEC攻擊主要針對商業、政府以及非營利性組織，這種攻擊產生的影響巨大，可導致大量的企業信息數據丟失、發生安全事件甚至造成財產損失。

或許人們常常會陷入一種誤區，認為網絡犯罪分子將目光瞄準跨國公司和企業級組織上，然而，事實是中小企業也“難逃魔爪”。

BEC攻擊對企業安全的影響

BEC攻擊方式包括復雜的社會工程攻擊，如網絡釣魚、CEO欺詐、偽造發票和電子郵件欺騙等。這一方式也稱為冒名頂替攻擊，即冒充公司高層人員進行欺詐活動，比如CFO、CEO等，也有些攻擊者冒充業務合作伙伴或任何其他較為信任親近的人，這些都是BEC攻擊成功的重要因素。

2021年2月，俄羅斯網絡組織Cosmic Lynx進行了成熟的布局，以開展BEC攻擊。自2019年7月以來，該組織已進行了200次BEC攻擊，目標是全球46個國家/地區，重點關注具有全球業務的大型跨國公司。攻擊者利用的網絡釣魚電子郵件具有高度混淆性，讓人難以分辨真假。

新冠疫情后，遠程辦公進一步推動了視頻會議應用程序的火熱。在這種情況下，網絡犯罪分子偽裝成視頻會議程序Zoom的官方平臺，并發送虛假電子郵件以竊取登錄憑據，并進一步竊取企業的大量數據。

顯而易見，近來BEC的關注度正在迅速凸顯，并且相關事件不斷增加，攻擊者也在不斷地創新作案手法和工具。BEC影響全球70％以上的組織，并導致每年數十億美元的損失。這就是行業專家提出諸如DMARC之類的郵件認證協議的原因，用以提供更高級別的模擬保護。

郵件認證方法抵御BEC攻擊

電子郵件認證，即部署可提供電子郵件來源可信度的各種技術，通過驗證郵件傳輸中的郵件傳輸代理的域名所有權來檢測其安全性。

簡單郵件傳輸協議（SMTP）是電子郵件傳輸的行業標準，但是卻沒有用于消息身份驗證的內置功能。這就是為什么黑客機器容易發起郵件網絡釣魚并發動域名欺騙攻擊的原因。

利用缺乏安全性使網絡罪犯極其容易發起電子郵件網絡釣魚和域欺騙攻擊的原因。因此，DMARC（Domain-based Message Authentication, Reporting and Conformance，電子郵件認證系統）應運而生。利用DMARC防止BEC的具體步驟如下。

步驟1：實施

實際上，對抗BEC攻擊的第一步是為用戶的域配置DMARC。

DMARC使用SPF和DKIM認證標準來驗證從所屬域發送的電子郵件。具體指，接收服務器如何響應未通過SPF和DKIM兩項認證的電子郵件，并讓域名所有者可以控制接受者的響應方式。因此，如何實施DMARC？

識別為用戶域授權的所有有效電子郵件來源；

在用戶的DNS中發布SPF記錄，并進行SPF域配置；

在用戶的DNS中發布DKIM記錄，并進行DKIM域配置；

在用戶的DNS中發布DMARC記錄，并進行DMARC域配置。

步驟2：執行

DMARC規則策略可以設置為：

p = none（DMARC僅處于監視狀態；未通過認證的郵件仍會傳遞）

p =quarantine（DMARC處于執行狀態；未通過認證的郵件將被隔離）

p = reject（DMARC處于強制執行狀態；未通過認證的郵件將完全終止）

當DMARC與僅啟用監視的策略一起使用，用戶可以隨時查看電子郵件流和傳遞問題，但是，這無法為BEC提供任何保護。因此，DMARC需要向執行狀態進行轉變，隔離那些利用域所有者的惡意郵件向客戶傳播的電子郵件。

步驟3：監控與報告

當用戶將DMARC策略設置為強制執行，是否就完全可以抵御BEC了呢？非也，后續的監控和報告流程也十分重要，采取的平臺具體功能如下：

掌控用戶域名；

直觀監控注冊的每封電子郵件、用戶和域的身份驗證結果；

刪除試圖假冒用戶的濫用IP地址。

DMARC報告主要包含DMARC匯總報告和DMARC取證報告。DMARC實施，執行和報告的結合有助于進一步防范企業BEC攻擊，減小中招的機會。

DMARC和反垃圾郵件過濾器的區別

或許有些人會問這和反垃圾郵件過濾器有何不同？

事實上，DMARC的工作方式與普通的反垃圾郵件過濾器和電子郵件安全網關完全不同。雖然這些解決方案通常與云電子郵件交換器服務集成在一起，但它們只能提供針對入站網絡釣魚嘗試的保護。

所以，從用戶域發送的郵件仍存在被冒充的風險的角度來說，這才是DMARC派得上用場的地方。

增強電子郵件安全性的其他方式

1、始終保持小于10 個的DNS查找記錄

超過10個DNS查找記錄則會讓用戶的SPF完全失效，甚至導致正常的郵件也無法認證成功。在這種情況下，如果將DMARC設置為“reject”，那么常規的電子郵件將無法發送。

2、確保傳輸中的電子郵件的TLS加密

盡管DMARC可以保護用戶免受社會工程攻擊和BEC的侵害，但仍然需要做好準備應對諸如中間人（MITM）之類的普遍存在的監視攻擊。可以通過確保每次將電子郵件發送到用戶的域時，在SMTP服務器之間協調通過TLS安全連接來完成。

3、使用BIMI提升郵件安全

借助BIMI（郵件識別的品牌指標）進行劃分，幫助收件人更直觀地在收件箱中識別對方身份，讓企業郵件的安全性提升到一個新的水平。