三大主要電子郵件安全協(xié)議互為補充，若能全部實現(xiàn)，可獲得最佳電子郵件安全防護。雖說知易行難，但遵從專家的建議能有所幫助。

盡管取得了一些進展，SPF、DKIM和DMARC這3個電子郵件安全協(xié)議的部署之路依然舉步維艱。這3個協(xié)議的配置比較困難，需認真研究了解其相互間聯(lián)系與各自保護性功能間的互補關(guān)系。但是，磨刀不誤砍柴工，這種學(xué)習(xí)研究上的投入會帶來巨大的安全回報。

• 發(fā)件人策略框架(SPF)能加強DNS服務(wù)器安全并限制誰能以你的域名發(fā)出電子郵件。SPF可防止域名欺騙，令你的郵件服務(wù)器能夠確定郵件是何時從其所用域名發(fā)出的。SPF由3個主要部分構(gòu)成：策略框架、身份驗證方法，以及包含這些信息的特殊郵件頭。2006年發(fā)布的互聯(lián)網(wǎng)工程任務(wù)組(IETF)標準4408首次提出了SPF，2014年的IETF標準7208對該框架做了更新。

• 域名密鑰識別郵件(DKIM)協(xié)議可確保郵件內(nèi)容不被偷窺或篡改。2007年初版出爐后歷經(jīng)多次修改，最近一次更新是今年1月的IETF標準8301。SFP和DKIM在2014年的IETF標準7372中都做了更新。

• 基于域的郵件身份驗證、報告及一致性(DMARC)協(xié)議以一組協(xié)調(diào)一致的策略黏合了SPF和DKIM，并將發(fā)件人域名與郵件頭中From:域列出的內(nèi)容相關(guān)聯(lián)，還具備更好的收件人反饋機制。該協(xié)議于2015年在IETF標準7489中提出。

網(wǎng)絡(luò)釣魚和垃圾電子郵件是黑客侵入公司網(wǎng)絡(luò)的最大機會。只要某用戶點擊了惡意附件，整個企業(yè)都有可能遭遇勒索軟件、加密貨幣劫持腳本、數(shù)據(jù)泄露或提權(quán)漏洞利用。

但為什么多數(shù)企業(yè)都需要這3個協(xié)議來保護自身電子郵件基礎(chǔ)設(shè)施，就不是每個人都清楚了。IT世界中，多種解決方案并不是總有交集。事實上，它們往往是互為補充的，公司企業(yè)最好把這3個協(xié)議都實現(xiàn)了。

最近的發(fā)展驅(qū)動了對電子郵件安全協(xié)議的關(guān)注

眾所周知，這3個協(xié)議早在新世紀之初就已提出，那么最近發(fā)生了什么，才導(dǎo)致大家的視線又集中到了它們身上呢?

1. 垃圾郵件和漁叉式網(wǎng)絡(luò)釣魚一直都很成問題

且隨著越來越多的公司網(wǎng)絡(luò)深受其害，IT經(jīng)理紛紛找尋更好的安全解決方案加以應(yīng)對。還有近幾年來上升勢頭很猛的勒索軟件(往往緊隨漁叉式網(wǎng)絡(luò)釣魚電子郵件而至)，也讓公司企業(yè)更想要保護自身電子郵件基礎(chǔ)設(shè)施。垃圾郵件顯然是不會消失的。

2. 政府也涉入了

美國國土安全部(DHS)去年頒布了一項命令，要求各政府機構(gòu)拿出實現(xiàn)這些協(xié)議的行動計劃。英國和澳大利亞的機構(gòu)也發(fā)布了各自的強制部署時間表，至少政府運營的服務(wù)器上要實現(xiàn)這些協(xié)議。盡管很多機構(gòu)都沒能趕上最初定下的截止日期，仍有一些機構(gòu)已開始實現(xiàn)，并取得了重大進展，朝著完全部署邁進了一大步。

3. 谷歌Gmail、雅虎和Fastmail等電子郵件提供商的實現(xiàn)激勵了其他人的跟進

因為想要保證客戶的電子郵件受到保護，在其托管電子郵件解決方案中添加這些協(xié)議就顯得很有意義了。

4. 安全提供商改進了產(chǎn)品和咨詢服務(wù)，可以讓協(xié)議部署得更加容易

Valimail、Barracuda和Agari就是個中代表，Proofpoint則提供免費互動工具以創(chuàng)建客戶自己的DMARC記錄。需注意的是，Agari、Valimail和微軟正在開發(fā)名為品牌指標郵件識別(BIMI)的新標準，可在每封電子郵件中展示公司品牌標志，幫助移動電子郵件用戶識別垃圾郵件。

SPF、DKIM和DMARC組合拳

不妨進一步審視這3個協(xié)議。首先，為什么3個都要實現(xiàn)?

因為它們各自解決電子郵件問題中不同的方面，通過結(jié)合標志身份驗證及加密工具，比如公鑰和私鑰簽名，再輔以特殊DNS記錄以驗證出自公司域名的電子郵件，3個協(xié)議聯(lián)合使用可防止網(wǎng)絡(luò)釣魚與垃圾郵件侵入。

其次，互聯(lián)網(wǎng)電子郵件協(xié)議的進化發(fā)展方式也要求綜合使用這3個協(xié)議�；ヂ�(lián)網(wǎng)早期，電子郵件主要是大學(xué)里的研究人員使用，大家互相認識，彼此信任，但那美好的舊時光已一去不復(fù)返。

郵件頭(比如收件人(To:)發(fā)件人(From:)和抄送(Bcc:)地址字段)與郵件實際內(nèi)容部分被有意剝離開來。這算是電子郵件的一項重要特性，但這種剝離給現(xiàn)在的IT管理員帶來了新的痛苦。

如果你的電子郵件基礎(chǔ)設(shè)施恰當(dāng)?shù)貙崿F(xiàn)了全部3個協(xié)議，你就可以確保郵件不會被輕易偽造，也可以防止垃圾郵件淹沒用戶的收件箱。但這只是個理想狀態(tài)，前面的那個如果”沒那么容易實現(xiàn)。

前面說了那么多好處，下面我們來看看棘手的部分。

去年年底，一名安全研究員發(fā)了篇如何用一組多主題電子郵件破解DKIM的帖子。雖然他在DKIM實踐與實現(xiàn)上有些心得，Valimail(托管DKIM解決方案供應(yīng)商)卻指稱他并不清楚自己在做什么，他帖子描述的不過是無關(guān)緊要的邊緣案例。

大多數(shù)情況下，電子郵件客戶端未能對這些多主題郵件進行身份驗證，因為Fastmail部署這3個協(xié)議的恰當(dāng)部署還是相當(dāng)難的。

更加令人迷惑的是各種互相沖突的使用情況調(diào)查。谷歌的調(diào)查顯示，Gmail郵件系統(tǒng)中85%的收件都用到了一些防護措施，但普通企業(yè)電子郵件用戶的情況根本不是這樣，他們的防護措施采用率沒什么值得大書特書的。

250OK今年8月新出的一份DMARC報告顯示，律所在安全協(xié)議采用上走在各行業(yè)前列，但其采納率也僅有1/3這么點兒。大部分其他公司的采納率微乎其微。詳情如下圖所示：

250OK的研究與Agari早些時候的調(diào)查遙相呼應(yīng)。Agari發(fā)現(xiàn)，財富500強企業(yè)中恰當(dāng)實現(xiàn)了DMARC的僅占8%，僅2%的域名有所防護。

設(shè)置DMARC、DKIM和SPF并不容易，且易受運營商錯誤影響

舉個例子，想要SPF和DMARC起到有效防護作用，你得在自己的每個域名上都安裝設(shè)置這倆協(xié)議。如果公司運營有很多域名和子域名，設(shè)置工作會變得冗長繁瑣。而且你還得確保每個子域名都有正確的DNS條目保護。

雖然有各種工具加以輔助，要配置好所有東西還是需要非常專業(yè)的技術(shù)的。甚至公司的DNS大師都未必熟悉每種協(xié)議所需的具體命令，不是因為缺乏這方面知識，而是因為這些命令使用太廣泛，語法太瑣碎。按一定的順序設(shè)置這幾個協(xié)議會讓配置工作變得稍微簡單些。

Easysol的帖子建議先從SPF開始，然后著手DKIM，最后處理DMARC。SPF相對較容易部署，所以放在最先。走到DMARC部署階段，可以在開始封堵電子郵件之前先使用其僅監(jiān)視模式，確保每項設(shè)置都符合要求。

LinkedIn的工程師在協(xié)議總體實現(xiàn)上有些建議包括怎樣設(shè)置公司電子郵件標準以更好地保護郵件流量安全。

跟蹤消費電子郵件的所有應(yīng)用

子域名及各種網(wǎng)頁插件可能會給協(xié)議實現(xiàn)帶來意想不到的麻煩。舉個例子，WordPress博客服務(wù)器上的很多插件都會發(fā)送各種各樣的郵件通知，如果在實現(xiàn)這幾個安全協(xié)議時未作調(diào)整，某些博客評論的郵件通知便會被放到垃圾郵件文件夾中。這種不太明顯的隱藏郵件應(yīng)用需要附加額外的設(shè)置工作。

運營著很多應(yīng)用的企業(yè)，可能需要搜索出接入電子郵件基礎(chǔ)設(shè)施的那些應(yīng)用，為它們特別設(shè)置合適的身份驗證方法。有些應(yīng)用可能不支持DMARC或SPF或DKIM，這種時候你就得找其他解決辦法，或者接受部分郵件可能暗藏風(fēng)險的事實。

IETF標準8301地址：https://tools.ietf.org/html/rfc8301

DMARC報告原文地址：

https://s3.amazonaws.com/250ok-wordpress/wp-content/uploads/2018/07/31203230/Aggregate-DMARC-Report-2018.pdf

DMARC/DKIM/SPF實現(xiàn)之路肯定不好走，有很多岔路。最好能取得高層的支持，并正確評估完成實現(xiàn)計劃所需的時間。

標簽： 互聯(lián)網(wǎng) 數(shù)據(jù)泄露 基礎(chǔ)設(shè)施 IT世界 解決方案 提供商 

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。