企业邮件安全防护实践(3)

- “显示邮件原文”，在邮件头里会出现一段如下文字：

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; 
    d=abc.com; s=mail; t=1458091059; h=Date:From:To: 
    Reply-To:Subject:Message-ID:Content-Type:MIME-Version; bh=JtLpkA 
    GBbI9j6KEs01UI/CKmX5rvvrJ6O9QcCgb5i1I=; b=J5xXBMdm8Q5Y66orv+Skoq 
    ... 
    cT/oVvXPMvEbi+mJwoqbM= 

4、基于域的消息认证，报告和一致性(DMARC)

那在配置了SPF和DKIM后，如何让外界得知旗下域名的电子邮件提供何种方式认证身份?是使用SPF,DKIM，还是两者都使用?如果寄件者身份未能得到百分之百确认，收件者可以如何处理邮件?是放进垃圾箱，还是直接回绝?有没有一种机制可以让邮件管理员了解此时此此刻是否有第三者正在伪冒其网域身份发送电子邮呢?带着这些问题，我们了解一下DMARC。基于域的消息认证，报告和一致性(DMARC，Domain-based Message Authentication, Reporting and Conformance)是一套以 SPF防邮件伪造DKIM(DomainKeysIdentified Mail)防邮件做伪造为基础的电子邮件认证机制，可以检测及防止伪冒身份、对付网络钓鱼或垃圾电邮。^4邮件管理员可以通过在网域的 DNS 记录中添加 DMARC 政策，从而启用基于网域的消息认证、报告和一致性 (DMARC) 验证机制。该策略同样使用采用 DNS TXT 记录形式，指定您的网域如何处理可疑电子邮件。DMARC 政策支持三种处理可疑电子邮件的方式：

• 不对邮件采取任何操作，仅将其记录在每日报告中。
• 将邮件标记为垃圾邮件。Gmail 会将这些邮件放入收件人的垃圾邮件文件夹。
• 通知接收邮件的服务器拒绝邮件。这也会导致 SMTP 将邮件退回给发件人。

DMARC TXT 记录值：

DMARC 政策示例：

注：要将报告发送到多个电子邮件地址，请使用英文逗号分隔电子邮件地址。

添加 TXT 记录以启用 DMARC

在_dmarc处添加一条 DNS 记录

TXT record name(TXT 记录名称)：在 DNS 主机名下方的第一个字段中输入：

_dmarc.abc.com 

TXT record value(TXT 记录值)：在第二个字段中输入指定您的 DMARC 政策的值，例如：

v=DMARC1; p=reject; rua=mailto:postmaster@qq.com, mailto:dmarc@qq.com 

注：以上解析将实现“拒绝所有未通过 DMARC 检查的邮件。将每日报告发送到以下两个地址：postmaster@qq.com 和 dmarc@qq.com。SMTP 将未通过检查的邮件退回给发件人”政策。

3. 小结

对大部分企业来讲，通过以上步骤的加固和优化，可以大幅度提升企业邮件安全性，有效防止被伪造，即便是被伪造，由于以上配置的成功引用可以让大部分伪造邮件退回或当作垃圾邮件处理，强烈自建邮箱系统的用户通过以上配置加强邮件系统。另外，如果你的邮箱配置了SPF或DKIM后，大部分公网邮箱也会将您企业邮箱的信任程度提升，这将有助于提高邮箱发信成功率。

4. 企业邮件系统配置

第一部分主要向大家介绍了邮件系统所面临的一些技术漏洞和所需要采取的措施，这部分将从邮件系统配置和使用方面来帮助企业进行邮件系统加固。这里的配置主要是加强邮件日常使用的安全性，降低用户在日常使用过程中信息泄露风险或是在密码泄露后，尽可能地将损失降至最低。

(1) 收发信密码独立设置

攻击者对于日常邮件系统的攻击，最主要的是针对邮件密码的攻击。通过获得邮箱密码来进行信息窃取或者以被攻击邮箱为工具进行其他攻击。建议企业在日常的邮件设置中，将收件密码和发件密码独立设置。此时，如果收件密码泄露后，攻击者并不能使用该邮箱进行发件操作，进行钓鱼邮件发送或病毒木马投递，有效保护邮件和其他通讯录成员的安全。

(2) 收件密码采用双因素认证

前面说到，日常邮件使用过程中，邮件登录密码(通常是收信密码)比较容易被攻击者拿到。建议企业将收发信密码独立后，对于收信密码进行双因子强认证，尽可能降低密码泄露的风险。同时，由于SMTP协议的局限性，收信密码攻击者可以通过相关工具进行暴力破解。如果有员工使用了弱口令，则很容易被攻击者拿下。这里多说一下，很多企业认为自己的WEB邮箱有验证码等方式，可以防止暴力破解，其实这种限制仅在WEB层面有效，如果攻击者直接使用SMTP协议认证工具进行暴力破解或密码猜测，就直接绕过了WEB层的验证码。

(3) 配置防猜解防攻击

上面说过，基于SMTP协议本身的局限性，登录密码很有可能被暴力破解，虽然大多数邮件系统自带的防猜解并不能抵御所有的暴力猜解，但在此仍建议企业开户此类防护手段。例如限定每分钟或一段时间内每个IP可以登录失败的次数，限定每分钟或一段时间内每个邮箱账户登录失败的次数，限定每分钟或一段时间内每个用户SMTP认证次数等等。

(4) 关闭非SSL服务及不安全的 SSL,TLS 版本且关闭 R**

使用SSL加密可以有效防止中间人攻击，以及对邮件和监听和篡改。并且为了加密保护的有效性，请关闭不安全的SSL，TLS版本，且关闭R**。如果开启了WEB服务，请在WEB服务处关闭对应的不安全SSL和TLS版本及R**。

(5) 限制分配群发权限或限制用户单日可发邮件数目上限

攻击者通常拿到一个邮箱登录权限后，并不满足于当前邮箱中的内容。会通过该邮箱进行战果扩大，常见的作法是通过群发邮件来进行向企业其他员工发送钓鱼邮件，获得更多的邮箱登录权限。如果是其他反动组织，也会用此邮箱进行反动内容的群发。由于互联网邮箱邮件在发送数目，实名等方面的问题，所以邮件发送无上限的企业邮箱通是这类组织进行反动内容宣传的首选。因此，建议企业在为同工开通群发权限时，谨慎设计，例如收件人超过10人时，可以提示请减少发件人或分批发送。对于工作中确实有群有需要的员工，可以进行单独的权限设定，也可以以建立特殊邮件组的方式规避群发的使用。同时，企业需要定期清理不使用的群发权限。在我从业10年的经历中，群发功能也就使用过一次，可以推而广之，很多企业的员工，群发权限并不必要。另外，对于一个邮箱单日可以发送的邮件数目上限也建议进行限定，以提高攻击成本。

(6) 定期对邮件进行归档

（编辑：ASP站长网）