如何通过电子邮件身份验证对抗商业电子邮件泄露（BEC）？

一种不断发展和猖獗的网络犯罪形式称为商业电子邮件妥协，它将电子邮件作为进行欺诈的潜在媒介。

针对商业、政府和非营利组织，BEC可能会导致大量数据丢失、安全漏洞和金融资产受损。

网络罪犯通常把注意力放在跨国公司和企业级组织上，这是一种常见的误解。如今，中小企业和更大的行业参与者一样成为电子邮件欺诈的目标。

BEC如何影响组织？

BEC的例子包括复杂的社会工程攻击，比如钓鱼、CEO欺诈、假发票和电子邮件欺骗等。它也可以被称为模拟攻击，攻击者的目的是通过将人摆在威权位置来欺骗公司。模仿CFO或CEO、业务合作伙伴或任何你会盲目信任的人是这些攻击成功的原因。

2021二月获活动俄罗斯网络团伙宇宙猞猁因为他们对BEC采取了复杂的方法。自2019年7月以来，该组织已经与200多个BEC活动联系在一起，针对全球46多个国家，重点关注具有全球影响力的大型跨国公司。由于写得非常好的钓鱼邮件，人们无法区分真假信息。

远程工作使得视频会议应用在疫情后不可或缺。网络犯罪分子利用这种情况，通过发送虚假电子邮件，模拟视频会议平台Zoom发出的通知。这旨在窃取登录凭据，以进行大规模公司数据泄露。

很明显，BEC的相关性近年来迅速浮出水面并不断增加，威胁行为人想出了更复杂、更创新的方法来摆脱欺诈。BEC影响着全球70%以上的组织，每年造成数十亿美元的损失。

这就是为什么业界专家提出了像DMARC这样的电子邮件身份验证协议，以提供高级别的防假冒保护。

什么是电子邮件身份验证？

电子邮件身份验证可以被称为一系列技术，用于提供有关电子邮件来源的可验证信息。这是通过验证参与邮件传输的邮件传输代理的域所有权来实现的。

简单邮件传输协议（SMTP）是电子邮件传输的行业标准，它没有用于邮件身份验证的内置功能。这就是为什么网络犯罪分子利用缺乏安全性极易发起电子邮件钓鱼和域欺骗攻击的原因。

这凸显了对有效电子邮件身份验证协议（如DMARC）的需求，该协议实际上可以传递其声明！

使用DMARC预防BEC的步骤

第一步：实施

对抗BEC的第一步实际上是为您的域配置DMARC。基于域的消息身份验证、报告和一致性（DMARC）使用SPF和DKIM身份验证标准来验证从您的域发送的电子邮件。

它向接收服务器指定如何响应未通过其中一项/两项身份验证检查的电子邮件，让域所有者控制接收方的响应。因此，要实现DMARC，您需要：

• 识别为您的域授权的所有有效电子邮件源
• 在DNS中发布SPF记录，为您的域配置SPF
• 在DNS中发布DKIM记录，为您的域配置DKIM
• 在DNS中发布DMARC记录，为您的域配置DMARC

为了避免复杂性，您可以使用PowerDMARC的免费工具（免费SPF record generator、免费DKIM record generator、免费DMARC record generator）立即生成语法正确的记录，并在域的DNS中发布。

第2步：执行

您的DMARC策略可以设置为：

• p=无（仅在监控时使用DMARC；未通过身份验证的消息仍将被传递）
• p=隔离（强制执行时的DMARC；未通过身份验证的消息将被隔离）
• p=拒绝（DMARC处于最大强制执行状态；未通过身份验证的消息将根本无法传递）

我们建议您开始使用带有策略的DMARC，该策略只支持监控，这样您就可以对电子邮件流和交付问题进行跟踪。然而这样的政策不会对BEC提供任何保护。

这就是为什么您最终需要转向DMARC强制执行。PowerDMARC通过一个p=拒绝，这将有助于向接收服务器指定，从使用您的域的恶意来源发送的电子邮件根本不会发送到收件人的收件箱。

第3步：监测和报告

您已将DMARC策略设置为强制，并成功地将BEC最小化，但这是否足够？答案是否定的。你仍然需要一个广泛而有效的报告机制来监控电子邮件流，并对任何交付问题做出响应。PowerDMARC的多租户SaaS平台可帮助您：

• 控制你的领域
• 直观地监视为您注册的每封电子邮件、用户和域的身份验证结果
• 删除试图模仿你品牌的滥用IP地址

PowerDMARC仪表板上的DMARC报告有两种主要格式：

• DMARC聚合报告（提供7种不同视图）
• DMARC法医报告（加密以增强隐私）

DMARC实施、执行和报告的高潮有助于大幅降低成为BEC骗局和模仿对象的几率。

有了反垃圾邮件过滤器，我还需要DMARC吗？

对DMARC的工作原理与普通的反垃圾邮件过滤器和电子邮件安全网关非常不同。虽然这些解决方案通常与基于云的电子邮件交换服务集成，但它们只能提供针对入站网络钓鱼企图的保护。

从您的域发送的邮件仍然受到假冒的威胁。这就是DMARC介入的地方。

增强电子邮件安全性的其他提示

始终保持在10 DNS查找限制以下。

超过SPF 10查找限制可能会使您的SPF记录完全无效，甚至会导致合法电子邮件的身份验证失败。

在这种情况下，如果您的DMARC设置为拒绝，真实的电子邮件将无法发送。PowerSPF是您的自动动态SPF记录平坦器，通过帮助您保持在SPF硬限制下，减轻SPF错误。

它会自动更新NetBlock并不断扫描您的电子邮件服务提供商对其IP地址所做的更改，而无需您的任何干预。

确保传输中电子邮件的TLS加密

虽然DMARC可以保护您免受社会工程攻击和BEC攻击，但您仍然需要做好准备，应对诸如中间人（MITM）之类的普遍监控攻击。

这可以通过确保每次向您的域发送电子邮件时，SMTP服务器之间协商通过TLS保护的连接来实现。

PowerDMARC托管的MTA-STS使TLS加密在SMTP中成为强制性的，并提供了一个简单的实现过程。

获取有关电子邮件传递中问题的报告

在为您的域配置MTA-STS后，您还可以启用SMTP TLS reporting以获取有关电子邮件传递问题的诊断报告。TLS-RPT帮助您了解电子邮件生态系统，并更好地应对在协商安全连接时导致交付失败的问题。

PowerDMARC仪表板上有两种视图（每个结果和每个发送源的聚合报告）提供TLS报告。

用BIMI扩大你的品牌召回

有了BIMI（用于信息识别的品牌指示器），你可以通过帮助收件人在收件箱中直观地识别你，将你的品牌召回提升到一个全新的水平。

BIMI的工作原理是将你独特的品牌标识附在你从你的域名发送的每封电子邮件上。PowerDMARC使BIMI的实现变得简单，用户只需执行3个简单的步骤。

PowerDMARC是一系列电子邮件身份验证协议的一站式目的地，包括DMARC、SPF、DKIM、BIMI、MTA-STS和TLS-RPT。立即注册，即可获得免费的DMARC Analyzer试用版！