雖然DNS具備了Sender Policy Framework(SPF)、DomainKeys Identified Mail(DKIM)等反詐騙機制,但對於沒經驗的人來說,很難作出正確的配置。而透過新功能Email Security DNS Wizard的指引,Cloudflare希望提高使用者對SPF、DKIM與DMARC的採用,以防範電子郵件詐騙及網釣。(圖片來源/Cloudflare)

提供內容傳遞網路(CDN)與安全服務的Cloudflare在本周發表了兩項電子郵件安全功能:Email RoutingEmail Security DNS Wizard,前者用來協助用戶建立及管理功能不同的電子郵件位址,後者則是簡化了DNS的設定,以協助用戶對抗詐騙及網釣郵件。

大多數的網路用戶都透過電子郵件來執行機密的目的,像是登入銀行帳號,或是與政府機關交流,但電子郵件也會被用來登入網路上的任何網站,冒著接到源源不斷垃圾郵件的風險,於是有些企業就會根據需求使用不同的電子郵件帳號,但對於缺乏資源的小型企業來說,配置不同的郵箱與別名並不容易。

Cloudflare說明,電子郵件主要是由信封、標題及內容所組成,信封為SMTP傳輸協定的一部份,主要是告知伺服器有關郵件的來源與目的,標題則提供寄件端與接收端的電子郵件位址、日期、主題或其它技術元資料,內容則是訊息的主體。

而Email Routing在這當中則是擔任傳輸層智慧路由器的角色,處理及修改SMTP信封,並將郵件遞送到最終目的,但保留原始的標題,以及維持內容的完整性,此舉將可確保諸如SPF或DKIM等安全或反垃圾郵件協定不會被破壞,同時保障收信者的安全。

Email Routing簡化了使用者建立及管理電子郵件位址的流程,使用者只要輸入基於自己網域的客製化電子郵件位址,再輸入所要轉寄的電子郵件位址,就能根據需求建立眾多的電子郵件帳號,並將它們轉寄到原本所使用的郵件信箱,如Gmail或Outlook等。它是項免費服務,唯一的前提就是使用者必須是Cloudflare的DNS用戶,現已邁入封閉測試,並開放有興趣的使用者申請

圖片來源_Cloudflare

Email Security DNS Wizard 的主要作用在於協助使用者建立DNS紀錄,以防範他人利用使用者的網域來遞送惡意電子郵件,同時也會在使用者採用不安全的DNS配置時跳出警告並提供建議,除了可預防電子郵件詐騙及網釣之外,還能改善電子郵件的遞送。

圖片來源_Cloudflare

電子郵件詐騙通常是假冒他人的網域來寄送郵件,上當的使用者可能會點選郵件中的連結並輸入重要的憑證,形成網釣攻擊。根據FBI今年4月發布的2020年網路犯罪報告,網釣是去年最常見的網路犯罪,總計有超過24萬名受害者,損失金額超過5,000萬美元,受害人數是2019年的兩倍,接近2018年的10倍。而Verizon的2020年資料外洩報告則顯示,在社交工程的攻擊事件中,有高達96%是透過電子郵件,透露出網釣的嚴重性與電子郵件安全的重要性。

不過,其實DNS就內含了反詐騙的機制,包括寄件端政策框架(Sender Policy Framework,SPF)、網域金鑰識別郵件(DomainKeys Identified Mail,DKIM),以及基於網域的郵件驗證、報告與一致性(Domain-based Message Authentication Reporting and Conformance,DMARC)。其中,SFP是用來指定允許哪些IP位址及網域可代表使用者的網域來發送郵件,DKIM用來確認電子郵件確實是由網域所授權的郵件伺服器所寄出,DMARC會在DNS紀錄中設定規則,同時配合SPF與DKIM確認郵件的真實性,當SPF及DKIM驗證失敗時,郵件伺服器便會根據DMARC規則來處理郵件,如隔離、拒絕或遞送等。

雖然DNS具備了上述的反詐騙機制,但對於沒經驗的人來說,很難作出正確的配置,若配置太嚴格,合法郵件可能會收不到或淪為垃圾郵件,若配置太鬆散,網域便容易遭到濫用。且根據Dmarc.org在去年底的調查,只有不到50%的網域擁有DMARC紀錄,另一項針對2,881家美國銀行的調查則指出,只有44%寫入了DMARC紀錄。

Cloudflare表示,Email Security DNS Wizard所要做的,就是提高使用者對SPF、DKIM與DMARC的採用,以防範電子郵件詐騙及網釣,透過清楚的指引、簡單又明瞭的說明來協助使用者進行配置。該功能將率先提供給Cloudflare的免費方案用戶,並在幾周後擴大部署至Pro、Business與Enterprise方案的用戶。

熱門新聞

Advertisement