如何用DMARC防止网络钓鱼？

攻防

2年前

　　DMARC是电子邮件身份验证的全球标准，允许发件人验证电子邮件是否确实出自其所声称的来源。DMARC有助于遏制垃圾邮件和网络钓鱼攻击等当今盛行的网络犯罪形式。近些年，Gmail、雅虎和很多其他大型电子邮件提供商都已经实现了DMARC，并盛赞其防护效果。

　　如果你公司的域名是bankofamerica.com，想必你不希望有网络攻击者能够顶着这个域名发送电子邮件。这样会令品牌声誉面临风险，还可能传播金融类恶意软件。DMARC标准通过检查电子邮件是否来自预期的IP地址或域名来防止这种情况。该标准规定了存在身份验证或迁移问题时该如何联系域名并提供取证信息，以便发件人能够监测电子邮件流量和隔离可疑电子邮件。

网络钓鱼攻击是什么？

　　网络罪犯试图通过虚假网站和伪造域名诱骗受害者交出信用卡号和密码等敏感信息的行为，就叫做网络钓鱼。网络钓鱼属于社会工程的一种，也是网络罪犯最常用来渗透企业并盗取其敏感数据的方式之一。

　　域名欺骗是大多数电子邮件欺骗类网络钓鱼攻击的前兆。此类攻击过程中，攻击者伪造合法电子邮件地址或域名，并向公司客户发送含有网络钓鱼链接和勒索软件的虚假电子邮件。毫无戒心的收件人认为欺骗性电子邮件来自他们认识且信任的公司，并最终向攻击者透露其公司信息或银行往来信息，从而被钓鱼。公司的声誉由此受到影响，客户和潜在客户也因此流失。

　　DMARC有助于最大程度地减少直接域名欺骗尝试，同时间接减少通过虚假公司域名实施的网络钓鱼攻击。

如何识别发送自虚假域名的网络钓鱼电子邮件？

　　电子邮件欺骗攻击的历史可谓悠久。电子邮件欺骗是攻击者采用的一种欺骗性策略，用来篡改电子邮件发件人的身份标识和邮件的表面来源。大多数欺骗攻击要么使用伪造的标头信息，要么创建虚假的发件人电子邮件地址。

　　收件人可以通过检查电子邮件标头信息（例如“from:”地址和“return-path”地址）并验证二者是否匹配，来检测发送自虚假公司域名的网络钓鱼电子邮件。虽然电子邮件的“From”地址是可见的标头，但“return-path”地址通常不会直接可见，通过检查核验，该地址可以帮助收件人检测攻击者的原始身份标识。

举个例子：

　　发送自虚假域名的网络钓鱼电子邮件很可能具有形如“marketing@company.com”这样的“From:”地址，如果收件人熟悉这家公司的服务但未经受过防网络钓鱼安全培训，这封网络钓鱼邮件在他/她看来就是真实的。但是，通过检查“Return-path”地址，收件人会意识到该电子邮件并非来自发件人所声称的那个地址。

　　域名所有者还可以通过在公司里部署DMARC报告分析器来检测和识别域名欺骗和假冒攻击尝试。利用PowerDMARC的DMARC报告分析器，域名所有者可以做到：

　　• 在布局良好的仪表板上，通过单一面板收取和阅读DMARC报告，而不必逐个阅读发到其电子邮件或Web服务器的每份报告。

　　• 组织并分类公司的DMARC数据，按结果、发送源、国家、组织、详细统计数据和地理位置等形成方便查看的格式。

　　• 将包含DMARC聚合数据的复杂XML文件解析为简单易读的文档。

　　• 域名所有者可以将数据定期导出为PDF报告并分发给员工，供其对照检查和加深安全意识。

　　• 恶意发送源的取证信息可以提供有关这些伪造地址的源头和位置的详细信息，从而帮助轻松报告和拿下这些伪造地址。

如何使用DMARC减少电子邮件网络钓鱼？