2021年末,Cloudflare推出了安全中心���,一個(gè)匯集了我們的安全產(chǎn)品套件和獨(dú)特互聯(lián)網(wǎng)智能的統(tǒng)一解決方案����。
2021年末���,Cloudflare推出了安全中心�����,一個(gè)匯集了我們的安全產(chǎn)品套件和獨(dú)特互聯(lián)網(wǎng)智能的統(tǒng)一解決方案�����。安全團(tuán)隊(duì)只需點(diǎn)擊幾下����,就能快速發(fā)現(xiàn)組織的潛在安全風(fēng)險(xiǎn)和威脅,繪制攻擊面并緩解這些風(fēng)險(xiǎn)�����。雖然安全中心最初專(zhuān)注于應(yīng)用程序安全�,但我們現(xiàn)在增加了關(guān)鍵的Zero Trust洞察,進(jìn)一步完善其功能�。
如果您的品牌廣受歡迎和信任,客戶(hù)和潛在客戶(hù)會(huì)期待收到您發(fā)送的電子郵件?��,F(xiàn)在�����,想象他們收到了您發(fā)送的電子郵件:其中有您的品牌���,振奮人心的主題�,還有注冊(cè)即可獲得獨(dú)特獎(jiǎng)品的鏈接——他們?cè)趺纯赡芫芙^這樣的機(jī)會(huì)���?
但是�,如果這封電子郵件不是您發(fā)送的呢���?如果點(diǎn)擊鏈接會(huì)了陷入騙局�,導(dǎo)致他們被詐騙或身份被冒用�,那將會(huì)怎樣?如果他們認(rèn)為這是您設(shè)計(jì)的騙局呢���?事實(shí)上�����,即便有安全意識(shí)有時(shí)也會(huì)上當(dāng)受騙����,無(wú)法識(shí)別精心制作的詐騙電子郵件���。
這會(huì)給您的企業(yè)和聲譽(yù)帶來(lái)風(fēng)險(xiǎn)����。您不希望有這種風(fēng)險(xiǎn)�,任何人都不想。品牌冒用是全球組織都面臨的重大問(wèn)題���,這正是我們構(gòu)建DMARC Management的原因�����。DMARC Management測(cè)試版今天推出���。
借助DMARC Management,您可以全面了解是誰(shuí)以您的名義發(fā)送電子郵件����。您可以一鍵批準(zhǔn)每一個(gè)合法歸屬您的域名的發(fā)件人來(lái)源,然后設(shè)置DMARC策略�����,拒絕任何來(lái)自未批準(zhǔn)客戶(hù)端的電子郵件����。
如果是貴公司使用的調(diào)查平臺(tái)從您的域名發(fā)送電子郵件��,不用擔(dān)心——這是您自己這樣配置的�。但是�����,如果是遠(yuǎn)方的未知郵件服務(wù)使用您的域名發(fā)送電子郵件�,這就太可怕了,需要您去解決�。下面,我們來(lái)看看如何解決��。
防欺騙機(jī)制
發(fā)送方策略框架(SPF)���、域名密鑰識(shí)別郵件(DKIM)和基于域名的郵件身份驗(yàn)證報(bào)告和一致性(DMARC)是三種常見(jiàn)的身份驗(yàn)證方法���。它們共同幫助防止垃圾郵件發(fā)件人、網(wǎng)絡(luò)釣魚(yú)程序和其他未經(jīng)授權(quán)的各方代表并非屬于他們的域名發(fā)送電子郵件����。
SPF是為域名列出公司發(fā)送電子郵件使用的所有服務(wù)器?�?梢园阉胂蟪梢粋€(gè)公開(kāi)的員工名錄��,幫助確認(rèn)某人是否為公司的員工��。SPF記錄列出了可以從該域名發(fā)送電子郵件的所有服務(wù)器的IP地址���。
1.DKIM讓域名所有者能夠自動(dòng)“簽署”從其域名發(fā)送的電子郵件����。DKIM使用公鑰加密:
2.DKIM記錄存儲(chǔ)了域名的公鑰����,郵件服務(wù)器收到來(lái)自該域名的電子郵件時(shí),可以查看此記錄獲取公鑰���。
3.私鑰由發(fā)件人秘密保管���,發(fā)件人用私鑰簽署電子郵件的標(biāo)頭。
收到電子郵件的郵件服務(wù)器可以應(yīng)用公鑰來(lái)驗(yàn)證發(fā)件人是否使用了私鑰�����。這也可保證電子郵件在傳輸過(guò)程中不會(huì)被篡改�。
DMARC告訴接收電子郵件的服務(wù)器在評(píng)估SPF和DKIM結(jié)果后如何處理。一個(gè)域名的DMARC策略可以有多種設(shè)置方式——可以指示郵件服務(wù)器隔離�����、拒絕還是交付沒(méi)有通過(guò)SPF和/或DKIM驗(yàn)證的電子郵件。
然而��,配置和維護(hù)SPF和DMARC并非易事�����。如果您的配置太嚴(yán)格����,合法電子郵件會(huì)被丟棄或標(biāo)記為垃圾郵件。如果太寬松��,您的域名可能會(huì)被詐騙電子郵件濫用�����。這些身份驗(yàn)證機(jī)制(SPF/DKIM/DMARC)已存在超過(guò)十年����,但是仍有五百多萬(wàn)有效DMARC記錄便是證明。
DMARC報(bào)告可以提供幫助�,DMARC Management等完整解決方案可以減少創(chuàng)建和維護(hù)適當(dāng)配置的負(fù)擔(dān)。
DMARC報(bào)告
所有符合DMARC規(guī)則的郵箱提供商支持將DMARC聚合報(bào)告發(fā)送到您指定的電子郵件地址。這些報(bào)告列出從您的域名發(fā)送了電子郵件的服務(wù)�,以及通過(guò)了DMARC、SPF和DKIM的郵件比例���。這些報(bào)告非常重要,因?yàn)樗鼈兘o管理員提供了所需信息來(lái)決定如何調(diào)整DMARC策略�。例如,讓管理員了解他們的合法電子郵件是否通過(guò)了SPF和DKIM��,或者是否有垃圾郵件發(fā)送者試圖發(fā)送非法電子郵件��。
但請(qǐng)注意�����,您可能不希望將DMARC報(bào)告發(fā)送到人工監(jiān)控的電子郵件地址��,因?yàn)閳?bào)告又多又快——幾乎接收貴組織郵件的每個(gè)電子郵件提供商均會(huì)發(fā)送XML格式的報(bào)告�����。通常��,管理員將報(bào)告設(shè)置為發(fā)送到DMARC Management等服務(wù)��,并將它們歸納成更好理解的形式。注意:這些報(bào)告中不含個(gè)人可識(shí)別信息(PII)�����。
DMARC Management自動(dòng)創(chuàng)建接收這些報(bào)告的電子郵件地址���,向您的Cloudflare DNS添加相應(yīng)的RUA記錄���,通知郵件提供商將報(bào)告發(fā)送到哪里。您要是好奇的話(huà)���,我可以告訴您��,這些電子郵件地址是使用Cloudflare電子郵件路由創(chuàng)建的�。
注意:現(xiàn)在�,Cloudflare DNS是DMARC Management的必要條件。Cloudflare Area 1客戶(hù)很快也能查看DMARC報(bào)告�����,哪怕他們使用的是第三方DNS服務(wù)��。
這個(gè)專(zhuān)用電子郵件地址收到報(bào)告后�,一個(gè)Worker將處理報(bào)告����,從中提取相關(guān)數(shù)據(jù)��,然后發(fā)送到我們的分析解決方案��。您可能又猜到了�,這是使用Email Workers實(shí)現(xiàn)的��。
采取行動(dòng)
現(xiàn)在���,報(bào)告發(fā)送過(guò)來(lái)了�����,您可以審查數(shù)據(jù)�����,然后采取操作���。
注意:郵箱提供商可能需要24小時(shí)才能開(kāi)始發(fā)送報(bào)告,向您提供這些分析��。
除了DMARC Management外,您還可以全面了解域名的出站安全性配置��,更具體地說(shuō)�,是DMARC、DKIM和SPF���。DMARC Management很快也會(huì)開(kāi)始報(bào)告出站電子郵件安全性����,包括STARTTLS���、MTA-STS���、DANE和TLS報(bào)告���。
中間部分顯示電子郵件數(shù)量趨勢(shì),各行分別顯示通過(guò)和未通過(guò)DMARC的郵件����。
下面將顯示其他詳細(xì)信息,包括每個(gè)來(lái)源(每個(gè)DMARC報(bào)告)發(fā)送的電子郵件消息數(shù)量����,以及相應(yīng)的DMARC����、SPF和DKIM統(tǒng)計(jì)數(shù)據(jù)����。您可以點(diǎn)擊“...”批準(zhǔn)(即納入SPF)其中任何來(lái)源,可以輕松發(fā)現(xiàn)DKIM配置可能不正確的應(yīng)用程序����。
點(diǎn)擊任何來(lái)源都會(huì)顯示該來(lái)源每個(gè)IP地址的相同DMARC、SPF和DKIM統(tǒng)計(jì)數(shù)據(jù)����。例如����,通過(guò)這種方式,可以確定可能需要納入SPF記錄中的其他IP地址����。
未通過(guò)的郵件需要您采取操作:如果合法,則需要批準(zhǔn)(即納入SPF)����;如果DMARC策略配置為p=reject����,則保持未批準(zhǔn)狀態(tài)����,然后接收服務(wù)器會(huì)拒絕該郵件。
目標(biāo)是使用DMARC拒絕策略����,但您不希望應(yīng)用這一限制策略,除非您確信SPF(和DKIM����,如適用)考慮了所有合法發(fā)送服務(wù)。這可能需要幾周時(shí)間����,具體取決于從您的域名發(fā)送消息的服務(wù)數(shù)量,但DMARC Management可讓您在準(zhǔn)備行動(dòng)時(shí)迅速掌握����。
還需要什么
一旦批準(zhǔn)所有授權(quán)電子郵件發(fā)件人(來(lái)源),并將DMARC配置為隔離或拒絕����,您應(yīng)該相信您的品牌和組織會(huì)更安全����。此后����,關(guān)注批準(zhǔn)來(lái)源列表的工作量非常小,您的團(tuán)隊(duì)每月只需花費(fèi)幾分鐘即可����。理想情況下,在公司部署從您的域名發(fā)送電子郵件的新應(yīng)用程序時(shí)����,您應(yīng)該主動(dòng)將相應(yīng)的IP地址添加到您的SPF記錄中。
但即使沒(méi)有這樣做����,您也可在安全中心的“安全性洞察”(Security Insights)選項(xiàng)卡下看到新的未批準(zhǔn)發(fā)件人通知����,以及其他您可以查看和管理的重要安全問(wèn)題。
或者����,您可以每隔幾周在DMARC Management中檢查未批準(zhǔn)列表����。
看到未批準(zhǔn)的合法發(fā)件人來(lái)源時(shí)����,您知道該怎么做——點(diǎn)擊“...”,然后標(biāo)記為已批準(zhǔn)����!
敬請(qǐng)期待
DMARC Management將電子郵件安全性提升到一個(gè)新高度,但這只是開(kāi)始����。
我們很高興為大家展示這些功能投資,它們將為客戶(hù)提供更多的安全洞察����。接下來(lái),我們準(zhǔn)備將Cloudflare云訪(fǎng)問(wèn)安全代理(CASB)的安全性分析集成到安全中心����。
此產(chǎn)品集成將幫助客戶(hù)快速了解更多范圍的SaaS安全性狀態(tài)。按嚴(yán)重性����、SaaS集成運(yùn)行狀況和隱蔽問(wèn)題數(shù)量顯示CASB調(diào)查結(jié)果(或在熱門(mén)SaaS應(yīng)用程序中發(fā)現(xiàn)的安全問(wèn)題)明細(xì)����,IT和安全管理員將能從單一來(lái)源了解更大的安全面區(qū)域狀態(tài)����。
敬請(qǐng)關(guān)注安全中心CASB的更多新聞。同時(shí)����,您今天就可以加入免費(fèi)DMARC Management測(cè)試版的等候列表。您也可以了解Cloudflare Area 1并預(yù)約一次網(wǎng)絡(luò)釣魚(yú)風(fēng)險(xiǎn)評(píng)估����,以阻止網(wǎng)絡(luò)釣魚(yú)、詐騙和垃圾電子郵件進(jìn)入您的環(huán)境����。
立即登錄,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
