前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >为啥E-mail这么不安全?怎么才能提高它的安全性?

为啥E-mail这么不安全?怎么才能提高它的安全性?

作者头像
未来守护者
发布2018-08-01 14:41:45
6700
发布2018-08-01 14:41:45
举报
文章被收录于专栏:安全领域

企业调查和风险咨询公司Kroll最新调查报告显示:92%的英企高管表示他们在过去的一年中受到过网络攻击或信息失窃,英企由此成为了全球互联网犯罪的第二大受害者。Verizon的数据违规调查报告则显示:“钓鱼”是最常见的网络攻击方式之一——有30%的钓鱼邮件会被打开。钓鱼也是最简单的劫持账户的方式,例如2016年John Podesta(希拉里的总统选举竞选主席)就遭受了钓鱼攻击。

译者注:2016年美国总统大选期间,John Podesta受到钓鱼攻击——他在别人伪造的登陆界面输入了邮箱密码——致使大量政府保密邮件被通过维基解密泄露。舆论普遍认为这是希拉里总统大选失利的重要因素之一。

面对这些网络攻击,即使是Facebook和Google这样的科技巨头也无法独善其身。2017年5月,有人用伪造的邮箱和发票,让这些科技巨头们掉入了他精心策划的钓鱼陷阱,成功骗取了他们超过1亿美元(约合6.7亿人民币)。在网上冒用他人身份非常简单粗暴:只需几行代码,就可以冒用别人的邮箱地址,发送伪装好的恶意邮件。

这种网络攻击不需要什么黑客技术或窃取密码技术——要完成攻击,你只需要对网络协议和简单的工具有一点基本的了解,然后再找一个你要冒名顶替的人(比如你可以从LinkedIn上找)就足够了。屋漏偏逢连夜雨,你邮箱服务器和反垃圾邮件系统一般又会放行这些邮件,因为他们的发件人地址看起来没什么问题,好像是熟人发过来的。

由于这种钓鱼方法可以冒名顶替大多数邮箱地址,所以公司员工很容易被骗。他们一看:邮件是一位重要客户或顶头上司发过来的,有些程序还会贴心地附上发件人的照片儿,于是他一旦放松戒备,就被套路了。

E-mail:公司的后门

我们总以为邮箱能保证我们的身份安全,但这些骗术却让我们看到了血淋淋的现实:自互联网诞生以来,E-mail就存在着根本的缺陷。一个公司是否使用了强力的安全、密码策略,或者是否使用了双因子身份验证(2FA)并不重要,因为利用电子邮件的根本缺陷,这些防御手段都可以被回避。因此大坏蛋们很容易冒用内部员工或合作伙伴的身份发邮件,从而骗收件人点开邮件;而收件人一旦中了招,则又会进一步打开企业安全的大门。

虽然这种缺陷是互联网的本质痼疾,但并不是说我们就无能为力了。现在有一种叫做DMARC(基于域的邮件身份验证、报告和一致性)的电子邮件身份验证协议,它可以防止人们冒用他人的电子邮件域,从而使黑客无法向你的电子邮箱的用户发送钓鱼邮件,还可以鉴别过滤发来的恶意邮件。

在Gov.uk上有文章介绍DMARC的详细工作方式。简单来说,DMARC会验证邮件是否是从授权的IP地址发送的,还有该邮件是否是被发件方的域名或授权的域名署名的。DMARC将这两个因素与身份验证相结合,然后设置收件方的收信规则,来鉴别、处置来源有问题的邮件。

实践证明DMARC非常有效,英国海关税务署已全面应用了这种协议,国家网络安全中心、英国政府、澳大利亚政府以及美国联邦贸易委员会也是DMARC的推动者之一,还有越来越多的人正在投入DMARC的怀抱。

部署DMARC

既然DMARC可以有效防范钓鱼诈骗,那为什么电子邮件供应商们不默认使用它呢?很简单,因为他们不行——DMARC必须要由邮箱域名所有者自行配置。要想用DMARC保护一个邮箱域名,必须正确配置所有其他的电子邮件提供程序(如G Suite、MailChimp、SendGrid)。绝大多数企业必须自行设置DMARC来提升邮件安全性。

以前要设置DMARC费时费力,但现在有一些解决方案可以让公司通过自助服务来部署、运行DMARC,这也推动了DMARC的普及。

总而言之,DMARC可以保证域名安全、防止钓鱼诈骗,还可以增进收件人和发件人的互信。应用DMARC后,服务器、收件人都能确保他们收到的邮件确实是从你本人的邮箱中发出的。

你可以在https://ondmarc.com/上验证你的邮件系统是否应用了DMARC。你还等什么?快来着手提高您E-mail的安全性吧!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • E-mail:公司的后门
  • 部署DMARC
相关产品与服务
多因子身份认证
多因子身份认证(Multi-factor Authentication Service,MFAS)的目的是建立一个多层次的防御体系,通过结合两种或三种认证因子(基于记忆的/基于持有物的/基于生物特征的认证因子)验证访问者的身份,使系统或资源更加安全。攻击者即使破解单一因子(如口令、人脸),应用的安全依然可以得到保障。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档