白宫DMARC出现漏洞,欺诈电子邮件找到“后门”

白宫DMARC出现漏洞,欺诈电子邮件找到“后门”

据统计,全球范围内被投递的钓鱼邮件每天约达到1亿封,经常会遇到一些邮件发送方,被spammer利用于伪造各种钓鱼/诈骗邮件,如:伪造银行、保险等金融企业,支付宝、Paypal等支付商,知名网站、政府网站等发送钓鱼邮件、诈骗邮件,威胁着用户的信息和财产安全。

根据政策规定,美国联邦行政部门和相关机构必须在今年10月16日之前配置一套电子邮件域名验证系统。目前,大部分.gov域名已经符合强制性的规定,但是目前whitehouse.gov还不在此列。

该强制性规定是美国国土安全部(DHS)去年发布的“绑定业务指令18-01”的一部分,旨在设置业内广泛采用的标准来保证用户的电子邮件及网络安全。

DHS希望所有电子邮件服务器都添加对STARTTLS协议的支持,该协议对传输中的邮件进行加密,并启用“基于域的邮件身份验证、报告和一致性(DMARC)系统”来打击网络钓鱼和垃圾邮件活动。DMARC协议会更好的降低他们的域名被伪造的可能性。

什么是DMARC?

DMARC,全称Domain-based Message Authentication, Reporting and Conformance ,是基于现有的DKIM和SPF两大主流电子邮件安全协议发展而来的。2012年1月30号,由Paypal,Google,微软,雅虎,ReturnPath等15家行业巨头(主要包括 金融机构,Email服务提供商,数据分析机构等)联手宣布成立了新的互联网联盟,致力于提交并推广一款[DMARC]新电子邮件安全协议。随着该联盟的日渐发展,继而有网易等其他行业先行者也加入到其中。

白宫DMARC出现漏洞,欺诈电子邮件找到“后门”

目的:DMARC协议的主要目的是识别并拦截钓鱼邮件,使钓鱼邮件不再进入用户邮箱中(收件箱or垃圾箱),减少邮箱用户打开/阅读到钓鱼邮件的可能性,从而保护用户的帐号密码等个人信息安全。

原理:由发送方在DNS里声明自己采用该协议,接收方收到该域发送过来的邮件时,则进行DMARC校验,从而判断当前邮件来源是否合法。

DMARC  是一种“身份验证、策略和报告”协议,允许发件人和收件人共享其电子邮件信息并验证邮件安全性。它建立在广泛部署的Sender Policy Framework(SPF)和DomainKeys Identified Mail(DKIM)协议的基础上,可以验证消息来源的合法性。

DMARC校验的核心过程:

1.从信头提取From字段的domain,称域名A。此字段只存在一个域名。

2.查询DNS,获取域名A的DMARC记录。若该域无设置DMARC记录,忽略本次DMARC校验。

3.校验DKIM,若验证成功,则获取DKIM签名中的“d=”字段值,称域名B。信头中如果有多个DKIM签名验证通过,则域名B会存在多个。

4.校验SPF,若验证成功,则获取本次SMTP会话中MAIL FROM字段的domain,称域名C。此字段只存在一个域名。

注意:DMARC是基于DKIM和SPF的,所以开启DMARC必须先开启DKIM或SPF任意一种。

实际操作:DMARC 和 DKIM & SPF 相似,都需要发件方在DNS里声明TXT记录,只是DKIM & SPF校验结果处理策略比较单一(accept/reject…),而DMARC策略更灵活(多种组合策略,支持百分比等),DMARC 支持report功能。

例如:v=DMARC1; p=none; fo=1; ruf=mailto:dmarc@qiye.com;

rua=mailto:dmarc_report@qiye.com

p:用于告知收件方,当检测到某邮件存在伪造我(发件人)的情况,收件方要做出什么处理,处理方式从轻到重依次为:none为不作任何处理;quarantine为将邮件标记为垃圾邮件;reject为拒绝该邮件。初期建议设置为none。

sp:DMARC记录对子域名生效,同时声明子域名在有被伪造时,收件方须做出的处理方式。

rua:用于在收件方检测后,将一段时间的汇总报告,发送到哪个邮箱地址。

ruf:用于当检测到伪造邮件时,收件方须将该伪造信息的报告发送到哪个邮箱地址。

DMARC允许域所有者发布一项策略,该策略会告知收件人如果邮件未通过安全验证,该如何处理。

域所有者使用的策略借助“p =”指令进行配置。域所有者可以在“p = none”,“p = quarantine”或“p = reject”之间进行选择,如果他们不想对邮件采取任何操作,也可以将其移入单独的文件夹(如垃圾箱)内,或设置为收件人不接收任何未通过DMARC检查的电子邮件。

白宫DMARC出现漏洞,欺诈电子邮件找到“后门”

数百个.gov域名已符合规定

DHS为受指令影响的所有1,144个域提供了一年的期限,必须在此期间内添加配置“p=reject”策略的有效DMARC记录。

根据Agari电子邮件安全公司的最新报告,截至9月14日,所有.gov域名中DMARC采用率在为83%。对于已经使用“p = reject”策略运行的行政部门的域名,该数字下降到64%。也就是727个域名。

白宫DMARC出现漏洞,欺诈电子邮件找到“后门”

白宫需要DMARC修复

白宫的官方网站的DMARC记录配置为“p=none”,这其实对收件人其实没有起到保护作用,因为它允许所有欺诈电子邮件到达收件箱。

其他的防御方法仍然保护收件人不受欺诈电子邮件影响,包括垃圾邮件过滤器、IP信誉查询、或SPFDKIM策略,但是只要实行“p=none”策略,这些额外的保护措施也都不会再起作用了。

通过正确配置的记录,域所有者可以更好地了解其域名下发送的电子邮件,提醒他们一些异常活动。但是,就白宫使用的域名而言,MXToolsbox上的查找工具(https://mxtoolbox.com/DNSLookup.aspx)显示DMARC记录是无效的,这就让欺诈电子邮件有机可乘了。

白宫DMARC出现漏洞,欺诈电子邮件找到“后门”

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/news/114200.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code