Cloudflare推出两项电子邮件安全功能

提供内容传递网络(CDN)与安全服务的Cloudflare在本周发布了两项电子邮件安全功能:Email Routing与Email Security DNS Wizard,前者用来协助用户创建及管理功能不同的电子邮件地址,后者则是简化了DNS的设置,以协助用户对抗诈骗及网络钓鱼邮件。

大多数的网络用户都通过电子邮件来执行机密的目的,像是登录银行账号,或是与政府机关交流,但电子邮件也会被用来登录网络上的任何网站,冒着接到源源不断垃圾邮件的风险,于是有些企业就会根据需求使用不同的电子邮件账号,但对于缺乏资源的小型企业来说,配置不同的邮箱与别名并不容易。

Cloudflare说明,电子邮件主要是由信封、标题及内容所组成,信封为SMTP传输协议的一部分,主要是告知服务器有关邮件的来源与目的,标题则提供寄件端与接收端的电子邮件地址、日期、主题或其它技术元资料,内容则是消息的主体。

而Email Routing在这其中则是担任传输层智能路由器的角色,处理及修改SMTP信封,并将邮件传送到最终目的,但保留原始的标题,以及维持内容的完整性,此举将可确保诸如SPF或DKIM等安全或反垃圾邮件协议不会被破坏,同时保障收信者的安全。

Email Routing简化了用户创建及管理电子邮件地址的流程,用户只要输入基于自己域名的定制化电子邮件地址,再输入所要转发的电子邮件地址,就能根据需求创建众多的电子邮件账号,并将它们转发到原本所使用的邮件信箱,如Gmail或Outlook等。它是项免费服务,唯一的前提就是用户必须是Cloudflare的DNS用户,现已迈入封闭测试,并开放有兴趣的用户申请。

图片来源_Cloudflare

Email Security DNS Wizard的主要作用在于协助用户创建DNS记录,以防范他人利用用户的域名来传送恶意电子邮件,同时也会在用户采用不安全的DNS配置时跳出警告并提供建议,除了可预防电子邮件诈骗及网络钓鱼之外,还能改善电子邮件的传送。

图片来源_Cloudflare

电子邮件诈骗通常是假冒他人的域名来发送邮件,上当的用户可能会点击邮件中的连接并输入重要的凭证,形成网络钓鱼攻击。根据FBI今年4月发布的2020年网络犯罪报告,网络钓鱼是去年最常见的网络犯罪,总计有超过24万名受害者,损失金额超过5,000万美元,受害人数是2019年的两倍,接近2018年的10倍。而Verizon的2020年资料外泄报告则显示,在社交工程的攻击事件中,有高达96%是通过电子邮件,透露出网络钓鱼的严重性与电子邮件安全的重要性。

不过,其实DNS就内置了反诈骗的机制,包括寄件端政策框架(Sender Policy Framework,SPF)、域名密钥识别邮件(DomainKeys Identified Mail,DKIM),以及基于域名的邮件验证、报告与一致性(Domain-based Message Authentication Reporting and Conformance,DMARC)。其中,SFP是用来指定允许哪些IP地址及域名可代表用户的域名来发送邮件,DKIM用来确认电子邮件确实是由域名所授权的邮件服务器所发送,DMARC会在DNS记录中设置规则,同时配合SPF与DKIM确认邮件的真实性,当SPF及DKIM验证失败时,邮件服务器便会根据DMARC规则来处理邮件,如隔离、拒绝或传送等。

虽然DNS具备了上述的反诈骗机制,但对于没经验的人来说,很难作出正确的配置,若配置太严格,合法邮件可能会收不到或沦为垃圾邮件,若配置太松散,域名便容易遭到滥用。且根据Dmarc.org在去年底的调查,只有不到50%的域名拥有DMARC记录,另一项针对2,881家美国银行的调查则指出,只有44%写入了DMARC记录。

Cloudflare表示,Email Security DNS Wizard所要做的,就是提高用户对SPF、DKIM与DMARC的采用,以防范电子邮件诈骗及网络钓鱼,通过清楚的指引、简单又明了的说明来协助用户进行配置。该功能将率先提供给Cloudflare的免费方案用户,并在几周后扩大部署至Pro、Business与Enterprise方案的用户。

发表评论