三大主要電子郵件安全協(xié)議互為補(bǔ)充，若能全部實(shí)現(xiàn)，可獲得最佳電子郵件安全防護(hù)。雖說知易行難，但遵從專家的建議能有所幫助。

[[242641]]

盡管取得了一些進(jìn)展，SPF、DKIM和DMARC這3個電子郵件安全協(xié)議的部署之路依然舉步維艱。這3個協(xié)議的配置比較困難，需認(rèn)真研究了解其相互間聯(lián)系與各自保護(hù)性功能間的互補(bǔ)關(guān)系。但是，磨刀不誤砍柴工，這種學(xué)習(xí)研究上的投入會帶來巨大的安全回報(bào)。

• 發(fā)件人策略框架(SPF)能加強(qiáng)DNS服務(wù)器安全并限制誰能以你的域名發(fā)出電子郵件。SPF可防止域名欺騙，令你的郵件服務(wù)器能夠確定郵件是何時從其所用域名發(fā)出的。SPF由3個主要部分構(gòu)成：策略框架、身份驗(yàn)證方法，以及包含這些信息的特殊郵件頭。2006年發(fā)布的互聯(lián)網(wǎng)工程任務(wù)組(IETF)標(biāo)準(zhǔn)4408首次提出了SPF，2014年的IETF標(biāo)準(zhǔn)7208對該框架做了更新。
• 域名密鑰識別郵件(DKIM)協(xié)議可確保郵件內(nèi)容不被偷窺或篡改。2007年初版出爐后歷經(jīng)多次修改，最近一次更新是今年1月的IETF標(biāo)準(zhǔn)8301。SFP和DKIM在2014年的IETF標(biāo)準(zhǔn)7372中都做了更新。
• 基于域的郵件身份驗(yàn)證、報(bào)告及一致性(DMARC)協(xié)議以一組協(xié)調(diào)一致的策略黏合了SPF和DKIM，并將發(fā)件人域名與郵件頭中From:域列出的內(nèi)容相關(guān)聯(lián)，還具備更好的收件人反饋機(jī)制。該協(xié)議于2015年在IETF標(biāo)準(zhǔn)7489中提出。

網(wǎng)絡(luò)釣魚和垃圾電子郵件是黑客侵入公司網(wǎng)絡(luò)的最大機(jī)會。只要某用戶點(diǎn)擊了惡意附件，整個企業(yè)都有可能遭遇勒索軟件、加密貨幣劫持腳本、數(shù)據(jù)泄露或提權(quán)漏洞利用。

但為什么多數(shù)企業(yè)都需要這3個協(xié)議來保護(hù)自身電子郵件基礎(chǔ)設(shè)施，就不是每個人都清楚了。IT世界中，多種解決方案并不是總有交集。事實(shí)上，它們往往是互為補(bǔ)充的，公司企業(yè)最好把這3個協(xié)議都實(shí)現(xiàn)了。

最近的發(fā)展驅(qū)動了對電子郵件安全協(xié)議的關(guān)注

眾所周知，這3個協(xié)議早在新世紀(jì)之初就已提出，那么最近發(fā)生了什么，才導(dǎo)致大家的視線又集中到了它們身上呢?

1. 垃圾郵件和漁叉式網(wǎng)絡(luò)釣魚一直都很成問題

且隨著越來越多的公司網(wǎng)絡(luò)深受其害，IT經(jīng)理紛紛找尋更好的安全解決方案加以應(yīng)對。還有近幾年來上升勢頭很猛的勒索軟件(往往緊隨漁叉式網(wǎng)絡(luò)釣魚電子郵件而至)，也讓公司企業(yè)更想要保護(hù)自身電子郵件基礎(chǔ)設(shè)施。垃圾郵件顯然是不會消失的。

2. 政府也涉入了

美國國土安全部(DHS)去年頒布了一項(xiàng)命令，要求各政府機(jī)構(gòu)拿出實(shí)現(xiàn)這些協(xié)議的行動計(jì)劃。英國和澳大利亞的機(jī)構(gòu)也發(fā)布了各自的強(qiáng)制部署時間表，至少政府運(yùn)營的服務(wù)器上要實(shí)現(xiàn)這些協(xié)議。盡管很多機(jī)構(gòu)都沒能趕上最初定下的截止日期，仍有一些機(jī)構(gòu)已開始實(shí)現(xiàn)，并取得了重大進(jìn)展，朝著完全部署邁進(jìn)了一大步。

3. 谷歌Gmail、雅虎和Fastmail等電子郵件提供商的實(shí)現(xiàn)激勵了其他人的跟進(jìn)

因?yàn)橄胍ＷC客戶的電子郵件受到保護(hù)，在其托管電子郵件解決方案中添加這些協(xié)議就顯得很有意義了。

4. 安全提供商改進(jìn)了產(chǎn)品和咨詢服務(wù)，可以讓協(xié)議部署得更加容易

Valimail、Barracuda和Agari就是個中代表，Proofpoint則提供免費(fèi)互動工具以創(chuàng)建客戶自己的DMARC記錄。需注意的是，Agari、Valimail和微軟正在開發(fā)名為品牌指標(biāo)郵件識別(BIMI)的新標(biāo)準(zhǔn)，可在每封電子郵件中展示公司品牌標(biāo)志，幫助移動電子郵件用戶識別垃圾郵件。

SPF、DKIM和DMARC組合拳

不妨進(jìn)一步審視這3個協(xié)議。首先，為什么3個都要實(shí)現(xiàn)?

因?yàn)樗鼈兏髯越鉀Q電子郵件問題中不同的方面，通過結(jié)合標(biāo)志身份驗(yàn)證及加密工具，比如公鑰和私鑰簽名，再輔以特殊DNS記錄以驗(yàn)證出自公司域名的電子郵件，3個協(xié)議聯(lián)合使用可防止網(wǎng)絡(luò)釣魚與垃圾郵件侵入。

其次，互聯(lián)網(wǎng)電子郵件協(xié)議的進(jìn)化發(fā)展方式也要求綜合使用這3個協(xié)議?；ヂ?lián)網(wǎng)早期，電子郵件主要是大學(xué)里的研究人員使用，大家互相認(rèn)識，彼此信任，但那美好的舊時光已一去不復(fù)返。

郵件頭(比如收件人(To:)發(fā)件人(From:)和抄送(Bcc:)地址字段)與郵件實(shí)際內(nèi)容部分被有意剝離開來。這算是電子郵件的一項(xiàng)重要特性，但這種剝離給現(xiàn)在的IT管理員帶來了新的痛苦。

如果你的電子郵件基礎(chǔ)設(shè)施恰當(dāng)?shù)貙?shí)現(xiàn)了全部3個協(xié)議，你就可以確保郵件不會被輕易偽造，也可以防止垃圾郵件淹沒用戶的收件箱。但這只是個理想狀態(tài)，前面的那個“如果”沒那么容易實(shí)現(xiàn)。

前面說了那么多好處，下面我們來看看棘手的部分。

去年年底，一名安全研究員發(fā)了篇如何用一組多主題電子郵件破解DKIM的帖子。雖然他在DKIM實(shí)踐與實(shí)現(xiàn)上有些心得，Valimail(托管DKIM解決方案供應(yīng)商)卻指稱他并不清楚自己在做什么，他帖子描述的不過是無關(guān)緊要的邊緣案例。

大多數(shù)情況下，電子郵件客戶端未能對這些多主題郵件進(jìn)行身份驗(yàn)證，因?yàn)镕astmail部署這3個協(xié)議的恰當(dāng)部署還是相當(dāng)難的。

更加令人迷惑的是各種互相沖突的使用情況調(diào)查。谷歌的調(diào)查顯示，Gmail郵件系統(tǒng)中85%的收件都用到了一些防護(hù)措施，但普通企業(yè)電子郵件用戶的情況根本不是這樣，他們的防護(hù)措施采用率沒什么值得大書特書的。

250OK今年8月新出的一份DMARC報(bào)告顯示，律所在安全協(xié)議采用上走在各行業(yè)前列，但其采納率也僅有1/3這么點(diǎn)兒。大部分其他公司的采納率微乎其微。詳情如下圖所示：

250OK的研究與Agari早些時候的調(diào)查遙相呼應(yīng)。Agari發(fā)現(xiàn)，財(cái)富500強(qiáng)企業(yè)中恰當(dāng)實(shí)現(xiàn)了DMARC的僅占8%，僅2%的域名有所防護(hù)。

設(shè)置DMARC、DKIM和SPF并不容易，且易受運(yùn)營商錯誤影響

舉個例子，想要SPF和DMARC起到有效防護(hù)作用，你得在自己的每個域名上都安裝設(shè)置這倆協(xié)議。如果公司運(yùn)營有很多域名和子域名，設(shè)置工作會變得冗長繁瑣。而且你還得確保每個子域名都有正確的DNS條目保護(hù)。

雖然有各種工具加以輔助，要配置好所有東西還是需要非常專業(yè)的技術(shù)的。甚至公司的DNS大師都未必熟悉每種協(xié)議所需的具體命令，不是因?yàn)槿狈@方面知識，而是因?yàn)檫@些命令使用太廣泛，語法太瑣碎。按一定的順序設(shè)置這幾個協(xié)議會讓配置工作變得稍微簡單些。

Easysol的帖子建議先從SPF開始，然后著手DKIM，最后處理DMARC。SPF相對較容易部署，所以放在最先。走到DMARC部署階段，可以在開始封堵電子郵件之前先使用其僅監(jiān)視模式，確保每項(xiàng)設(shè)置都符合要求。

LinkedIn的工程師在協(xié)議總體實(shí)現(xiàn)上有些建議包括怎樣設(shè)置公司電子郵件標(biāo)準(zhǔn)以更好地保護(hù)郵件流量安全。

跟蹤消費(fèi)電子郵件的所有應(yīng)用

子域名及各種網(wǎng)頁插件可能會給協(xié)議實(shí)現(xiàn)帶來意想不到的麻煩。舉個例子，WordPress博客服務(wù)器上的很多插件都會發(fā)送各種各樣的郵件通知，如果在實(shí)現(xiàn)這幾個安全協(xié)議時未作調(diào)整，某些博客評論的郵件通知便會被放到垃圾郵件文件夾中。這種不太明顯的隱藏郵件應(yīng)用需要附加額外的設(shè)置工作。

運(yùn)營著很多應(yīng)用的企業(yè)，可能需要搜索出接入電子郵件基礎(chǔ)設(shè)施的那些應(yīng)用，為它們特別設(shè)置合適的身份驗(yàn)證方法。有些應(yīng)用可能不支持DMARC或SPF或DKIM，這種時候你就得找其他解決辦法，或者接受部分郵件可能暗藏風(fēng)險的事實(shí)。

IETF標(biāo)準(zhǔn)8301地址：https://tools.ietf.org/html/rfc8301

DMARC報(bào)告原文地址：

https://s3.amazonaws.com/250ok-wordpress/wp-content/uploads/2018/07/31203230/Aggregate-DMARC-Report-2018.pdf

DMARC/DKIM/SPF實(shí)現(xiàn)之路肯定不好走，有很多岔路。最好能取得高層的支持，并正確評估完成實(shí)現(xiàn)計(jì)劃所需的時間。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文