了解電子郵件驗證與網域身分冒充:SPF、DKIM 和 DMARC
您的企業是網路釣魚與身分冒充攻擊的目標。 如果您的電子郵件未經驗證,攻擊者便能輕易冒充您的網域。 如果沒有驗證,網際網路上的任何人都可以傳送假冒是您寄出的電子郵件。
電子郵件驗證是什麼意思?
電子郵件驗證是一套技術標準,用於驗證電子郵件的寄件者是否確實為其所聲稱的身分。 開發此技術是因為原始電子郵件協定(簡易郵件傳輸協定,即 SMTP)沒有內建防止偽造寄件者位址的功能。
若要了解驗證,先知道每封電子郵件都有兩個寄件者位址會很有幫助:
1. 信封寄件者 (RFC 5321)
亦稱為 MAIL FROM 位址、P1 寄件者或退信路徑,這是電子郵件伺服器在後台用於路由與傳遞的技術位址。
- 目的:它會告訴接收伺服器要將自動化訊息(例如退信通知或未送達報告 (NDR))傳送到哪裡。
- 可見度:收件者通常不會在他們的電子郵件用戶端中看到這個位址;它是隱藏訊息「信封」的一部分。
- 安全性角色:這是經 SPF 驗證的位址。
2. 標頭寄件者 (RFC 5322)
亦稱為「寄件者:」位址或 P2 寄件者,這是您收件匣中的可見位址(例如,寄件者:your-bank@example.com)。
- 目的:這是專為人際互動而設計的「易讀」位址,用以告知收件者該訊息似乎是由誰寄出的。
- 可見度:這是大多數使用者在開啟收件匣時唯一看到的位址。
- 安全性角色:這個位址是攻擊者最常冒充的位址,也是 DMARC 對齊檢查的主要焦點。
這樣的設計使得電子郵件身分冒充(偽造「寄件者:」位址)變得非常簡單。 攻擊者可以使用他們所控制的有效信封寄件者來通過基本的伺服器檢查,同時使用詐騙性的標頭寄件者來欺騙收件者。 像是 DMARC 這樣的電子郵件驗證協定就是透過要求這兩個寄件者的網域保持對齊來解決這個問題。
為什麼電子郵件驗證對企業至關重要?
對於企業而言,實施電子郵件驗證是一項不容妥協的防禦措施。 它能:
阻止身分冒充和網路釣魚:防止攻擊者從您的網域傳送詐騙電子郵件。
保護您的品牌聲譽:避免您的品牌與垃圾郵件和網路釣魚騙局產生關聯。
提高電子郵件傳遞率:向其他電子郵件提供者發出訊號,表明您是合法寄件者,進而避免您的電子郵件被歸類到垃圾郵件資料夾中。
三大核心電子郵件驗證方法
強大的防禦仰賴三種標準協同運作:SPF、DKIM 和 DMARC。 每一種都在前一種的基礎上進行建構,以建立多層式的防禦。
1. 寄件者原則框架 (SPF)
寄件者原則框架 (SPF) 是允許為您的網域傳送電子郵件的所有伺服器(依 IP 位址)的公開清單。
運作方式
您會將此清單發布為您網域的 DNS TXT 記錄。 當接收電子郵件伺服器收到訊息時,會比對該清單來檢查傳送伺服器的 IP。 如果該 IP 在清單中,則訊息通過 SPF 檢查;否則,檢查失敗。
弱點
SPF 僅驗證電子郵件伺服器所使用的技術傳送位址,而非人們在其收件匣中看到的可見「寄件者:」位址。 這個漏洞使冒充者得以通過 SPF 檢查。 由於 SPF 是一種基於路徑的協定,因此當電子郵件透過郵寄清單或合作夥伴伺服器轉寄時,它通常也無法通過檢查。 由於轉寄伺服器不在您的授權清單上,因此檢查會失敗。
2. DomainKeys 已識別郵件 (DKIM)
DomainKeys 已識別郵件 (DKIM) 會向訊息內容(包含「寄件者:」標頭)新增一個唯一、防篡改的數位簽署。
運作方式
此簽名是使用僅有您的伺服器知道的私有金鑰建立的。 對應的公開金鑰會發布在您的 DNS 中。 接收伺服器會使用此公開金鑰來驗證簽名。 如果簽名有效,則證明該電子郵件來自您的網域,且其內容在傳輸過程中未被修改。
弱點
與 SPF 一樣,DKIM 本身並不能阻止身分冒充。 簽名證明了該訊息對於傳送它的網域來說是真實的,但不一定是「寄件者:」位址中顯示的網域。
3. 網域型訊息驗證、回報與一致性 (DMARC)
網域型訊息驗證、回報與一致性 (DMARC) 是將 SPF 和 DKIM 結合在一起的政策。 DMARC 是一項規則,指示電子郵件伺服器只有在您看見的「寄件者:」位址與幕後的驗證檢查相符時,才信任該電子郵件。 它堵住了攻擊者僅利用 SPF 或 DKIM 就能鑽的漏洞。
運作方式
DMARC 要求顯示的「寄件者:」位址中的網域,必須與通過的 SPF 或 DKIM 檢查中所使用的網域相符。 這個至關重要的步驟將顯示的寄件者位址與技術驗證相連結。
它還會告訴伺服器該怎麼做:您的 DMARC 政策 (p) 會指示接收伺服器如何處理失敗:
- p=none (監控):不採取任何動作。 僅向您傳送報告,說明有誰正從您的網域傳送電子郵件。
- p=quarantine (隔離):將失敗的電子郵件傳送到垃圾郵件資料夾。
- p=reject (拒絕):完全封鎖失敗的電子郵件。
保護您的企業免受網路釣魚和網域身分冒充的侵害
超過 90% 的資料外洩都是以網路釣魚或身分冒充攻擊開始的。 實作 SPF、DKIM 和 DMARC 是您的第一道防線,但它必須與預設安全的電子郵件提供者搭配使用。
Proton Mail for Business 旨在這些威脅接觸到您的團隊之前將其封鎖。 我們先進的防身分冒充偵測、PhishGuard 技術和端對端加密,提供了易於管理的全面防禦。
如何設定電子郵件驗證 (逐步說明)
保護您的網域安全需要向您的網域名稱系統 (DNS) 設定中新增一些記錄,這些設定由您的網域註冊服務商 (例如 GoDaddy、Namecheap 或 Cloudflare) 進行管理。
建立您的 SPF 記錄
首先,識別您用來傳送電子郵件的所有服務 (例如,您的電子郵件提供者、像 Mailchimp 這樣的電子報服務、CRM)。 您的 SPF 記錄必須包含所有這些服務。 例如,Proton Mail 的 SPF 記錄為 v=spf1 include:_spf.proton.me mx ~all。 您需要將其作為 TXT 記錄新增到您的 DNS 設定中。
設定您的 DKIM 簽名
在您的 Proton Mail (或其他提供者) 管理員面板中,導覽至網域設定。 系統會為您產生一個唯一的 DKIM 金鑰。 在 Microsoft 365、Google Workspace 或 Proton 中設定 DKIM 的過程非常相似:您複製產生的金鑰,並按照說明在您的 DNS 中建立一個新的 TXT 記錄。
實作您的 DMARC 政策
新增 DMARC 政策 (p) 是最後一個步驟。 它應該分階段推出,以避免封鎖您自己的合法電子郵件:
- 從 p=none 開始:建立一個政策為 p=none 的 DMARC 記錄。 這種監控模式可讓您接收有關電子郵件失敗的報告,而不會影響您的郵件遞送。
- 分析報告:使用 DMARC 報告尋找任何未通過檢查的合法服務,並將其新增到您的 SPF 和 DKIM 記錄中。
- 移至 p=quarantine:確認無誤後,將您的政策變更為 p=quarantine。 這會將失敗的電子郵件傳送到垃圾郵件資料夾。
- 移至 p=reject:經過更多監控後,移至 p=reject 以阻止所有欺詐性電子郵件被遞送。
有關詳細的設定說明 (包括螢幕擷取畫面和記錄值),請參閱 Proton 的支援指南。
基礎之外:ARC 和 BIMI
部署好 SPF、DKIM 和 DMARC 後,還有兩個可以增加額外價值的選用標準:
已驗證接收鏈 (ARC)
在轉寄電子郵件時 (例如透過郵寄清單) 保持您的驗證結果不變,因為轉寄通常會破壞 SPF 或 DKIM。
訊息識別之品牌指標 (BIMI)
讓您官方的公司商標顯示在支援的收件匣中的電子郵件旁。 可以將其視為電子郵件的「已驗證勾選標記」。 若要符合資格,您需要有強大的 DMARC 政策 (隔離或拒絕)。
Proton Mail 如何保護您的企業電子郵件安全
設定電子郵件驗證至關重要,但這只是完整安全性策略的一部分。 Proton Mail 增加了更深層的保護,以保護您的企業免受進階威脅。
進階防身分冒充偵測
Proton Mail 會自動檢查所有內送訊息的 SPF、DKIM 和 DMARC。 未通過這些檢查的電子郵件會被清楚標記,從而降低冒充風險。
PhishGuard
PhishGuard 能識別基本篩選器常遺漏的可疑連結、模式和其他注意跡象,有助於在網路釣魚企圖接觸到員工之前將其封鎖。
端對端和零存取加密
Proton 使用者之間的電子郵件會自動進行端對端加密。 您的所有資料皆以零存取加密技術儲存,這意味著連我們也無法讀取您的電子郵件。
連結確認
當使用者點擊電子郵件中的連結時,Proton Mail 會顯示目標網址的完整預覽,有助於防止誤點惡意網站。
保護您的商業通訊安全
使用將安全與隱私放在首位的電子郵件服務,保護您的公司免受網路釣魚、身分冒充和資料外洩的威脅。 實施強大的電子郵件驗證,並從端對端加密和進階網路釣魚防護中受益,一切盡在一個簡單、安全的解決方案中。
常見問題
- SPF 和 DKIM 有何不同?
- 電子郵件伺服器如何檢查驗證?
- DMARC 需要多長時間才能發揮作用?
- 如果詐騙者冒充我的電子郵件該怎麼辦?
- 這能阻止所有的網路釣魚攻擊嗎?