企业邮件安全解决方案(电子邮件的三大安全问题)-众学网

0x01企业建设服务器通用安全防护

因此，在基础防护这部分，建议企业在邮件系统防护过程中部署NF，IPS，WAF等安全防护设备，以保护邮件服务器的基础环境安全。

邮件服务器特有威胁防护

1、发件人身份伪造防护

除了互联网或WEB业务通用的安全问题外，邮件还有其自身的一些性安全隐患，最为常见的是邮件发件人身份伪造。

2、SPF防邮件伪造

（1）设置SPF记录

SPF 是通过「SPF 记录」和「TXT 记录」来检查的。使用 TXT 记录主要是兼容性的考量：一部分老的 DNS 服务器有可能不支持 SPF 记录，因此只能拿 TXT 记录来代替；OpenSPF 建议在这段过渡时期，SPF 记录和 TXT 记录都要添加，SPF 记和 TXT 记录因此也是非常相近的。以阿里云图形化配置为例:

（2）记录类型：选择TXT;

主机记录：一般是指子域名的前缀（如需为子域名为 mail.dns-example.com 添加 TXT 记录，主机记录输入mail；如需为dns-example.com添加TXT记录，主机记录输入@）,常见的作法是输入@为dns-example.com添加SPF记录;

解析线路：默认为必选项，未设置会导致部分用户无法解析;

v=spf1 ip4:192.0.2.128 ip4:198.51.100.128 ip4:203.0.113.0/24 ip6:2001:db8::/32 ?all

如果要让其他域名或其他公司的邮件系统可为代发邮件，可以加入其他域名，对应的IP或对应公司spf记录中的值，格式如下：

v=spf1 include:spf-a.mail.qq.com include:spf-b.mail.qq.com include:spf-c.mail.qq.com include:spf-d.mail.qq.com include:spf-e.mail.qq.com include:spf-f.mail.qq.com -all

TTL：为缓存时间，数值越小，修改记录各地生效时间越快，默认为10分钟。如果是使用的自建服务器，修改对应的配置文件即可，以BIND9为例^2，配置语法如下：

qq.com. 3600 IN TXT “v=spf1 include:spf-a.mail.qq.com include:spf-b.mail.qq.com include:spf-c.mail.qq.com include:spf-d.mail.qq.com include:spf-e.mail.qq.com include:spf-f.mail.qq.com -all” /*引用spf对应域名*/spf-a.mail.qq.com. 3600 IN TXT “v=spf1 ip4:203.205.251.0/24 ip4:103.7.29.0/24 ip4:59.36.129.0/24 ip4:113.108.23.0/24 ip4:113.108.11.0/24 ip4:119.147.193.0/24 ip4:119.147.194.0/24 ip4:59.78.209.0/24 -all” /*定义SPF域名所对应的IP*/spf-b.mail.qq.com. 3600 IN TXT “v=spf1 补充为对应的A或AAAA记录” /*定义SPF域名所对应的IP*/… /*定义SPF域名所对应的IP*/

3、DKIM（DomainKeysIdentified Mail）防邮件做伪造

域名密钥识别邮件（DKIM）是一种防范电子邮件欺诈的验证技术。其使用一对密钥（一个私钥和一个公钥）来验证邮件内容是否被篡改或伪造，主要通过以下步骤来实现。

1、将与邮件服务器匹配的公钥添加到邮件域名系统 (DNS) 记录中，通常通过TXT记录来实现。

2、发件服务器使用私钥对所有外发的邮件中添加加密标头。

其工作原理及流程如下图：

（1）配置DKIM

DKIM的设置比较简单，从其工作原理来看，只需要如下3点即可：

为您的网域生成域名密钥。生成密钥时有两点需要注意，如你使用的DNS的txt记录为256位，DKIM密钥长度要选择1024位，如果没有此限制，则可以选择2048位密钥。如果注册商支持 2048 位的密钥，我们建议您使用该长度的密钥。如果您先使用 1024 位密钥，后期切换到 2048 位密钥，也不会有任何影响。可以使用 openssl 工具生成一对公钥和密钥，Windows 和 Linux 都可以操作，请自行搜索方法；或者在http://dkimcore.org/tools/网站在线生成。

向网域的 DNS 记录添加公钥。电子邮件服务器可使用此密钥读取邮件 DKIM 标头。

开启 DKIM 签名功能以开始将 DKIM 签名添加到所有外发邮件中。

（2）配置DKIM操作示例

具体操作步骤根据邮件服务商的不同而略有不同，以下以Winmail为例进行说明^3：第1步，在”反垃圾设置”/“SMTP设置”下，选择”启用 DKIM (DomainKeys Identified Mail) 检查”。

“选择器”一定要有，默认是: mail，可以自己设置，完整拷贝上面的 “TXT 记录”,例如:

mail._domainkey.abc.com TXT k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQ…

Winmail 会从私钥自动生成公钥进而生成 TXT 记录值，所以只输入私钥就可以了。第三步. 在域名服务商域名解析系统里增加一条 TXT 记录，例如：

记录类型主机记录记录值 TXT mail._domainkey k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQ…

增加 TXT 记录后，需要一段时间（10分钟-24小时）才能生效，可以使用命令行查询：

nslookup -q=txt mail._domainkey.abc.com

如果已经生效，会显示：

mail._domainkey.abc.com text = “k=rsa\; p=MIGfMA0GCSqGSIb3…

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=abc.com; s=mail; t=1458090487; h=Date:From:To: Reply-To:Subject:Message-ID:Content-Type:MIME-Version; bh=RBrzM2 ccFCYSkSJUKwSj5FQ/IQj6UrOI1/ rZiw0 aI=; b=Esn3j84HzzVC VbRgf/i7N … SWtPgVyJx91CJKFGbVaFI=

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=abc.com; s=mail; t=1458091059; h=Date:From:To: Reply-To:Subject:Message-ID:Content-Type:MIME-Version; bh=JtLpkA GBbI9j6KEs01UI/CKmX5rvvrJ6O9QcCgb5i1I=; b=J5xXBMdm8Q5Y66orv Skoq … cT/oVvXPMvEbi mJwoqbM=

4、基于域的消息认证，报告和一致性（DMARC）

那在配置了SPF和DKIM后，如何让外界得知旗下域名的电子邮件提供何种方式认证身份？是使用SPF,DKIM，还是两者都使用？如果寄件者身份未能得到百分之百确认，收件者可以如何处理邮件？是放进垃圾箱，还是直接回绝？有没有一种机制可以让邮件管理员了解此时此此刻是否有第三者正在伪冒其网域身份发送电子邮呢？带着这些问题，我们了解一下DMARC。基于域的消息认证，报告和一致性（DMARC，Domain-based Message Authentication, Reporting and Conformance）是一套以 SPF防邮件伪造DKIM（DomainKeysIdentified Mail）防邮件做伪造为基础的电子邮件认证机制，可以检测及防止伪冒身份、对付网络钓鱼或垃圾电邮。^4邮件管理员可以通过在网域的 DNS 记录中添加 DMARC 政策，从而启用基于网域的消息认证、报告和一致性 (DMARC) 验证机制。该策略同样使用采用 DNS TXT 记录形式，指定您的网域如何处理可疑电子邮件。DMARC 政策支持三种处理可疑电子邮件的方式：

不对邮件采取任何操作，仅将其记录在每日报告中。

将邮件标记为垃圾邮件。Gmail 会将这些邮件放入收件人的垃圾邮件文件夹。

通知接收邮件的服务器拒绝邮件。这也会导致 SMTP 将邮件退回给发件人。

DMARC TXT 记录值：

DMARC 政策示例：

添加 TXT 记录以启用 DMARC

在_dmarc处添加一条 DNS 记录

TXT record name（TXT 记录名称）：在 DNS 主机名下方的第一个字段中输入：

_dmarc.abc.com

TXT record value（TXT 记录值）：在第二个字段中输入指定您的 DMARC 政策的值，例如：

v=DMARC1; p=reject; rua=mailto:postmaster@qq.com, mailto:dmarc@qq.com

小结