为啥E-mail这么不安全？怎么才能提高它的安全性？

企业调查和风险咨询公司Kroll最新调查报告显示：92％的英企高管表示他们在过去的一年中受到过网络攻击或信息失窃，英企由此成为了全球互联网犯罪的第二大受害者。Verizon的数据违规调查报告则显示：“钓鱼”是最常见的网络攻击方式之一——有30％的钓鱼邮件会被打开。钓鱼也是最简单的劫持账户的方式，例如2016年John Podesta（希拉里的总统选举竞选主席）就遭受了钓鱼攻击。

译者注：2016年美国总统大选期间，John Podesta受到钓鱼攻击——他在别人伪造的登陆界面输入了邮箱密码——致使大量政府保密邮件被通过维基解密泄露。舆论普遍认为这是希拉里总统大选失利的重要因素之一。

面对这些网络攻击，即使是Facebook和Google这样的科技巨头也无法独善其身。2017年5月，有人用伪造的邮箱和发票，让这些科技巨头们掉入了他精心策划的钓鱼陷阱，成功骗取了他们超过1亿美元（约合6.7亿人民币）。在网上冒用他人身份非常简单粗暴：只需几行代码，就可以冒用别人的邮箱地址，发送伪装好的恶意邮件。

这种网络攻击不需要什么黑客技术或窃取密码技术——要完成攻击，你只需要对网络协议和简单的工具有一点基本的了解，然后再找一个你要冒名顶替的人（比如你可以从LinkedIn上找）就足够了。屋漏偏逢连夜雨，你邮箱服务器和反垃圾邮件系统一般又会放行这些邮件，因为他们的发件人地址看起来没什么问题，好像是熟人发过来的。

由于这种钓鱼方法可以冒名顶替大多数邮箱地址，所以公司员工很容易被骗。他们一看：邮件是一位重要客户或顶头上司发过来的，有些程序还会贴心地附上发件人的照片儿，于是他一旦放松戒备，就被套路了。

E-mail：公司的后门

我们总以为邮箱能保证我们的身份安全，但这些骗术却让我们看到了血淋淋的现实：自互联网诞生以来，E-mail就存在着根本的缺陷。一个公司是否使用了强力的安全、密码策略，或者是否使用了双因子身份验证（2FA）并不重要，因为利用电子邮件的根本缺陷，这些防御手段都可以被回避。因此大坏蛋们很容易冒用内部员工或合作伙伴的身份发邮件，从而骗收件人点开邮件；而收件人一旦中了招，则又会进一步打开企业安全的大门。

虽然这种缺陷是互联网的本质痼疾，但并不是说我们就无能为力了。现在有一种叫做DMARC（基于域的邮件身份验证、报告和一致性）的电子邮件身份验证协议，它可以防止人们冒用他人的电子邮件域，从而使黑客无法向你的电子邮箱的用户发送钓鱼邮件，还可以鉴别过滤发来的恶意邮件。

在Gov.uk上有文章介绍DMARC的详细工作方式。简单来说，DMARC会验证邮件是否是从授权的IP地址发送的，还有该邮件是否是被发件方的域名或授权的域名署名的。DMARC将这两个因素与身份验证相结合，然后设置收件方的收信规则，来鉴别、处置来源有问题的邮件。

实践证明DMARC非常有效，英国海关税务署已全面应用了这种协议，国家网络安全中心、英国政府、澳大利亚政府以及美国联邦贸易委员会也是DMARC的推动者之一，还有越来越多的人正在投入DMARC的怀抱。

部署DMARC

既然DMARC可以有效防范钓鱼诈骗，那为什么电子邮件供应商们不默认使用它呢？很简单，因为他们不行——DMARC必须要由邮箱域名所有者自行配置。要想用DMARC保护一个邮箱域名，必须正确配置所有其他的电子邮件提供程序（如G Suite、MailChimp、SendGrid）。绝大多数企业必须自行设置DMARC来提升邮件安全性。

以前要设置DMARC费时费力，但现在有一些解决方案可以让公司通过自助服务来部署、运行DMARC，这也推动了DMARC的普及。

总而言之，DMARC可以保证域名安全、防止钓鱼诈骗，还可以增进收件人和发件人的互信。应用DMARC后，服务器、收件人都能确保他们收到的邮件确实是从你本人的邮箱中发出的。

你可以在https://ondmarc.com/上验证你的邮件系统是否应用了DMARC。你还等什么？快来着手提高您E-mail的安全性吧！