已经遵守.gov域名的DMARC

联邦行政部门和机构要到10月16日才能配置基于策略的电子邮件域验证系统,该系统配置了最强的设置。大多数域名已经符合强制性要求,但whitehouse.gov尚未包含在其中。

该要求 美国国土安全部(DHS)去年发布的“ 绑定业务指令18-01”的一部分,该指令旨在通过逐步部署业界广泛采用的标准来改善电子邮件和网络安全。

DHS希望二级代理域的所有电子邮件服务器都添加对STARTTLS协议的支持,该协议对传输中的邮件进行加密,并启用基于域的邮件身份验证,报告和一致性(DMARC)系统来打击网络钓鱼和垃圾邮件。

DMARC简介

DMARC是一种身份验证,策略和报告协议,允许发件人和收件人共享其电子邮件信息并验证邮件。

它建立在Sender Policy Framework(SPF)和DomainKeys Identified Mail(DKIM)机制之上,可以验证消息来源的合法性。

DMARC允许域所有者发布策略,该策略告知接收者如果邮件未通过验证,该邮件将如何处理。

域所有者使用的策略使用“p =”指令进行配置。域名所有者可以在“p = none”,“p = quarantine”或“p = reject”之间进行选择,如果他们不想对邮件采取任何操作,将其移动到隔离文件夹(例如垃圾邮件)或拥有接收者拒绝所有未通过DMARC检查的电子邮件。

数百个.gov域名已经符合要求

DHS为受指令影响的所有1,144个域提供了一年的截止日期,以添加配置了“p =拒绝”政策的有效DMARC记录。

根据Agari电子邮件安全公司的最新报告,无论政策实施如何,截至9月14日的DMARC采用率在.gov域名中为83%。

对于已经使用'p = reject'策略运行的执行分支域,该数字下降到64%。这意味着有727个域名。

白宫需要DMARC修复

白宫的官方网站有一个'p = none'的DMARC记录,对接收者没有任何帮助,因为它允许所有伪造的电子邮件到达他们的收件箱。

“A”p = none“政策意味着如果DMARC检查失败,域所有者不会要求接收方采取行动,”阅读官方DMARC 常见问题解答页面

其他防御方法仍然可以保护接收方免受欺诈性电子邮件的侵害,包括垃圾邮件过滤器,IP信誉或SPF和DKIM机制。但是在没有实现p = none的情况下,消除了额外的障碍。

通过正确配置的记录,域所有者可以更好地了解在其域名下发送的电子邮件,提醒他们滥用活动。

但是,就白宫领域而言,这是不可能的。MXToolsbox上的查找工具显示DMARC记录无效,就像接收报告所需的电子邮件地址一样。

DHS域名不完全符合

DHS绑定指令明确了截止日期,要设置的DMARC策略以及过滤应该应用的消息百分比。

DHS.gov具有正确的DMARC语法,但该策略目前设置为“隔离”。此外,邮件过滤值设置为50%。

要遵循的两个例子是FBI和联邦储备银行的域名,其DNS记录包含设置为“ 拒绝 ” 的DMARC 策略,以及消息过滤的100%值。

  • 发表于:
  • 原文链接https://www.bleepingcomputer.com/news/security/dmarc-policies-for-whitehousegov-make-spoofing-emails-easier/
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券