根据美国国土安全部2017年10月发布的命令,截至今年1月15日,所有政府机构的域名必须采用发件人策略框架(简称SPF)以及基于域的邮件验证、报告与一致性(简称DMARC)记录机制——这标志着联邦政府网络安全迈出重要一步。

SPF是验证电子邮件发件人真实身份与检测欺诈行为的一种方法。传入的电子邮件会接受检查以确保其来自真实的声明来源。如果有人试图伪造“发件人”地址,那么该电子邮件将会被及时标出。

DMARC采用SPF DomainKeys Identified Mail——国土安全部命令中要求的一种发件人认证标准——以保障安全性,同时定义邮件接收系统如何验证邮件并在邮件未能通过验证时作出响应。DMARC也允许各机构申请与身份验证检查相关的报告数据,从而预防欺诈活动并确保重要电子邮件不被转发。

最后,安全领导者必须充分理解这些变化,并向所在机构及相关各方传达此次策略调整内容。

以简要清晰的语言解释邮件安全问题

对于不熟悉电子邮件安全知识的人士,SPF与DMARC可能听起来比较陌生,但相较于美国邮政服务局给出的资料,二者实在已经“很接地气”了。

SPF的作用类似于验证信件的发件人身份,即通过验证该信件上的邮戳与发件人所在位置是否匹配判断信息的可信度。尽管寄件人可以发送来自不同邮局的信件,但收件人能够通过邮寄地址的变化判断信件是否可疑。但与普通信件不同的是,SPF负责确认的是电子邮件是否确实来自.gov电子邮件服务器。

在另一方面,DMARC则负责帮助政府机构了解如果电子邮件并非来自官方.gov服务器,应采取怎样的应对措施。其还为各政府机构提供相关方法,用以确认收件人接收到邮件的具体内容,从而判断其是否遭遇欺诈活动。

在我们作出的邮局比喻中,DMARC的作用等同于邮戳与指定邮寄地址不匹配时所应采取的处理规则:如果用户认为信件较为可疑,则应将其隔离,并交由官员进行审查或直接丢进垃圾箱。其中还包含一条转寄地址,收件人可以向其提交所收取可疑邮件的内容并追踪审查工作的执行进度。

最重要的是,电子邮件发件人身份验证以及SPF与DMARC应采取怎样的介入方式,从而在保障政府机构安全的同时不致给普通民众构成安全威胁。人们普遍认为来自.gov域名的邮件应该是合法的,这使得伪装成政府机构发送邮件成为一类常见的欺诈手段。很明显,SPF与DMARC有助于打击这类冒充行为。PayPal公司部署此类方案后,欺诈活动数量即快速下降70%。

邮件安全保障的后续措施

采用SPF与DMARC无疑是阻止欺诈分子并保护政府邮件的重要步骤。但为了确保邮件流量在稳定性日益下降的网络安全环境中始终合法,政府机构还必须采取更多后续措施。

目前的网络安全标准已经在联邦一级政府全面实施,但在大多数州或地方一级政府中仍然未能得到普及。因此,在各政府机构开始采用发件人验证方案之前,网络威胁的风险仍然不容忽视。此外,如果联邦政府以下的机构没有被确定为授权发件方,那么其发出的重要电子邮件可能遭到隔离并影响其沟通能力。

而如果攻击者设法入侵政府收件箱并利用授权发件人机制时,这些新标准将无计可施。关注入站与出站流量当然非常重要,但限制对收件箱本身的访问也同样非常关键。最后,用户本身亦是电子邮件安全保障体系中的重要一环。应当制定政策以提高用户安全意识、协调教育与培训水平,同时确保为用户提供技术支持——只有完成这一切,电子邮件安全才能够真正得到保障。

联邦政府正朝着正确的方向迈进,不过面前的道路也依旧漫长。但我们相信,只要这样的积极势头能够保持下去,伪造与恶意“政府”电子邮件将逐渐消失在历史进程当中。

本文翻译自federaltimes

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。