预防BEC诈骗，从三大邮件安全协议开始

联邦调查局在2019年收到467,361起互联网和网络犯罪投诉，该机构估计这些投诉造成的损失超过35亿美元。联邦调查局表示，几乎一半的损失来自商业电子邮件诈骗（Business Email Compromise，简称 BEC）。在黑客入侵公司的电子邮件账户之后，就可能会发生典型的BEC诈骗。通常，黑客会采用伪造邮箱地址、假冒身份、假冒邮件等手段，这样做的目的是诱使财务人员将钱汇入黑客指定的银行账户。

目前，电子邮件仍是企业沟通和信息传递最重要的工具，80%以上办公文档、95%以上的公司业务机密文件都通过电子邮件进行传递和交流并留档保存。邮件安全显得尤为重要，如何进行安全防护？如何避免BEC诈骗？做好SPF、DKIM 、DMARC三大邮件安全协议部署可谓是磨刀不误砍柴工。

SPF记录

SPF 全称为Sender Policy Framework，是电子邮件系统中发件人策略框架的缩写，它的内容写在DNS的txt类型记录里面，作用是防止别人伪造实际发件人的邮件地址进行发信。

你也许会问 SPF记录设置中   ~all和-all有什么区别？

SPF记录为发件方设置，收件方检查，~all 收件方默认不做主动处理，-all 收件方一般会做主动处理。

如何设置SPF？

设置阶段一： ~all观察模式

v=spf1 ip4:X.X.X.X/31 ip4:X.X.X.X ~all

可以外发163等公共邮箱，查看邮件标头，验证邮件是否正常显示SPF为pass状态。

设置阶段二： -all判断模式

v=spf1 ip4:X.X.X.X/31 ip4:X.X.X.X -all

再将记录改为-all模式，收件方才可正常判断。

使用守内安SPAM SQR邮件安全网关进行SPF处理，检查邮件是否由经过授权的邮件服务器发出，阻挡伪装网域对内发送的假冒邮件。

1、可对Fail失败（-all状态记录）进行可靠的拒绝联机

2、安全角度管控，亦可以对SoftFail软性失败（~all状态记录）进行处理，原因是SPF是发件方设置对外宣称的网域来源IP，既然发件方设置，即可进行拒绝或拦截

3、可以对SPF记录进行标记处理，搭配邮件行为过滤条件灵活设置，针对网域进行分别处理

DKIM记录

DKIM 全称为 DomainKeys Identified Mail，DKIM签名可以表明邮件真实来源和内容完整性，防止邮件被篡改。

设置阶段一： 使用openssl工具先产生一对公钥和密钥

设置阶段二： 在域名管理web平台设置txt记录

主机记录格式为 default._domainkey

记录值格式为 v=DKIM1; p=ADAS…QQCB 其中 p= 后边的一串字符就是我们在第一步中创建的公钥文件pubkey.pem里边“—–BEGIN PUBLIC KEY—–”和“—–END PUBLIC KEY—–”之间的内容。

使用守内安 Mail SQR Expert 邮件审计进行 DKIM 处理，发送时，可以加入 DKIM 签章，供收信端验证。接收时，可以做 DKIM 验证，失败可在主题添加提示文字，提醒收件人留意邮件来源。

• 针对外发邮件进行审计操作，并在邮件最终投递之前添加DKIM信息，保障邮件信息完整性
• 公私钥灵活设置，可由系统自行产生或管理者自行定义

DMARC记录

DMARC 全称为 Domain-based Message Authentication, Reporting and Conformance，可以判断header-from地址是否满足DMARC记录，其域名和envelope-from域名是否一致，防止攻击者冒充显示地址，绕过SPF记录，欺骗他人。

如何设置DMARC？

设置阶段一： 前提必须发件方先设置SPF或DKIM

设置阶段二：

主机记录格式为 _dmarc

记录值格式为     v=DMARC1; p=reject;      其中p=为状态处理

=none       仅做测试，收信方应忽略DMARC检查结果，进入后续的反垃圾流程

=quarantine  收信方应认为这是一封可疑邮件，可以投递到垃圾箱或做特殊标记

=reject    收信方应直接拒绝本次SMTP会话请求

使用守内安SPAM SQR邮件安全网关进行DMARC处理，有效识别伪造邮件，避免遭受诈骗攻击。

• 可根据发件方设置动作进行处理
• 亦可根据发件方设置，采用标记域名，灵活区分判断

守内安 BEC 诈骗解决方案
SPAM SQR 威胁邮件全防御

N-tier 多层次过滤机制，具备完善的威胁特征与恶意网址数据库，搭载多种防御引擎，利用差分更新技术，有效缩短零时差攻击的风险，提供企业更安全的邮件使用环境。

高级防御模块 ( Advanced Defense Module )，提供智能诈骗邮件行为特征检测，通过云端机制定期更新诈骗源数据库和诈骗特征，防御 BEC 诈骗邮件、冒名伪造网域社交邮件以及各式诈骗来源邮件。

SPAM SQR 协助揭露潜在威胁

密码强度检测模块，定期扫描用户密码强度，了解实际弱密码漏洞数与用户密码安全意识强弱。独立的威胁统计报表提供完整邮件收发情况、密码被猜测次数及认证来源异常、恶意连结不当点击等信息。并可通过系统自动汇总威胁指针触发的排行名单，让管理者快速定位被瞄准者与安全意识不足者。

可运用 SPAM SQR 约定往来信件的验证机制，如 SPF，DKIM，DMARC，降低待发邮件被伪造冒名的机会。

Mail SQR Expert 外发加密防伪、内发提醒

可将内容含有汇款账号，汇款金额关键词的待发邮件，将附件自动转为 PDF 并加密，收件人必须取得密码才能看到附件内容。

可将内容含有汇款账号，汇款金额关键词的待发邮件，转换成超链接发给收件人，收件人必须访问超链接输入密码才能看到信件内容。

当发件来源隐藏伪造特征，或 DKIM 验证失败的邮件，传送到客户端时，Mail SQR Expert 便会在邮件主题加以标注提醒，让收件人提高警惕。