保護您的小型企業電子郵件服務器:從 DNSSEC 到 DMARC、DKIM 和 SPF
介紹
作為小企業主,保護您的電子郵件服務器應該是重中之重。 網絡罪犯不斷以電子郵件服務器為目標,以訪問敏感信息、分發惡意軟件或實施欺詐。 實施 DNSSEC、DM一種RC、DKIM 和 防曬指數 可以幫助您保護電子郵件服務器並保持業務通信的完整性。 在本文中,我們將探討這些安全措施,並討論可能導致誤報 SPF 結果的直接郵件轉發的陷阱。
- DNSSEC:域名系統安全擴展
DNSSEC 是一種基本的安全協議,可為域名系統 (DNS) 提供身份驗證和完整性。 它確保您從 DNS 服務器收到的信息是真實且未更改的。 通過實施 DNSSEC,您可以保護您的電子郵件服務器免受 DNS 緩存中毒和其他基於 DNS 的攻擊。
要啟用 DNSSEC:
- 聯繫您的域註冊商並要求他們為您的域啟用 DNSSEC。
- 生成一個密鑰對,由私鑰和公鑰組成。
- 為您的域創建 DS 記錄並將其提交給您的域註冊商。
- DM一種RC:基於域的消息身份驗證、報告和一致性
DMARC 是一種電子郵件身份驗證協議,有助於保護您的域免遭未經授權的使用,例如網絡釣魚和欺騙。 它的工作原理是驗證發件人的域是否已發布 SPF 和 DKIM 記錄,並指示接收服務器如何處理未經身份驗證的電子郵件。
要實施 DMARC:
- 為您的域發布 SPF 記錄。
- 為您的電子郵件服務器設置 DKIM 簽名。
- 在您域的 DNS 設置中創建 DMARC 策略記錄,指定執行級別和報告選項。
- DKIM:域名密鑰識別郵件
DKIM 是一種電子郵件身份驗證方法,它使用加密簽名來驗證電子郵件的真實性。 通過使用私鑰簽署外發電子郵件,您可以證明郵件是從您的域發送的,並且在傳輸過程中未被篡改。
要啟用 DKIM:
- 為您的域生成 DKIM 密鑰對。
- 將公鑰作為 TXT 記錄添加到您域的 DNS 記錄中。
- 配置您的電子郵件服務器以使用私鑰簽署外發郵件。
- SPF:發件人策略框架
SPF 是一種電子郵件身份驗證標準,允許域所有者指定授權哪些 IP 地址代表他們發送電子郵件。 這有助於防止您的域被用於垃圾郵件和網絡釣魚活動。
要實施 SPF:
- 在 DNS 設置中為您的域創建 SPF 記錄,列出授權的 IP 地址。
- 配置您的電子郵件服務器以檢查傳入郵件的 SPF 記錄並拒絕未經授權的發件人。
- 直接郵件轉發和 SPF 誤報的陷阱
直接郵件轉發有時會導致 SPF 誤報。 轉發電子郵件時,會保留原始發件人的 IP 地址,從而使接收服務器檢查原始發件人的 SPF 記錄。 如果轉發服務器的 IP 地址在原始發件人的 SPF 記錄中未被授權,則電子郵件可能被標記為失敗。
為避免此問題:
- 使用支持 SRS(發件人重寫方案)的郵件轉發服務重寫返迴路徑,確保正確執行 SPF 檢查。
- 如果您可以控制轉發服務器的 IP 地址,請將其添加到原始發件人的 SPF 記錄中。
結論
在當今的數字環境中,保護您的小型企業電子郵件服務器至關重要。 通過實施 DNSSEC、DMARC、DKIM 和 SPF,您可以顯著提高電子郵件安全性並保護您的企業免受網絡威脅。 謹慎轉發直接郵件,並採取必要措施避免 SPF 誤報。 採取這些措施後,您可以保護您的電子郵件通信並專注於發展您的業務。
在深入研究每個安全協議的實現之前,了解它們的語法是必不可少的。 下表提供了 DNSSEC、DMARC、DKIM 和 SPF 記錄的示例語法。 請注意,這些只是示例,您應該將佔位符替換為您的實際域、IP 地址和公鑰。 此外,您可能需要根據需要調整 TTL(生存時間)值。 熟悉語法後,您就可以開始配置域的 DNS 記錄以增強電子郵件服務器的安全性。
| 安全協議 | 示例語法 |
|---|---|
| DNSSEC | example.com。 86400 在 DS 12345 8 2 0234567890一種BCDEF1234567890一種BCDEF1234567890 |
| DMARC | _dmarc. 例如 .com。 86400 IN TXT“v=DM一種RC1;p=reject;export=mailto:reports@example.com” |
| DKIM | 選擇器._domainkey.example.com。 86400 IN TXT“v=DKIM1;k=rsa;p=PUBLIC_KEY_HERE” |
| SPF | example.com。 86400 IN TXT“v=spf1 mx a:mail.example.com ip4:192.0.2.1 -all” |
*請注意,這些是示例語法,您應將佔位符替換為您的實際域、IP 地址和公鑰。 您可能還需要根據需要調整 TTL(生存時間)值。
下表列出了各種 DNS 記錄及其示例語法。 這些記錄用於不同的目的,例如將您的域指向 Web 服務器、電子郵件服務器或驗證域所有權。
| DNS 記錄類型 | 示例語法 | 目的 |
|---|---|---|
| A | example.com。 86400 輸入 192.0.2.1 | 將域映射到 IPv4 地址 |
| 一種一種一種一種級 | example.com。 86400 在 一種一種一種一種級 2001:0db8:85a3:0000:0000:8a2e:0370:7334 | 將域映射到 IPv6 地址 |
| 別名 | www.example.com. 86400 IN 別名 example.com。 | 為另一個域創建別名 |
| MX | example.com。 86400 IN MX 10 mail.example.com。 | 指定域的郵件服務器 |
| TXT | example.com。 86400 IN TXT“v=spf1 mx a:mail.example.com ip4:192.0.2.1 -all” | 為各種目的存儲基於文本的信息 |
| SRV | _sip._tcp.example.com。 86400 IN SRV 0 5 5060 sipserver.example.com。 | 提供有關可用服務的信息 |
| NS | example.com。 86400 IN NS ns1.example.com。 | 委派 DNS 區域使用特定名稱服務器 |
| PTR | 1.2.0.192.in-addr.arpa。 86400 IN PTR example.com。 | 將 IP 地址映射到域(反向 DNS) |
| 面向服務架構 | example.com。 86400 在 面向服務架構 ns1.example.com 中。 hostmaster.example.com。 (串行、刷新、重試、過期、最小值) | 包含有關 DNS 區域的管理信息 |