U-Mail邮件系统从源头抓住伪造者的猴子尾巴

liandaoyu

   U-Mail小编读《西游记》，觉得其中最精彩的部分莫过于描述孙大圣与二郎神斗法，孙大圣有七十二搬变法，但每次变化都被二郎神识破并使出相应的克敌制胜之道：当孙大圣变飞禽的时候，二郎神就化为苍鹰，孙大圣变成一条鱼，二郎神变成专啄鱼虾的灰鹤……几个回合下来，大圣无计可施，只好摇身一变成一座神庙，其他地方都像模像样，但尾巴没地方放，只好化为一根旗杆立在庙后，就这个小小破绽被二郎神看出了端倪。
        实际上，由于邮件在商务活动的频繁应用和重要性，对邮件的攻击也层出不穷，形形色色的诈骗邮件就像孙大圣的“千变万化”，尽管化身万万千，隐藏得极深，伪装得惟妙惟肖，这给企业用户辨别造成了很大的困难，但是优秀的服务商比如U-Mail邮件系统就像神通广大拥有“三只眼”的“二郎神”，我自岿然不动，根据你的蛛丝马迹，总能追溯到最原始的特征，抓住诈骗犯的“猴子尾巴”。
       
        比方说有一种伪装度极高的“邮件诈骗”是这样的：假设某公司高管邮箱地址[email protected]，诈骗犯巧妙的把其中的字母“l”置换成字母“i”或数字“1”，由于识别度比较低，可能收件人疏忽大意就混淆过去了，由此无意中就把公司的重要资料、个人机密信息泄露出去了，真是“城市套路深”让人防不胜防。
        据U-Mail马工认真分析，此类骗子伪造发件人邮箱地址，归根结底是利用了SMTP协议漏洞。要有效防范，U-Mail提供了几种措施：
        一、开启SPF/sender-ID进行发件人验证
        让我们形象的比喻一番吧，此举的意思是说给每一封用户从U-Mail邮件系统发出的邮件盖上一个戳印，以表明这封邮件是“正版”的。SPF是一种TXT类型的DNS记录，它根据IP地址来认证电子邮件发件人身份，SPF规则规定了一个域名下的邮件必须通过哪些SMTP服务器来发送，一个域名可创建一个TXT解析记录，在这里面是这个域名下所有的SMTP服务器的IP地址，只有通过授权的IP才可以使用该域名发送邮件。
        当收件人接收邮件时，首先会检查比对对方邮箱后缀域名的SPF记录，来确定发件人的SMTP服务器的IP地址是否被包含在SPF记录里面，如果在，就认为是正确邮件，否则就判定为伪造，原路退回。
        此项工作只需要在U-Mail邮件系统中开启SPF/sender-ID即可进行发件人验证，如下图：
       

        二、启用反向散射保护
        开启反向散射保护能够防止一些假投递状态通知、假期和出差通知邮件、自动回复等挤爆收件箱，这是未雨绸缪之举。在U-Mail邮件系统的管理后台打开“安全”对话框，操作如下：
       
        三、设置DKIM（域名密钥识别邮件标准）
        DKIM指的是在发送时，把加密签名插入到发送的电子邮件中，然后把该签名和域名相关联，签名跟随电子邮件一起发送，不管邮件走哪条路径，收件人都可以根据签名来加以证实。它的原理是：U-Mail邮件系统会产生两组钥匙，公钥和私钥，公钥将存放在DNS中，而私钥存放在寄信服务器中，数字签名自动产生，并依附在邮件头中，发送到寄信者的服务器里，公钥放在DNS服务器上，自动获得。收信的服务器收到夹在邮件头中的签名和在DNS上自己获取公钥，进行比对，检验其合法性。数字签名是无法伪造的，因此诈骗犯没法盗用发件人姓名、改变附件属性达到伪造目的。