谷歌对群发邮件者提出了新的安全要求--但早在几年前就应该这样做了。

谷歌和雅虎将要求使用 DMARC、SPF 和 DKIM,以打击垃圾邮件和网络钓鱼。令人惊讶的是,这些功能还不是一项要求。

谷歌和雅虎这两家主要的大科技电子邮件提供商将要求每天发送 5000 封以上邮件的批量发送者部署额外的安全措施,以防止滥用、减少垃圾邮件并阻止网络钓鱼攻击。这让人大吃一惊,因为这项技术本身并不新鲜。这些安全措施是一个很好的举措,但这些技术都不是新的。希望这些新要求能推动其他公司提高电子邮件安全配置。


谷歌宣布,他们将开始对所有每天向个人 Gmail 用户发送超过 5000 封电子邮件的账户实施更严格的安全措施。这一变化是这家大型科技电子邮件提供商为打击针对其 Gmail 服务用户的钓鱼邮件和垃圾邮件而做出的尝试。Gmail 是全球最受欢迎的电子邮件提供商,也是全球垃圾邮件的主要来源。作为这些新措施的一部分,他们将要求所谓的 “批量发件人 “对其自定义域名电子邮件地址实施以前可选的安全设置。这些设置包括 DMARC、SPF 和 DKIM,自 2019 年起,Tuta 自定义域用户必须启用这些安全设置。

在下面的文章中,我们将探讨这些缩写词的含义,以及它们如何保护自定义电子邮件域地址不被滥用于垃圾邮件或网络钓鱼。

其中包括

新安全标准

谷歌推出的新安全要求共同提供了确保电子邮件真实性的不同方法。与任何 IT 领域一样,我们需要对一些缩略词进行解读和解释。值得注意的是,这些标准适用于希望向 Gmail 用户发送电子邮件的批量发件人所使用的自定义域名地址。

DMARC:基于域的消息验证、报告和一致性

DMARC 是 “基于域的消息验证、报告和一致性”(Domain-based Message Authentication, Reporting, and Conformance)的缩写。它是一种电子邮件验证协议,可让自定义域用户防止他人未经许可使用其域。当欺诈者冒充本地企业发送电子邮件时,这种行为被称为 “电子邮件欺骗”,DMARC 增加了一项额外的检查以防止这种行为。在域名提供商的 DNS 设置面板中添加 DMARC 条目后,收到来自该自定义域的电子邮件的电子邮件服务器就可以根据自定义域所有者设置的指令对电子邮件进行验证。如果检查通过,则可以发送电子邮件;如果检查失败,则会根据域所有者的配置规则拒收电子邮件。

DMARC 充当规则制定者的角色,在 SPF 和 DKIM 检查未正确通过时决定采取何种行动。

DMARC Authentication Explained DMARC Authentication Explained

图片来自 ProofPoint 安全软件

SPF:发件人策略框架

发件人策略框架(SPF)是谷歌新安全要求的下一个要素。SPF 记录的作用是验证发送电子邮件的服务器是否被允许作为使用用户自定义域发送电子邮件的源点。该元素依赖于正确配置的 DMARC 记录,以确定 SPF 记录检查失败时会发生什么情况。通过在 DNS 记录中发布 SPF 记录,垃圾邮件发送者和其他攻击者就不太可能尝试使用您的域名,因为他们的垃圾邮件将无法验证是从非授权邮件服务器发送的。

SPF record example. SPF record example.

该 SPF 记录将检查以确保电子邮件是由这些 IP 地址之一发送的,如果电子邮件是从任何其他邮件服务器发送的,则会被拒绝。

DKIM:域键识别邮件

DomainKeys Identified Mail(域名密钥识别邮件)是谷歌要求批量发送者使用的第三个认证协议。DKIM 检查以防止未经授权使用自定义域电子邮件地址,作为防止网络钓鱼和电子邮件欺骗攻击的对策。添加 DKIM 签名是电子邮件提供商验证发件人真实性的一种手段。

DKIM 签名有三个主要步骤:

  1. 电子邮件发件人选择哪些字段应包含在 DKIM 签名中。这些字段包括 “发件人 “地址、电子邮件正文、主题行等。这些字段在传输过程中必须保持不变,否则最终的 DKIM 检查将失败。
  2. 所选字段将由发件人的电子邮件提供商进行散列,并使用发件人的私人密钥对散列值进行加密。
  3. 发送后,接收电子邮件的服务器将通过获取与发件人私钥匹配的公钥来验证签名。这将对步骤 2 中的哈希字符串进行解密,并验证在传输过程中是否发生了更改。

只有这些步骤都成功了,电子邮件才会被发送。如果不符合要求,电子邮件将根据域名所有者的 DMARC 规则被拒收。

Example DKIM Signature Example DKIM Signature

下面是一个 DKIM 签名示例,用于保护自定义域不被欺骗,以发送垃圾邮件或网络钓鱼邮件。

大型科技公司早该进行安全变革

谷歌 和雅虎都宣布这些设置将于 2024 年 2 月 1 日生效,但这些安全功能已经存在多年。虽然大科技公司开始要求这些额外的 DNS 安全记录是一个很好的举措,但时机却有些问题。毫无疑问,谷歌是 IT 安全领域的领导者,但他们对电子邮件安全的放任自流似乎有些不合时宜。雅虎在这方面也不值得称赞。在重大数据泄露事件暴露了几乎所有现有账户之后,雅虎的流量本应该立即受到更严格的审查,而不是在近十年之后。

很高兴看到谷歌和雅虎正在加强安全要求,因为在 2022 年,发送的所有电子邮件中有近 49% 是垃圾邮件。

Gmail 每天发送 1450 万封垃圾邮件,是垃圾邮件的主要发送者!

有人错误地批评 Tuta Mail 等注重隐私的电子邮件服务,称它们是不法分子和垃圾邮件发送者的天堂。虽然可能有垃圾邮件发送者试图使用我们的服务,但他们很快就会被关闭。另一方面,据报道,谷歌的Gmail 每天要发送1450 万封垃圾邮件。仅来自谷歌邮件服务器的垃圾邮件数量就深不可测,使其他电子邮件提供商的垃圾邮件数量相形见绌。

目前正在实施的安全措施是朝着正确方向迈出的一步,但事后看来,这些措施本应更早推出。

替代方案提供了更好的、全方位的安全性。

Tuta Mail 支持完全使用自定义电子邮件域,但在自定义域配置过程中,我们会指导所有用户如何添加这些关键的 DNS 安全记录,以更好地保护他们的自定义域不被欺诈者滥用。其他大型技术提供商已经放弃了这一选项,比如微软最近就从 Outlook 中取消了对自定义域的支持。

通过选择大技术提供商的私人替代方案,您不仅可以利用易于配置的域名选项,还可以确保您的数据安全,免受Google 侵入式广告行为的影响。选择 Tuta 保护您的电子邮件,您还将受到我们全球首个后量子加密技术的保护。这种新一代加密技术可保护您和您的数据免受情报机构及其 “先收获,后解密 “做法的侵害。

放弃谷歌,选择隐私!

你应该得到更好的保护,而不是让你的数据被用来训练人工智能模型,进而向你的邮箱推送定向广告。你应该可以自由地与朋友和亲人安全地交流,而不必担心大科技公司会偷窥你的隐私。选择私人电子邮件替代方案就是在保护您表达自我的自由。

今天就选择隐私!