电子邮件安全:基本框架如何帮助 WordPress 网站所有者
已发表: 2018-12-20二十多年来,一项跨越国家和行业的技术一直在分享无数的秘密。 是的,尽管社交媒体、消息传递应用程序和项目管理工具兴起,但电子邮件仍然是事实上的第一大在线交流渠道——但在安全性方面它也是一个备受关注的来源。
当您考虑到技术的时代和黑客企图欺诈的动机时,很容易看出为什么它会继续困扰企业和个人。 实际上,现在比以往任何时候都更令人担忧,因为多因素身份验证、云存储、数字生态系统和社交登录的出现让我们中的许多人仅仅依靠电子邮件地址的安全来度过这一天。
可悲的是,仅仅拥有一个复杂的密码并对其进行保护是不够的,因为电子邮件可能会以其他方式受到攻击:欺骗、伪造和用来操纵各种人。 这就是电子邮件安全框架变得至关重要的地方——它们使您更容易对电子邮件的合法性充满信心。
但为什么欺诈会造成如此大的威胁? 这些框架是什么,它们如何帮助网站所有者安全进行? 你真的可以依靠他们来保护你吗? 让我们来看看。
为什么电子邮件欺诈是一个如此令人不安的问题
我们越来越多地转向无现金支付、网上银行和需要广泛而深入的数字通信(通常是敏感话题)的远程工作。 我们对电子邮件的信任度越高,它们对黑客的吸引力就越大——当电子邮件涉及那些对技术知之甚少、不知道何时被骗的人时更是如此。
如果一个只知道如何使用电子邮件但不知道电子邮件欺骗甚至可能发生的人收到一封欺诈性电子邮件,他们就不会怀疑。 欺诈者的收益比他们通过电话诈骗所能获得的收益更大,因为他们可以自动化他们的欺诈电子邮件并避免可能暴露他们封面故事中漏洞的长时间电话交谈。
对于合法域,电子邮件欺诈是一个大问题,因为它使它们看起来很糟糕。 即使人们最终知道你没有责任,他们仍然会在某种程度上将你的品牌与欺诈联系起来。 因此,如果您希望您的域受到信任(并且人们不会试图以您的名义利用它们),您需要保护您的电子邮件。 就是这样:
介绍最常见的电子邮件安全框架
两个最常用的电子邮件框架是 SPF(Sender Policy Framework)和 DKIM(DomainKeys Identified Mail),它们的功能相似但方式略有不同:SPF 需要受支持的主机名或 IP 地址,而 DKIM 需要正确加密的标头消息。 让我们看一个更详细的解释:
SPF 的工作原理
当您在您网站的域上启用 SPF 时,您会建立一个主机名和 IP 地址列表,这些主机名和 IP 地址被视为来自该域的电子邮件的合法来源,该列表将添加到该站点的 DNS 记录(将您的 URL 链接到您的 IP 地址)。
每个似乎从该域上的地址接收电子邮件的电子邮件系统都会获取用于发送电子邮件的 IP 地址,并将其与 DNS 记录中的列表进行比较。 如果匹配,则电子邮件将被视为合法 - 如果不匹配,则系统将知道该电子邮件是欺诈性的(或以某种方式出现了严重错误)。
DKIM 的工作原理
当您启用 DKIM 时,它采用了使用加密进行验证的独特方法。 该域将拥有一个保密的私钥,用于加密每封电子邮件标题中的隐藏消息,以及一个添加到 DNS 记录中的公共解密密钥。
据称从该域接收电子邮件的每个电子邮件系统都会从 DNS 记录中获取公钥并尝试解密隐藏的消息。 如果成功,它将知道电子邮件来自正确的位置。 如果失败,它将知道发件人已被欺骗。
DMARC 涉及的内容
DMARC 代表“基于域的消息身份验证、报告和一致性”,是一个包含 SPF 和 DKIM 的系统,同时根据需要充实了一些选项、设置策略和报告。
当您设置 DMARC 时,您实际上将指定上述哪种方法用于来自您的域的电子邮件(可能两者都适用),以及在检测到不符合您选择的标准的电子邮件时应该做什么。 您还可以设置要触发的通知,这样您就会知道有人试图冒充您的电子邮件地址(就像您可以收到有关 WordPress 网站更改的通知一样)。
如何采取措施确保您的电子邮件安全
如果您希望您的电子邮件值得信赖,并且收件人在访问它们时感到安全,您应该确保尽一切可能防止欺诈。 至少,采取以下三个步骤:
- 小心保护您的电子邮件列表。 即使您确保每封声称来自您的域的电子邮件都会被检查,欺诈者获取您的地址列表仍然很危险,因为很多人(通常来自老一代)实际上不会非常仔细地检查发件人,如果内容显然类似于他们认识的东西。 保护您的电子邮件列表,这样人们就没有理由针对您的受众(无论如何,您应该在 GDPR 之后这样做)。
- 配置安全框架。 您可以使用 SPF、DKIM 或 DMARC — 但无论您做什么,请务必遵循您正在使用的任何系统的最佳实践,并确认它正在工作。 如果您使用电子邮件自动化软件进行营销,请务必将其设置为受信任的来源,以便它分发的电子邮件在交付时不会因为非法而被拒绝。
- 警告您的订阅者要小心。 尽你所能在你的方方面面,它仍然值得接触你的观众(特别是如果它不是很精通技术)警告他们欺诈的可能性。 让他们知道您将向他们发送哪些类型的消息 - 以及您永远不会发送的消息 - 如果他们不确定您应该发送给他们的消息,请邀请他们直接与您联系。
执行所有这些操作,您将能够大大提高您的电子邮件的安全性,并使您的受众免受电子邮件欺诈的巨大威胁。