電子郵件安全:基本框架如何幫助 WordPress 網站所有者

已發表: 2018-12-20

二十多年來,一項跨越國家和行業的技術一直在分享無數的秘密。 是的,儘管社交媒體、消息傳遞應用程序和項目管理工具興起,但電子郵件仍然是事實上的第一大在線交流渠道——但在安全性方面,它也是一個備受關注的問題。

當您考慮到技術的時代和黑客企圖欺詐的動機時,很容易看出為什麼它會繼續困擾企業和個人。 實際上,現在比以往任何時候都令人擔憂,因為多因素身份驗證、雲存儲、數字生態系統和社交登錄的出現讓我們中的許多人僅僅依靠電子郵件地址的安全來度過這一天。

可悲的是,僅僅擁有一個複雜的密碼並對其進行保護是不夠的,因為電子郵件可能會以其他方式受到攻擊:欺騙、偽造和用來操縱各種人。 這就是電子郵件安全框架變得至關重要的地方——它們使您更容易對電子郵件的合法性充滿信心。

但為什麼欺詐會造成如此大的威脅? 這些框架是什麼,它們如何幫助網站所有者安全進行? 你真的可以依靠他們來保護你嗎? 讓我們來看看。

為什麼電子郵件欺詐是一個如此令人不安的問題

我們越來越多地轉向無現金支付、網上銀行和需要廣泛而深入的數字通信(通常是敏感話題)的遠程工作。 我們對電子郵件的信任度越高,它們對黑客的吸引力就越大——當電子郵件涉及那些對技術知之甚少、不知道何時被騙的人時更是如此。

如果一個只知道如何使用電子郵件但不知道電子郵件欺騙甚至可能發生的人收到一封欺詐性電子郵件,他們就不會懷疑。 而且,欺詐者的收益比他們通過電話詐騙所能獲得的收益更大,因為他們可以自動化他們的欺詐電子郵件並避免長時間的電話交談,這可能會暴露他們的封面故事中的漏洞。

對於合法域,電子郵件欺詐是一個大問題,因為它使它們看起來很糟糕。 即使人們最終知道你沒有責任,他們仍然會在某種程度上將你的品牌與欺詐聯繫起來。 因此,如果您希望您的域受到信任(並且人們不會試圖以您的名義利用它們),您需要保護您的電子郵件。 就是這樣:

介紹最常見的電子郵件安全框架

兩個最常用的電子郵件框架是 SPF(Sender Policy Framework)和 DKIM(DomainKeys Identified Mail),它們的功能相似但方式略有不同:SPF 需要受支持的主機名或 IP 地址,而 DKIM 需要正確加密的標頭消息。 讓我們看一個更詳細的解釋:

SPF 的工作原理

在您網站的域上啟用 SPF 時,您會建立一個主機名和 IP 地址列表,這些主機名和 IP 地址被視為來自該域的電子郵件的合法來源,該列表將添加到該站點的 DNS 記錄(將您的 URL 鏈接到您的 IP 地址)。

每個似乎從該域上的地址接收電子郵件的電子郵件系統都會獲取用於發送電子郵件的 IP 地址,並將其與 DNS 記錄中的列表進行比較。 如果匹配,則電子郵件將被視為合法 - 如果不匹配,則係統將知道該電子郵件是欺詐性的(或以某種方式出現了嚴重錯誤)。

DKIM 的工作原理

當您啟用 DKIM 時,它採用了使用加密進行驗證的獨特方法。 該域將擁有一個保密的私鑰,用於加密每封電子郵件標題中的隱藏消息,以及一個添加到 DNS 記錄中的公共解密密鑰。

據稱從該域接收電子郵件的每個電子郵件系統都會從 DNS 記錄中獲取公鑰並嘗試解密隱藏的消息。 如果成功,它將知道電子郵件來自正確的位置。 如果失敗,它將知道發件人已被欺騙。

DMARC 涉及的內容

DMARC 代表“基於域的消息身份驗證、報告和一致性”,是一個包含 SPF 和 DKIM 的系統,同時根據需要充實了一些選項、設置策略和報告。

當您設置 DMARC 時,您實際上將指定上述哪種方法用於來自您的域的電子郵件(可能兩者),以及在檢測到不符合您選擇的標準的電子郵件時應該做什麼。 您還可以設置要觸發的通知,這樣您就會知道有人試圖冒充您的電子郵件地址(就像您可以收到有關 WordPress 網站更改的通知一樣)。

如何採取措施確保您的電子郵件安全

如果您希望您的電子郵件值得信賴,並且收件人在訪問它們時感到安全,您應該確保盡一切可能防止欺詐。 至少,採取以下三個步驟:

  • 小心保護您的電子郵件列表。 即使您確保每封聲稱來自您的域的電子郵件都會被檢查,但欺詐者獲取您的地址列表仍然很危險,因為很多人(通常來自老一代)實際上不會非常仔細地檢查發件人,如果內容顯然類似於他們認識的東西。 保護您的電子郵件列表,這樣人們就沒有理由針對您的受眾(無論如何,您應該在 GDPR 之後這樣做)。
  • 配置安全框架。 您可以使用 SPF、DKIM 或 DMARC — 但無論您做什麼,請務必遵循您正在使用的任何系統的最佳實踐,並確認它正在工作。 如果您使用電子郵件自動化軟件進行營銷,請務必將其設置為受信任的來源,以便它分發的電子郵件在交付時不會因為非法而被拒絕。
  • 警告您的訂閱者要小心。 盡你所能在你的方方面面,它仍然值得接觸你的觀眾(特別是如果它不是很精通技術)警告他們欺詐的可能性。 讓他們知道您將向他們發送哪些類型的消息 - 以及您永遠不會發送的消息 - 如果他們不確定您應該發送給他們的消息,請邀請他們直接與您聯繫。

執行所有這些操作,您將能夠大大提高您的電子郵件的安全性,並使您的受眾免受電子郵件欺詐的巨大威脅。