思科教你搞定邮件验证！SPF、DKIM和DMARC最佳实践指南

思科教你搞定邮件验证！SPF、DKIM和DMARC最佳实践指南

引用

CSDN

等

8

来源

1.

https://blog.csdn.net/weixin_54104864/article/details/143845250

2.

https://www.cisco.com/c/zh_cn/support/docs/security/secure-email-virtual-gateway/220850-sdr-changes-to-sender-domain-exception-l.html

3.

https://www.cisco.com/c/zh_cn/support/security/email-security-appliance/series.html

4.

https://www.cnblogs.com/bonelee/p/18020771

5.

https://www.cisco.com/c/zh_tw/support/security/cloud-email-security/series.html

6.

https://www.showapi.com/news/article/6729aba44ddd79f11a014baf

7.

https://juejin.cn/post/7408847526298435624

8.

https://sysin.org/blog/cisco-esa-15/

在当今数字化时代，电子邮件已成为我们日常生活中不可或缺的通信工具。然而，随着邮件欺诈、钓鱼攻击和垃圾邮件等威胁日益增多，邮件安全问题也日益凸显。为了应对这些挑战，思科公司推出了全面的邮件安全解决方案，其中SPF、DKIM和DMARC是三个核心的安全验证机制。本文将深入探讨这些机制的原理和最佳实践，帮助企业构建更安全的邮件系统。

随着互联网的普及，电子邮件已成为企业和个人日常沟通的重要工具。然而，邮件安全问题也日益突出。据统计，全球每天有超过30亿封钓鱼邮件被发送，平均每分钟就有600万封恶意邮件被拦截。这些邮件不仅可能窃取用户敏感信息，还可能对企业声誉造成严重损害。

为了应对这些威胁，邮件安全验证机制应运而生。其中，SPF、DKIM和DMARC是目前最广泛使用的三种邮件安全协议。它们分别从发件人身份验证、邮件内容完整性保护和统一验证策略三个方面，共同构建了一道强大的邮件安全防线。

SPF（发件人策略框架）是一种用于防止发件人地址被伪造的邮件验证机制。它允许域名所有者指定哪些邮件服务器被授权发送来自该域名的邮件。具体来说，域名所有者需要在DNS中发布SPF记录，列出所有合法的邮件发送服务器IP地址。当邮件服务器接收到邮件时，会检查发件人IP是否在SPF记录允许范围内，从而判断邮件的合法性。

SPF记录的格式如下：

example.com. IN TXT "v=spf1 ip4:192.0.2.0/24 ip4:198.51.100.123 a mx ~all"

其中：

• v=spf1：表示SPF版本
• ip4:：指定IPv4地址
• a：允许A记录对应的服务器发送邮件
• mx：允许MX记录对应的服务器发送邮件
• ~all：表示如果前面的检查都不匹配，则邮件为软失败（推荐）
• -all：表示如果前面的检查都不匹配，则邮件为硬失败
• +all：表示允许所有邮件通过（不推荐）

DKIM（DomainKeys Identified Mail）是一种数字签名技术，用于验证邮件的完整性和来源真实性。它通过加密签名确保邮件在传输过程中未被篡改。具体来说，发送方使用私钥对邮件头部和内容生成签名，并将签名添加到邮件头的DKIM-Signature字段。接收方则通过获取发送域名的公钥（存储在DNS中）来验证签名的有效性。

DKIM配置示例如下：

selector._domainkey.example.com. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC..."

其中：

• v=DKIM1：表示DKIM版本
• k=rsa：表示加密算法为RSA
• p=：后面跟着公钥内容

DMARC（Domain-based Message Authentication, Reporting & Conformance）建立在SPF和DKIM基础上，提供了统一的邮件验证策略框架。它不仅能验证邮件真实性，还能向域名所有者提供详细的验证报告。DMARC策略主要包括三种：

• none：监控模式，不采取任何操作
• quarantine：将可疑邮件放入垃圾邮件文件夹
• reject：直接拒绝不符合要求的邮件

DMARC记录示例如下：

_dmarc.example.com. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"

其中：

• v=DMARC1：表示DMARC版本
• p=：后面跟着策略类型
• rua=：接收DMARC报告的邮箱地址

思科公司提供了全面的邮件安全解决方案，其中思科安全邮件网关（Cisco Secure Email Gateway，简称SEG）是核心产品之一。SEG不仅集成了SPF、DKIM和DMARC等安全验证机制，还提供了强大的发件人域信誉（SDR）功能。

在SEG 15.0及更高版本中，SDR域例外列表的配置得到了优化。管理员可以通过WebUI界面进行配置，具体步骤如下：

1. 导航到安全服务>域信誉
2. 默认情况下，Match Domain Exception List based on the Domain Name part of the Envelope From选项处于启用状态
3. 如果启用该复选框，则只有值“Envelope From， header”（信封发件人，信头）才会匹配并绕过邮件（如果被定罪）
4. 如果复选框为空，则SDR域例外列表将匹配以下任何报头字段“HELO：”、“RDNS：”、“Envelope From：”、“From：”和“Reply-To：”报头，如果被定罪，将匹配并绕过邮件

为了充分发挥SPF、DKIM和DMARC的作用，建议遵循以下最佳实践：

1. 完整部署策略：同时实施SPF、DKIM和DMARC，从宽松策略开始，逐步收紧，并定期监控验证报告
2. 密钥管理：定期更新DKIM密钥对，使用足够长度的密钥（建议2048位），并安全保管私钥
3. 监控和维护：定期检查SPF记录是否需要更新，分析DMARC报告发现潜在问题，及时响应验证失败警报
4. 政策调整：根据业务需求调整验证策略，考虑第三方邮件服务的影响，平衡安全性和可用性

以下是SPF和DKIM的配置步骤：

SPF配置步骤：

1. 登录域名管理控制台，添加TXT记录

• 主机记录：@ 或者留空(取决于服务商)
• 记录类型：TXT
• 记录值示例：

v=spf1 ip4:1.2.3.4 ip4:11.22.33.44 include:spf.example.com include:_spf.google.com ~all

DKIM配置步骤：

1. 生成DKIM密钥对：

# 使用OpenSSL生成私钥
openssl genrsa -out private.key 2048

# 生成公钥
openssl rsa -in private.key -pubout -out public.key

2. 添加DKIM DNS记录：

• 主机记录：selector._domainkey
• 记录类型：TXT
• 记录值示例：

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...

通过以上步骤，企业可以有效提升邮件系统的安全性，防止邮件欺诈和钓鱼攻击，保护用户信息安全。随着网络威胁的不断发展，持续关注和更新邮件安全措施变得越来越重要。思科公司将继续致力于邮件安全技术的研发，为企业提供更全面、更先进的安全解决方案。