DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

ddos清洗_中国安防_指南

ddos清洗_中国安防_指南

Valimail博客DMARC的7个常见错误作者:Valimail人们对DMARC的兴趣正呈指数级增长,但大多数部署DMARC的组织并没有真正实现其反欺骗的好处。下面是如何克服最常见的DMARC部署挑战。在我们与成千上万的潜在客户和客户的交谈中,我们发现虽然对DMARC的兴趣很高,但配置它也很容易遇到问题。这反映在这样一个事实上,虽然现在有近100万个域部署了DMARC,但只有大约16%的域达到了DMARC记录实际保护它们免受欺骗的程度(称为DMARC强制)。如果您已经发布了DMARC记录,但还没有达到DMARC的强制执行,请不要担心。这不是你的错:这个项目甚至对世界上最大的电子邮件安全专家来说也是非常具有挑战性的。以下是域所有者在设置DMARC记录和配置底层电子邮件身份验证标准时常犯的七个错误。想知道更多,并为这些问题找到可行的解决方案吗?下载我们的免费白皮书:在执行DMARC的道路上要避免7个错误。 误认为监控是保护我们遇到过一些用户认为他们的域是受保护的,但DMARC记录在p=none-数年前就被保留了。策略p=none将域置于监视模式,以便符合DMARC的接收网关向域所有者发回有关通过和失败身份验证的消息的报告。但是邮件网关只发送数据-他们继续正常发送所有电子邮件,即使它无法进行身份验证。监视是很有用的,也是DMARC过程中必需的第一步,但它不能防止欺骗。相信"部分强制执行"的神话默认情况下,DMARC策略应用于所有邮件的100%,除非使用pct=标记指定了百分比。不幸的是,如果您处于p=quantiality并且设置的百分比小于100,关闭ddos防御,则意味着仍将传递一些伪造的消息。没有所谓的"部分"DMARC强制执行。虽然有一些方法可以有效地使用百分比,但不要陷入这样一个陷阱:如果pct=标记指定的值小于100%,ddos攻击检测与防御,那么就认为自己得到了完全保护。忘记子域子域的默认设置是遵守主策略(例如p=拒绝)。有时在执行DMARC的过程中,域所有者专注于让他们的主域得到实施,同时通过设置子域策略"sp=none"来推迟执行子域所需的工作。不幸的是,这意味着这些子域仍然可能被欺骗。从发送的网络钓鱼电子邮件whatever@example.com打不通,但是whatever@mail.example.com威尔。为了实施,子域需要得到保护,网络安全防护,就像主组织域一样。故障记录我们看到许多记录没有使用正确的DMARC语法。例如:将策略(如p=reject)放在另一条语句后面而不是直接跟在v=DMARC1语句之后的DMARC记录。将这些标记放在错误的顺序可能会导致问题,使DMARC身份验证失败或导致邮件网关完全跳过DMARC检查。漏报地址DMARC最重要的一个方面是,它通过聚合数据报告向域所有者提供有关电子邮件身份验证状态的反馈,包括通过和失败。但是,高防和cdn的区别,如果您省略了一个报告地址(通过rua=标记),您将无法获得此数据-而且您将无法了解身份验证失败和可能的域模拟(欺骗)攻击。报告地址使DMARC记录可以指定如何报告这些故障。错误配置的SPF记录SPF记录是在DNS中发布的文本记录,其中包含允许发件人的IP地址列表、指向其他类型DNS记录的规则以及引用其他域的SPF记录的指令。虽然错误配置SPF记录的方法很多,但最常见的错误之一是构建一个记录,该记录要求接收域对其接收到的每条消息执行10次以上的域查找。如果域的SPF记录需要过多的查找,则从该域发送的部分或全部电子邮件可能无法成功验证。为了在标准中绕过这一限制,一些域所有者通过将已批准的发送服务的所有IP地址向前拉入主SPF记录来"扁平化"他们的SPF记录。扁平化的SPF记录显式地列出一组IP地址,而不是包含等效的DNS查找。但这带来了一个新的问题:需要不断维护扁平化的IP地址列表,以防您使用的电子邮件发送服务添加或删除IP地址。DKIM密钥管理不当DomainKeys Identified Mail(DKIM)使用公钥/私钥加密技术对电子邮件进行签名,带cc防御空间,这将验证电子邮件是否来自与DKIM密钥关联的域,以及电子邮件是否在传输过程中被修改。DKIM密钥是看似随机的长串数据,在DNS中很容易出错。即使是一个简单的复制/粘贴问题也会导致错误,导致合法电子邮件无法通过DKIM。此外,专家建议至少每六个月轮换一次DKIM密钥,以防止攻击者窃取或泄露密钥。许多组织没有管理和轮换密钥的方法;有些组织甚至对它们使用的每个电子邮件服务使用相同的DKIM密钥。如果这一个密钥被泄露,每个服务都很容易受到攻击。错误6和7是最需要纠正的,因为没有正确配置的SPF和DKIM,DMARC强制将永远不会发生。DMARC要求邮件通过SPF或DKIM身份验证,还要求电子邮件中可见的"发件人:"地址与SPF记录中的返回路径或DKIM签名中的域进行对齐(匹配)。所以你必须先掌握这些基本的电子邮件认证协议,然后才能使用DMARC保护你的域名。要了解有关如何解决这些常见错误的更多信息,请参阅一些示例,并获得有关如何修复这些错误的可操作建议,请阅读我们的免费白皮书:DMARC实施过程中要避免的7个错误。返回博客出版日期:2020年3月26日DKIM公司DMARC公司防晒因子作者:ValimailValimail是一家领先的、基于身份的反网络钓鱼公司,自2015年以来一直确保数字通信的全球可信度。Valimail提供了唯一一个完整的云端原生平台,用于验证和验证发件人身份,以阻止网络钓鱼,保护和扩大品牌,并确保法规遵从性。Valimail已经为世界上一些最大的公司和组织,包括Uber、Splunk、Yelp、房利美、梅赛德斯-奔驰(Mercedes-Benz USA)和美国联邦航空管理局(U.s.Federal Aviation Administration)赢得了十多项享有盛誉的网络安全技术奖,每月为一些全球最大的公司和组织认证数十亿条信息。更多信息请访问。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos/65923.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8770935访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X