SPF难以解决邮件伪造的现状以及方案

邮件伪造的现状

---

---

仿冒域名

---

私搭邮服仿冒域名:
例如某公司企业的域名是example.com，那么攻击者可以搭建一个邮服，也把自己的域名配置为example.com，然后发邮件给真实的企业员工xxx@example.com，就可能导致伪造。
这个例子可以参考我的博客邮件欺诈与SPF防御

匿名发送

---

登录邮服匿名发送:
例如攻击者在公司内网，内网的smtp服务器打开了匿名发送邮件的功能。只需要telnet到smtp.example.com，ehlo example.com然后就可以以域内任何人的名义（xxx@example.com）发送给域内任何人（yyy@example.com）

它域代发

---

利用它域伪造发件:
攻击者可以在内网也可以在公网，攻击者可以利用任何邮箱服务器（包括自己搭建的），利用任何域名（包括不存在的）发送邮件，但是在邮件数据部分中的FROM字段进行替换伪造，也就是说MAIL_FROM与FROM不一致。

SPF的困境

---

---

没有配置SPF的域名

---

除了商业运营的顶级域,和部分大企业事业单位，还有大量的企业邮箱或者组织内邮箱是没有配置SPF的

SPF匹配后的动作困境

---

由于种种原因，目前SPF的困境在于如果配置开启硬拒绝，就会有大量的邮件被丢弃或者隔离，影响办公效率甚至耽误重大事项；如果开启软阻断或者不阻断，就会导致大量应该被拦截的邮件直接进来，基本宣告SPF无效；

建议解决方案

建议对公司内部的邮件域名进行配置SPF并设置硬阻断，对其他所有域名不开启SPF检测（需要支持类似功能的邮件网关），关闭匿名发送功能，或限制开放匿名发送功能；在邮服前面配置过滤产品，解析MAIL_FROM和FROM字段，检查不匹配的直接告警。

转载于:https://www.cnblogs.com/KevinGeorge/p/8950211.html