用於避免未使用域的電子郵件欺騙和網絡釣魚的 DNS 設置

1
如您所知，電子郵件欺騙允許攻擊者冒充他人以獲取非法利益。例如我只是使用 [email protected] 溝通，但有人可以撰寫欺騙性電子郵件，例如 [email protected]，欺騙某人。這稱為帶有虛假標頭的電子郵件欺騙，如下所示：

日期：2021年10月24日星期四12:46:10
發布者：nixCraft
回复：[email protected]
接收者：

傳入郵件服務器通常不檢查正確的標頭。 [email protected]_gmail_com 可能是我的電子郵件。這根本不使用 opensourceflare.com 進行電子郵件通信。那麼如何防止域中的非法電子郵件流量呢？了解如何告訴接收電子郵件服務器代表我發送惡意電子郵件。

DNS 設置以避免未使用的域欺騙和網絡釣魚

配置錯誤的 DNS 將導致郵件無法投遞。因此，僅當您不使用您的域發送或接收電子郵件時，才設置以下記錄。作者不對不正確的設置負責。如果您閱讀了這個可怕的警告並意外設置了此類記錄，請監控您的電子郵件日誌，刪除 DNS 記錄並恢復您的操作。

設置 NULL DNS MX 記錄

MX 是郵件交換的首字母縮寫。將電子郵件發送到正確的郵件服務器。您通常擁有多個域的 MX 記錄。例如，您可以使用 host 或 dig 命令獲取所有 MX 記錄的列表。
$ host -t MX {your-domain-here} $ dig MX {your-domain-here} $ dig +short MX {your-domain-here} $ host -t MX cyberciti.biz $ dig +short MX cyberciti.biz

採取的行動

因此，如果您沒有為您的域發送或接收電子郵件，請將 MX 設置為 NULL。例如：
$ dig +short MX opensourceflare.com $ host -t MX opensourceflare.com

這是我看到的：

opensourceflare.com mail is handled by 0 .

以下是如何在區域文件中為域設置 NULL MX 記錄：

opensourceflare.com.	1	IN	MX	0 .

因此，如果有人試圖發送或欺騙 [email protected]，某些 smptd 軟件會導致錯誤。

DNS Error: 913429 DNS type 'mx' lookup of opensourceflare.com responded with code NOERROR The domain opensourceflare.com doesn't receive email according to the administrator: returned Null MX https://www.rfc-editor.org/info/rfc7505

更不友好的回應是：

Gmail 回复

通告空 MX 的域不得通告其他 MX 服務器。

設置 DNS SPF 記錄

使用發件人策略框架 (SPF) 保護您的域免受欺騙，並防止外發郵件被標記為垃圾郵件。 Cyberciti.biz 的 SPF 如下所示：這裡只有 AWS SES 和 Google/Gmail 可以代表我的域發送郵件。包含所有 IP 地址的列表或包含另一個 DNS 記錄。
$ host -t TXT {your_domain_com} $ dig TXT {your_domain_com} $ host -t TXT cyberciti.biz $ dig TXT cyberciti.biz

示例輸出：

cyberciti.biz descriptive text "v=spf1 include:amazonses.com include:_spf.google.com ~all"

以下 IP 地址取自該域的 SPF 記錄的 include 和 IP4/IP6 指令。

cyberciti.biz.
amazonses.com
199.255.192.0/22
199.127.232.0/22
54.240.0.0/18
69.169.224.0/20
23.249.208.0/20
23.251.224.0/19
76.223.176.0/20
54.240.64.0/19
54.240.96.0/19
52.82.172.0/22
_spf.google.com
_netblocks.google.com
35.190.247.0/24
64.233.160.0/19
66.102.0.0/20
66.249.80.0/20
72.14.192.0/18
74.125.0.0/16
108.177.8.0/21
173.194.0.0/16
209.85.128.0/17
216.58.192.0/19
216.239.32.0/19
_netblocks2.google.com
2001:4860:4000::/36
2404:6800:4000::/36
2607:f8b0:4000::/36
2800:3f0:4000::/36
2a00:1450:4000::/36
2c0f:fb50:4000::/36
_netblocks3.google.com
172.217.0.0/19
172.217.32.0/20
172.217.128.0/19
172.217.160.0/20
172.217.192.0/19
172.253.56.0/21
172.253.112.0/20
108.177.96.0/19
35.191.0.0/16
130.211.0.0/22

採取的行動

查看 opensourceflare.com 的 SPF 記錄。
$ host -t TXT opensourceflare.com

輸出：

opensourceflare.com descriptive text "v=spf1 -all"

SPF 設置為始終失敗。換句話說，不允許任何 IP 地址代表我的域發送電子郵件。以下是在您的區域文件中設置此類記錄的方法：

opensourceflare.com.	1	IN	TXT	"v=spf1 -all"

設置 DKIM 記錄

設置 DKIM DNS 記錄以防止從您的域發送的外發電子郵件的欺騙。例如：
$ host -t TXT google._domainkey.cyberciti.biz

示例輸出：

google._domainkey.cyberciti.biz descriptive text "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAlXtL1tL+0WrwdEldIO0ZED1hmaQJ9AcAA/eN3wMDUd723+MSR+vIqOrp2Bu5rKIPvm3IdADx+Av5UGmQ1UwU/TuJR+T+p5nW9bymUgJGqM8pp+Pg+YPsD4EEu+ClBwt8gExE6BYM/CK17djlrBnv9vbzUkK9IvhGr1UggUaz9N3BDCPRq/0PAhDYiwm18QN+s" "S8j8I3Iuv25oSUz20NYQ2R4PEZFN6dQcPuuwYCC0Ntjip2r/vonwv4LBFgqjEBJfyeuPlGiE+KagxtAI5s1lvIGNGw937vT5FkpmMXe0czJKrKEm0j/RiKb1fgYbjGJndX9x2uNELcqCwP2NQ06PwIDAQAB"

因此，我設置了 DKIM，它為所有傳出消息的標頭添加了加密簽名。檢索簽名郵件的電子郵件服務器使用 DKIM 來解密郵件標頭並驗證郵件自發送以來未被更改。

採取的行動

以下是為您的域設置 NULL DKIM 的方法：例如，dns 區域條目是：

*._domainkey.opensourceflare.com.	1	IN	TXT	"v=DKIM1; p="

核實。
$ host -t TXT *._domainkey.opensourceflare.com

示例輸出：

*._domainkey.opensourceflare.com descriptive text "v=DKIM1; p="

在哪裡，

*._domainkey.opensourceflare.com ：DKIM 選擇器設置為通配符。
v=DKIM1, ：將檢索到的記錄標識為 DKIM 記錄。必須是記錄中的第一個標籤。
p : 再次設置為 NULL。這意味著公鑰已被撤銷或默認未設置。也就是說，DKIP 設置為 NULL 以防止所有選擇器的電子郵件欺騙。

設置 DMARC 政策

DMRC DNS 記錄有助於防止：攻擊者的電子郵件地址欺騙。 DMARC 還允許您從您的電子郵件服務器請求有關從您的域發送的電子郵件中可能存在的身份驗證問題或惡意活動的報告。我的域如下所示：
$ dig TXT _dmarc.cyberciti.biz $ host -t TXT _dmarc.cyberciti.biz

示例輸出：

_dmarc.cyberciti.biz descriptive text "v=DMARC1; p=reject; pct=100; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1; ri=2419200;"

採取的行動

在 dns 區域文件中為域配置 dmarc，如下所示：

_dmarc.opensourceflare.com.	1	IN	TXT	"v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s;"

在哪裡，

_dmarc.opensourceflare.com。：設置 DMARC。
v=DMARC1; ：必須是 TXT 列表中指示 DMARC 版本的第一個標籤。
p=reject; ：為未通過 DMARC 測試的電子郵件設置拒絕策略。
sp=deny; ：為未通過子域 DMARC 測試的電子郵件設置拒絕策略。
adkim=s; : 將 DKIM 對齊模式設置為嚴格
aspf=s; : 將 SPF 放置模式設置為嚴格

添加

這是推薦的受限 NULL MX，DMARC，是一個 SFP 模板。

opensourceflare.com.	1	IN	MX	0 .
opensourceflare.com.	1	IN	TXT	"v=spf1 -all"
*._domainkey.opensourceflare.com.	1	IN	TXT	"v=DKIM1; p="
_dmarc.opensourceflare.com.	1	IN	TXT	"v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s;"

Google DNS 儀表板如下所示：

具有 NULL MX 和其他設置的 Google Domains Dashboard 可防止未經授權的電子郵件流量，因為我們不會使用此域發送或接收電子郵件（點擊放大）

如果您的域不發送電子郵件，請配置這些 DNS 設置以避免欺騙和網絡釣魚

使用 dig 或 host 命令檢查您的設置並檢查您的 DNS 設置，以避免在未使用的域上進行欺騙和網絡釣魚以發送電子郵件。
$ host -t MX opensourceflare.com $ host -t TXT opensourceflare.com $ host -t TXT *._domainkey.opensourceflare.com $ host -t TXT _dmarc.opensourceflare.com

添加

當域不用於發送或接收郵件時，這就是 DNS 設置防止欺騙和網絡釣魚的方式。

時間管理