Cloudflare推出两项电子邮件安全功能

提供内容传递网络（CDN）与安全服务的Cloudflare在本周发表了两项电子邮件安全功能：Email Routing与Email Security DNS Wizard，前者用来协助用户建立及管理功能不同的电子邮件位址，后者则是简化了DNS的设定，以协助用户对抗诈骗及网钓邮件。

大多数的网络用户都透过电子邮件来执行机密的目的，像是登入银行账号，或是与-机关交流，但电子邮件也会被用来登入网络上的任何网站，冒着接到源源不断垃圾邮件的风险，于是有些企业就会根据需求使用不同的电子邮件账号，但对于缺乏资源的小型企业来说，配置不同的邮箱与别名并不容易。

Cloudflare说明，电子邮件主要是由信封、标题及内容所组成，信封为SMTP传输协定的一部分，主要是告知服务器有关邮件的来源与目的，标题则提供寄件端与接收端的电子邮件位址、日期、主题或其它技术元资料，内容则是讯息的主体。

而Email Routing在这当中则是担任传输层智慧路由器的角色，处理及修改SMTP信封，并将邮件递送到最终目的，但保留原始的标题，以及维持内容的完整性，此举将可确保诸如SPF或DKIM等安全或反垃圾邮件协定不会被破坏，同时保障收信者的安全。

Email Routing简化了使用者建立及管理电子邮件位址的流程，使用者只要输入基于自己网域的客制化电子邮件位址，再输入所要转寄的电子邮件位址，就能根据需求建立众多的电子邮件账号，并将它们转寄到原本所使用的邮件信箱，如Gmail或Outlook等。它是项免费服务，唯一的前提就是使用者必须是Cloudflare的DNS用户，现已迈入封闭测试，并开放有兴趣的使用者申请。

图片来源_Cloudflare

Email Security DNS Wizard 的主要作用在于协助使用者建立DNS纪录，以防范他人利用使用者的网域来递送恶意电子邮件，同时也会在使用者采用不安全的DNS配置时跳出警告并提供建议，除了可预防电子邮件诈骗及网钓之外，还能改善电子邮件的递送。

图片来源_Cloudflare

电子邮件诈骗通常是假冒他人的网域来寄送邮件，上当的使用者可能会点选邮件中的连结并输入重要的凭证，形成网钓攻击。根据FBI今年4月发布的2020年网络犯罪报告，网钓是去年最常见的网络犯罪，总计有超过24万名受害者，损失金额超过5,000万美元，受害人数是2019年的两倍，接近2018年的10倍。而Verizon的2020年资料外泄报告则显示，在社交工程的攻击事件中，有高达96%是透过电子邮件，透露出网钓的严重性与电子邮件安全的重要性。

不过，其实DNS就内含了反诈骗的机制，包括寄件端政策框架（Sender Policy Framework，SPF）、网域金钥识别邮件（DomainKeys Identified Mail，DKIM），以及基于网域的邮件验证、报告与一致性（Domain-based Message Authentication Reporting and Conformance，DMARC）。其中，SFP是用来指定允许哪些IP地址及网域可代表使用者的网域来发送邮件，DKIM用来确认电子邮件确实是由网域所授权的邮件服务器所寄出，DMARC会在DNS纪录中设定规则，同时配合SPF与DKIM确认邮件的真实性，当SPF及DKIM验证失败时，邮件服务器便会根据DMARC规则来处理邮件，如隔离、拒绝或递送等。

虽然DNS具备了上述的反诈骗机制，但对于没经验的人来说，很难作出正确的配置，若配置太严格，合法邮件可能会收不到或沦为垃圾邮件，若配置太松散，网域便容易遭到滥用。且根据Dmarc.org在去年底的调查，只有不到50%的网域拥有DMARC纪录，另一项针对2,881家美国银行的调查则指出，只有44%写入了DMARC纪录。

Cloudflare表示，Email Security DNS Wizard所要做的，就是提高使用者对SPF、DKIM与DMARC的采用，以防范电子邮件诈骗及网钓，透过清楚的指引、简单又明了的说明来协助使用者进行配置。该功能将率先提供给Cloudflare的免费方案用户，并在几周后扩大部署至Pro、Business与Enterprise方案的用户。