利用域名情报让电子邮件安全更智能

每天有超过40亿人查看他们的电子邮件，这对网络攻击者来说是一个金矿。理所当然地，网络钓鱼依然是当今最大的威胁之一，促使电子邮件安全成为各组织网络安全的首要任务。

但问题在于——90%的恶意电子邮件可以通过电子邮件安全标准，例如发件人策略框架（SPF）、域密钥识别邮件（DKIM）或基于域的消息身份验证、报告与一致性（DMARC）。

尽管市场上有许多电子邮件安全提供商，但那些提供多层次解决方案的可以带来更多优势。

域名情报层

任何想在线上有所作为的人都需要一个域名，网络犯罪分子也不例外。他们使用电子邮件域名发送网络钓鱼邮件，还需要域名运行恶意软件分发的指挥与控制（C&C）服务器。

因此，跟踪域名对于提升电子邮件安全至关重要。具体而言，这有助于通过识别有害域名并检查电子邮件发件人的合法性来加强电子邮件安全。

识别可疑域名

虽然所有域名都有可能被武器化，但威胁行为者经常使用新注册的域名（NRD）、一次性电子邮件域名以及在网络犯罪热点地区注册的域名。以下让我们更详细地了解这些情况。

• NRD：攻击者通常会在注册后几周甚至几小时内使用域名。因此，对于电子邮件安全解决方案，尤其是人工智能（AI）驱动的解决方案，整合NRD数据源来检测和过滤从NRD发送的电子邮件至关重要。
• 一次性电子邮件域名：一次性电子邮件地址对隐私保护非常有用，但诈骗者也在利用这一点。他们使用这些电子邮件域名进行隐藏，一旦被发现，他们可以轻松创建新的域名继续恶意活动。因此，电子邮件安全解决方案必须足够智能，能够检测一次性电子邮件域名。
• 在已知网络犯罪热点国家注册的域名：虽然来自某些网络犯罪高发国家的域名并不一定全是恶意的，但这依然是一个警示信号。例如，电子邮件安全算法可以被设定为阻止或隔离来自这些国家的新域名的邮件。

当电子邮件通过标准安全层后，电子邮件安全工作流程可能会进行如下操作。

验证电子邮件的合法性

虽然人们可以也应该接受培训以判断电子邮件信息的真实性，但完全依赖收件人来分辨好坏是有风险的，特别是面对一些网络钓鱼邮件使用的高级技术以及大量发送的诈骗邮件。

因此，电子邮件安全解决方案必须能够在电子邮件到达用户收件箱之前进行多种真实性检查。一种方式是查看电子邮件来源域名的WHOIS信息。例如，特别是当发件人声称在一家大公司工作时，电子邮件域名的WHOIS记录中通常应该显示并匹配注册组织。

如果由于WHOIS记录的隐私保护无法获得这些信息，那么域名注册者的位置仍然应该与发件人声称的位置一致。比如，你收到一封声称来自欧洲供应商的邮件，但其电子邮件域名是budsleeves[.]com（一个已确认的钓鱼域名），而该域名注册在菲律宾，这就需要引起警惕。为什么一家欧洲公司会在亚洲注册域名？

此外，一个非常新的域名也可能令人怀疑，尤其是当你本应与一家声称有多年经营历史的公司打交道时。

总结

随着网络犯罪分子日益聪明并使用新兴技术如AI，多层次的电子邮件安全情报变得至关重要。将域名情报与垃圾邮件过滤、恶意软件检测、用户意识培训和其他电子邮件安全流程相结合，可以帮助建立强大的防御系统。

Reference: Making Email Security Smarter with Domain Intelligence | WhoisXML API