调查：安全防护不足，逾半五百大网站可能沦为电子邮件诈骗帮凶

有鉴于电子邮件诈骗案愈来愈猖獗，瑞典的网络安全公司Detectify近日调查了Alexa流量排行榜的前五百大网站，发现有276家、超过半数未正确部署安全机制，而可能沦为电子邮件诈骗案的祭品。

电子邮件诈骗指的是骇客假冒知名网域寄出信件，以要求使用者重设密码或提供机密资讯，还有人假冒成某公司首席执行官要求首席财务官汇款到假账号的成功案例，甚至还有失察的媒体报导某个假网址寄来的消息，而成为炒股的帮凶。根据FBI的统计，去年美国发生的网络犯罪总计造成10.7亿美元的损失，其中光是商业邮件诈骗案就占了1/4。

Detectify指出，为了避免网域遭到滥用，企业必须主动防范，并于电子邮件服务器上配置诸如SPF或DMARC等认证机制，由于SPF很容易配置错误，导致企业已蒙受风险而不自觉。

坊间已有3种可用来防范电子邮件诈骗的3种解决方案，分别是SPF、DKIM与DMARC。其中的SPF含有全球网域及搭配网址的资料，且指明哪些服务器可寄送特定网域的邮件；DKIM则会分别哈希（hash）邮件的标头与内容，并附带私钥，使用者收到邮件后即会确认信件来源以取得公钥；DMARC则会在SPF或DKIM无法确认邮件时展开行动，可拒绝邮件或是将邮件隔离，还能针对失败邮件产生报告。

此外，若要有效杜绝这些假冒的电子邮件，不论是寄件人的网域、相关邮件服务器或是接收系统都必须采用正确的认证配置。

Detectify说，有许多网站只使用SPF，但未搭配DMARC，这是不够的，因为有些邮件供应商的认证机制并不完整，使用者仍然能接收没有标记的可疑邮件。

为了了解此一问题的严重性，Detectify扫描了Alexa流量排行榜上的五百大网站，检验它们是否确实且正确地部署了SPF及DMARC，发现有276个网域可能沦为电子邮件诈骗案的祭品，有被冒用的风险。

Detectify认为，如果连前五百大网站都有超过一半含有这类的漏洞，那全球网络的状况一定更糟。

要解决此事对于熟悉自家邮件服务器分布的小型业者来说相对容易，因为大型业者拥有太多不同属性或功能的邮件服务器，Detectify也建议业者透过简单的指令来查询自家网域的邮件服务器安全设定是否正确。