市場趨勢

趕緊應對Google和Yahoo將在2024年2月強制實施的企業寄件新規範

Google和Yahoo寄件新規定2024年強制實施!企業應該怎麼做?

報告類型
議題分享
發布日期

2023/10/20

為了強化電子郵件的安全性、減少無效或惡意電子郵件的流通, Google1Yahoo2於10/3發表聲明表示,2024年2月將開始強制要求寄件者落實包含郵件驗證在內的諸多新政策。屆時,若組織需要寄信至使用Google或Yahoo信件服務的收信者(包含公司與個人帳號),為了維持組織業務順利,您可能會有一些事務需要盡快處理。由於時間緊迫,Proofpoint3將這些新規定整理起來,希望能協助您盡快調整策略,準備好應對新規範。

dmarc240102.png

最新的郵件寄件規範

Google與Yahoo制定的新規定可以簡單分成兩大類型:所有寄件者皆須要遵守的基本規定,以及根據組織單日寄件數量決定的額外規定

基本規定

所有寄信至使用Google或Yahoo信件服務收信者(包含公司與個人帳號)的組織都需要遵守以下五項規定

Image

Google、Yahoo的DMARC政策:寄件時不得冒用Header From

由於Google及Yahoo會將DMARC政策設置為P=quarantine,您寄送的信件若是使用Google、Yahoo的網域作為Header From將會被擋下

Image

雙向DNS紀錄:除了正向DNS紀錄,也需要設定有效的反向DNS4

反向DNS能讓收件者藉由DNS PTR(指標紀錄)來透過IP查找網域,用以確認寄件者的網域是否合法,
作為寄件者,您可以在DNS設定中找到並開啟PTR Record,將組織的網域加進紀錄裡即可,完成後可藉由Google Admin Toolbox Dig5工具來驗證是否設定成功

Image

電子郵件格式:須採用RFC-53226標準規範的電子郵件格式

不可使用HTML、CSS等方式隱藏信件內容,信件的格式也必須遵照RFC-5322標準,
您可以優先檢查RFC-5322規範中的Header關鍵項目:
電子郵件必須具有Header,包括「From」、「To」、「Subject」和「Date」,且各項僅能出現一次

Image

垃圾郵件回報率:由您組織寄送的郵件被用戶舉報為垃圾郵件的比例需低於0.3%

您可以藉由郵件管理員工具7來了解組織網域被舉報為垃圾郵件的比率,
若此指標偏高,除了行銷信件的內容外,您還可以將以下兩點列入評估項目來協助相關人員:

  • 網域信譽:若是透過購買或共用取得的網域,需先評估該網域及IP的信譽,避免寄出的信件被判定成垃圾郵件
  • 發送對象:透過購買的方式取得大量行銷信收件人可能會導致被大量回報垃圾郵件,您可以建議相關人員開始採用訂閱機制,篩選出真正想要收到信件的人
Image

轉發(Forwarding)信件規範:建議設定ARC檢查

許多組織會透過自動轉發的方式發送行銷郵件,由於此類轉發信件會保留原始寄件人,會導致以下兩個問題:

  • Header From會與smtp.MailFrom不一致
  • 收件者無法驗證郵件內容是否被修改過

若您的組織有此類轉發行為,可以設定ARC檢查來擔保轉發信件的安全性、證明郵件未被修改,
ARC為電子郵件供應商(如Gmail8)提供的功能,您可以聯繫組織使用的郵件系統供應商或是參考供應商的設定文件了解如何設定

額外規定

根據每日發信是否超過5000封來區分普通寄件者與大量寄件者

若每日累計寄送郵件超過5000封須遵守以下規範

郵件驗證機制與退訂功能:必須設定SPF9DKIM10DMARC11三項驗證機制,且行銷信須具備一件退訂功能

Image

必須建立SPF及DKIM:

您需要確保組織的信件通過SPF及DKIM兩項驗證機制,確保您的組織不會被駭客輕易冒名發送詐騙信件

Image

必須有DMARC驗證:

DMARC能夠決定如何處理未通過SPF、DKIM的郵件,可設定的政策為:
P=none(放行)、P=quarantine(隔離)以及P=reject(拒絕)

Image

必須通過DMARC對齊(Alignment)驗證:

DMARC Alignment能確保Header From 必須和Envelope From或 DKIM的網域一致,
用於防止收件者收到偽冒您組織Header From的惡意信件

Image

一鍵退訂功能:

訂閱信件中必須提供清晰可見的取消訂閱連結,且需要在收件者按下連結後的兩天內完成退訂操作。

每日累計寄送郵件少於5000封須遵守以下規範

郵件驗證機制:至少必須設SPF9或是DKIM10其中一種郵件驗證

Image

SPF驗證:

寄件人政策架構,能預防他人利用您組織的網域來傳送未經驗證的電子郵件

Image

DKIM驗證:

域名金鑰辨識郵件,用於確保電子郵件未被竄改(完整性)並驗證您組織的網域是否有發送該郵件

您必須盡快確保組織符合規定

上面提到的這些規範,Google表示將在2024年2月開始執行、Yahoo則會在2024年第一季度開始跟進這些規範。屆時組織若未能符合規定,將導致信件無法有效發送給使用Google或Yahoo信箱服務的企業客戶與個體用戶,時間相當緊迫,為了不影響組織的業務,您應該開始著手規劃並盡快採取行動了。

該如何正確且有效地落實郵件驗證機制?

若是為符合這些新規範而草率地調整郵件系統或設定驗證機制,都可能會因為設定錯誤,導致駭客能輕易針對您的組織或供應鏈發動社交工程攻擊,進行BEC郵件詐騙。若擔心無法在短時間快速釐清組織的電子郵件環境並使用適當的郵件驗證規則,歡迎聯繫大鈞科技,讓我們為您安排專業顧問協助您! 

大鈞深耕電子郵件安全多年且攜手世界郵件安全領導品牌,協助您規劃實作企業本身的郵件驗證,也能幫您評估落實第三方寄件服務的郵件驗證機制。

Image

我想了解......

我想進一步了解大鈞專業服務,請業務提供相關資料或安排拜訪。

我想了解......

我想進一步了解大鈞專業服務,請業務提供相關資料或安排拜訪。

你可能有興趣...

關於大鈞科技

我們是深耕資安領域的專業人士,團隊成員組成兼具資安、系統顧問、軟體開發......等各方面人員,共同為企業資訊安全防護努力。

我們也幫助企業快速進行內部資安風險評估,幫助企業診斷何者評估安風險威脅最大,與資安威脅揭秘的優先順序,幫助企業快速建立完整的資安網路。