關閉選單
  1. Home
  2. NEWS最新消息
  3. 案例與專題
  4. 資安管理
顯示分類
2025.09.14
案例與專題/資安管理
DNS 安全指南:SPF、DKIM、DMARC 與 DNSSEC 的關鍵角色
當前數位環境中,電子郵件與網域名稱系統(DNS)不僅是企業營運的基礎工具,更是資訊安全防線的核心。比利時 網路安全中心(CCB) 於9月3日宣布與DNS Belgium強化合作,並發布針對寄件者政策框架(SPF)、網域金鑰識別郵件 (DKIM)、基於網域的郵件驗證、回報與一致性(DMARC)與域名系統安全擴充(DNSSEC)的技術指引,協助企業與政府部門防範釣魚、郵件偽造與網域相關的攻擊,並增強比利時數位環境的安全與韌性。

其中,SPF是透過設定授權的郵件伺服器,防止駭客冒用網域寄送郵件;DKIM是以數位簽章確保郵件內容未被竄改並驗證寄件人身分;DMARC是整合SPF與DKIM,建立處理未驗證郵件的政策,並向網域管理者提供報告,以提升網域防濫用可視性(visibility);最後,DNSSEC是利用數位簽章防範域名系統(DNS)遭到偽造與快取汙染(cache poisoning),確保域名解析的完整性與真實性。
根據 Safeonweb 的報導,SPF、DKIM、DMARC 與 DNSSEC 等技術在防範網路攻擊、維護信任與合規性方面扮演關鍵角色。本文是一份以該報導為基礎的研究報告,提供組織評估與採行稽核防護措施之參考。


背景與技術演進

在電子郵件成為企業主要溝通管道的今日,網路犯罪者也將其視為攻擊首選。從釣魚郵件、電子郵件偽造,到 DNS 快取投毒與網域劫持,攻擊手法日益精密。為了保護企業聲譽與客戶資料,SPF(Sender Policy Framework)、DKIM(DomainKeys Identified Mail)、DMARC(Domain-based Message Authentication, Reporting & Conformance)與 DNSSEC(Domain Name System Security Extensions)逐漸成為資訊安全標準。
這些技術透過 DNS 記錄與加密簽章,建立信任鏈,防止郵件與網域遭到濫用。它們不僅提升郵件送達率與品牌信任度,更是 GDPR、NIS2 等法規合規的重要基礎。


資訊安全威脅分析
  1. 電子郵件相關威脅
  • 釣魚攻擊(Phishing):偽造企業郵件誘騙使用者點擊惡意連結或提供敏感資訊。
  • 電子郵件偽造(Spoofing):冒用合法網域發送郵件,造成信任破壞與資料外洩。
  • 垃圾郵件與勒索軟體傳播:透過未驗證的郵件管道散播惡意程式。
  1. DNS 層級威脅
  • DNS 快取投毒(Cache Poisoning):竄改 DNS 回應,導致使用者連至惡意網站。
  • 網域劫持(Domain Hijacking):未授權更改 DNS 紀錄,控制企業網域。
  • 中間人攻擊(MITM):攔截 DNS 查詢並回應偽造資料。

現有控制措施與技術解析
  1. SPF:寄件伺服器授權機制

SPF 是一種電子郵件驗證協議,用於阻止未經授權的人員代表您的網域發送電子郵件。 SPF 指定哪些郵件伺服器有權為您的網域傳送電子郵件。此資訊在您網域的 DNS 中的 SPF 記錄中定義。為什麼 SPF 很重要?

  • 防範欺騙:網路犯罪分子可能會使用您的網域發送釣魚郵件。 SPF 透過驗證傳送伺服器是否經過授權來防止這種情況。
  • 提高可信度:來自具有正確配置的 SPF 記錄的網域的電子郵件更有可能被電子郵件提供者視為合法。
  • 提高電子郵件傳遞率:如果沒有 SPF,合法電子郵件可能會進入垃圾郵件資料夾。
  1. DKIM:郵件內容完整性驗證

DKIM 會為發送的電子郵件添加數位簽章。此簽章是根據儲存在您伺服器上的私鑰和在 DNS 中發布的公鑰。接收伺服器可以驗證此簽名,以確保郵件在傳輸過程中未被竄改。為什麼 DKIM 很重要?

  • 完整性檢查:收件者可以驗證電子郵件的內容是否已變更。
  • 驗證:DKIM 確認電子郵件確實來自指定的寄件者。
  • 防範網路釣魚和垃圾郵件:DKIM 讓惡意個人更難以從您的網域發送惡意電子郵件。
  1. DMARC:郵件政策與報告機制

DMARC 是一種使用 SPF 和 DKIM 的附加協定。它制定了一項策略,規定接收伺服器應如何處理未通過身份驗證檢查的電子郵件。 DMARC 也提供報告,讓您了解哪些人在代表您的網域發送電子郵件。為什麼 DMARC 很重要?

  • 防止濫用:DMARC 可防止接受未經授權來源的電子郵件。
  • 報告功能:您可以深入了解網域濫用行為,以更好地理解並應對威脅。
  • 提升聲譽:設定良好的 DMARC 策略表示您的網域名稱已受到積極保護,防止濫用。
  1. DNSSEC:DNS 回應驗證機制

它是 DNS 的安全擴展,可確保 DNS 請求不會被竄改。它使用數位簽章來驗證 DNS 請求回應的真實性,並確認其來自正確的來源。DNSSEC 為何重要?

  • DNSSEC 可防止 DNS 欺騙和快取中毒。 DNSSEC 可防止惡意行為者操縱 DNS 解析並將使用者引導至詐騙網站。
  • DNSSEC 還能確保網域的可信度。借助 DNSSEC,公司可以向客戶保證其網域的安全,不會被濫用。
  • DNSSEC 是其他安全協定的基礎。 DNSSEC 支援其他技術的安全實施,例如 DANE(基於 DNS 的命名實體身分驗證)。

企業為什麼應該使用這些技術?
  1. 防禦網路攻擊:SPF、DKIM 和 DMARC 可防禦網路釣魚、欺騙和垃圾郵件。 DNSSEC 可保護網域名稱免遭竄改。
  2. 提升電子郵件信譽:正確設定的 SPF、DKIM 和 DMARC 可降低電子郵件被標記為垃圾郵件的可能性。
  3. 洞察威脅:DMARC 提供的報告可讓您偵測並解決網域濫用問題。
  4. 客戶信任:安全技術彰顯您致力於保護客戶資料和線上形象的承諾。
  5. 合規性:許多法規(例如 GDPR 和 NIS2)都要求公司實施適當的安全措施。實施這些協議有助於實現這一點。

在當今的數位世界中,這些技術共同構成了可靠、安全的線上形象的堅實安全基礎。市場上已經存在一些可用防護產品與服務:

技術代表性產品/服務功能特色
SPF/DKIM/DMARC    Proofpoint, Mimecast, Google Workspace, Microsoft 365   提供郵件驗證、政策設定與報告分析
DNSSECCloudflare DNS, Google Public DNS, NS1, Infoblox支援 DNSSEC 簽章與驗證,防止 DNS 攻擊   
DMARC 分析平台Dmarcian, Valimail, EasyDMARC提供視覺化報告、政策建議與威脅偵測
DNS 管理平台Akamai Edge DNS, Route53, Dyn整合 DNSSEC、DDoS 防禦與高可用性

潛在防護缺失與挑戰
  1. 部署複雜性高:SPF、DKIM、DMARC 與 DNSSEC 涉及多方設定,企業常因技術門檻而延遲部署。
  2. 政策錯誤導致郵件誤判:DMARC 設定不當可能導致合法郵件遭拒收。
  3. DNSSEC 支援度不足:部分 DNS 託管商或應用程式尚未全面支援 DNSSEC。
  4. 報告分析能力不足:DMARC 產生的 XML 報告需專業工具解析,中小企業常無法有效利用。
  5. 供應鏈風險未納入考量:第三方郵件服務或 DNS 託管商若未實施安全措施,將成為攻擊破口。

未來可採行的措施與建議
  1. 建立 DNS 安全治理架構
  • 將 SPF、DKIM、DMARC、DNSSEC 納入資安政策與年度稽核項目。
  • 指派專責人員定期檢視 DNS 記錄與郵件報告。
  1. 採用自動化部署工具
  • 使用開源工具如 OpenDMARC、MailKit 或商業平台進行自動化設定與報告分析。
  • 將 DNSSEC 簽章流程納入 CI/CD 管理。
  1. 加強供應鏈安全要求
  • 要求第三方服務商支援 DNSSEC 與郵件驗證技術。
  • 對外部寄件來源進行 SPF 授權與 DMARC 監控。
  1. 提升員工資安意識
  • 定期進行釣魚郵件演練與 DNS 安全教育。
  • 建立通報機制,鼓勵員工回報可疑郵件與網站。
  1. 推動政府與產業合作
  • 由政府推動 DNSSEC 普及與 DMARC 政策標準化。
  • 建立產業聯盟,共享郵件濫用資訊與防禦策略。

 結語

DNS 與電子郵件安全技術不再只是 IT 部門的責任,而是企業信任與營運穩定的基石。SPF、DKIM、DMARC 與 DNSSEC 的整合部署,能有效防範釣魚、偽造與網域攻擊,提升品牌信譽與合規性。在資安威脅日益嚴峻的今日,企業應主動採取行動,將 DNS 安全視為整體資安架構不可或缺的一環。

參考資料:https://atwork.safeonweb.be/tools-resources/dns-security-enabler-crucial-role-spf-dkim-dmarc-and-dnssec

保護企業郵件與網域安全,從 SPF、DKIM、DMARC 到 DNSSEC,全面解析 DNS 安全技術,防止釣魚、偽造與網域劫持,提升品牌信任與資安合規。