安全防護不足，逾半五百大網站可能淪為電子郵件詐騙幫兇

瑞典的網路安全公司Detectify近日調查了Alexa流量排行榜的前五百大網站，發現有276家、超過半數未正確部署安全機制，而可能淪為電子郵件詐騙案的祭品。

電子郵件詐騙指的是駭客假冒知名網域寄出信件，以要求使用者重設密碼或提供機密資訊，還有人假冒成某公司執行長要求財務長匯款到假帳號的成功案例，甚至還有失察的媒體報導某個假網址寄來的消息，而成為炒股的幫兇。根據FBI的統計，去年美國發生的網路犯罪總計造成10.7億美元的損失，其中光是商業郵件詐騙案就佔了1/4。

Detectify指出，為了避免網域遭到濫用，企業必須主動防範，並於電子郵件伺服器上配置諸如SPF或DMARC等認證機制，由於SPF很容易配置錯誤，導致企業已蒙受風險而不自覺。

坊間已有3種可用來防範電子郵件詐騙的3種解決方案，分別是SPF、DKIM與DMARC。其中的SPF含有全球網域及搭配網址的資料，且指明哪些伺服器可寄送特定網域的郵件；DKIM則會分別哈希（hash）郵件的標頭與內容，並附帶私鑰，使用者收到郵件後即會確認信件來源以取得公鑰；DMARC則會在SPF或DKIM無法確認郵件時展開行動，可拒絕郵件或是將郵件隔離，還能針對失敗郵件產生報告。

SPF、DKIM與DMARC？完全沒聽過！不知道是什麼！以前的BNW，某老蘇還有架設BNW專用的e-mail，但是到了insoler就直接放棄，不架設insoler的專用e-mail，而是直接改用Apple的iCloud。