防範電子郵件詐騙

電子郵件詐騙是寄件人偽造寄件信箱位址;可能已經有人聯絡您,聲稱其收到了您寄送的電子郵件,但是您很清楚其實您並未發送過,如為上述情況,請您前往 電子郵件詐騙 章節瞭解更多資訊。

雖然無法完全有效阻止電子郵件詐騙,但仍有一些技術工具能供電子郵件收件人用來檢查郵件是否真的是您寄送的。首先,您必需在您電子信箱隸屬的域名上發布一種特別的 DNS 紀錄,其將告訴接收郵件的伺服器要檢查什麼數據資料,才能分辨接收到的郵件之真偽,緊接著,郵件收件人便可以選擇要如何處理那些未通過前述檢查之電子郵件。

收件人的電子郵件主機會檢查您域名的 DNS 紀錄,收件人電子郵件主機不同,會用來檢查 DNS 紀錄的工具也不盡相同。這類的檢查通常是在郵件送達收件人信箱之前,伺服器就會先自動完成的,然而,並非所有的電子郵件伺服器都會執行這類檢查,因此,您的信箱位址仍有可能被用來詐騙,不過,現在有更多具備安全意識的收件人仍偏好驗證來自您的郵件之真偽。

DKIM

域名金鑰辨識郵件(DomainKeys Identified Mail,DKIM)讓您能夠在您所寄出的電子郵件中附加簽名,顯示該郵件已被授權,然後,收件人便可以透過您信箱位址隸屬之域名的 DNS 紀錄 所共享之公鑰檢查該簽名,其也可以驗證包含夾帶檔案在內的所有郵件內容在收件人收到之前是否遭竄改。

透過 Gandi 郵件伺服器寄送的電子郵件皆支援 DKIM 簽名;由 Gandi 代管的信箱位址之使用者,可以按照下列步驟至您的帳號中啟動 DKIM 簽名功能:

  1. 登入後,點選左側面板的「域名

  2. 點選您想管理的電子信箱隸屬之域名

  3. 點選「電子信箱」分頁

  4. 找到「設定與安全性」區塊,點選「管理

  5. 滑動「DKIM 簽名」下的滑塊啟動 DKIM 簽名功能

  6. 點選「更新

或者,您也可以自行新增下列的 DNS 紀錄 至您的域名,手動啟用 DKIM 簽名功能:

gm1._domainkey 10800 IN CNAME   gm1.gandimail.net.
gm2._domainkey 10800 IN CNAME   gm2.gandimail.net.
gm3._domainkey 10800 IN CNAME   gm3.gandimail.net.

注意!若金鑰更新了,便需要全部 3 個 CNAME 紀錄。

SPF 紀錄

發件人策略框架(Sender Policy Framework,SPF)是一種特殊的 TXT 紀錄;您添加 SPF 紀錄到您域名的 DNS 紀錄 中,公開分享哪些 IP 位址已被授權從您的域名發送電子郵件,如此一來,收件人便能夠在收到聲稱是由您信箱位址寄送之郵件時,自動檢查寄信的 IP 位址是否在授權名單上。

若您是從 Gandi 的郵件伺服器,或是從由 Gandi 網頁代管服務(Simple Hosting)代管之網站寄送郵件,您可以使用 SPF 紀錄;但是,若您的信箱 不是 由 Gandi 代管,請洽詢您的服務供應商獲得更多資訊。

Simple Hosting 紀錄只在您計畫透過您的網站發送電子郵件時使用(例如:透過聯絡表單)。

如果您使用 Gandi 的郵件伺服器從您的域名寄送電子郵件,請添加以下紀錄:

@ 10800 IN TXT "v=spf1 include:_mailcust.gandi.net ?all"

如果您使用由 Gandi 代管之網站寄送電子郵件,請添加以下紀錄:

@ 10800 IN TXT "v=spf1 include:_spf.gpaas.net ?all"

如果您的網站不僅使用 Gandi 的郵件伺服器寄送電子郵件,也透過 Gandi Simple Hosting 代管的網站寄送郵件,請添加以下紀錄:

@ 10800 IN TXT "v=spf1 include:_mailcust.gandi.net include:_spf.gpaas.net ?all"

DMARC

「基於網域的消息認證,報告和一致性」(Domain-based Message Authentication, Reporting and Conformance:DMARC) 讓您可以在您域名的 DNS 紀錄 中公布您已經採用 SPF 及/或 DKIM,DMARC 也提供有關未能通過 SPF 及/或 DKIM 檢查之郵件的處理方法,DMARC 還協助郵件接收方對您發送關於從您域名寄送之郵件的報告,其中包括這些郵件是否有通過 SPF 及/或 DKIM 檢查。

請添加下列紀錄至您的域名以使用 DMARC,請記得把下方紀錄中的「user@domain.tld」替換成您預計接收報告的信箱位址:

_dmarc 10800 IN TXT "v=DMARC1; p=reject; rua=mailto:user@domain.tld"

在上述紀錄中的「p 值」是「拒絕(reject)」,共有三種可能的 p 值,分別為:

  • none:不應採取任何行動,但您仍會收到報告

  • quarantine:該郵件應被視為可疑郵件,表示其可能被放入垃圾信件匣或是以其他方式被標記為不可信任

  • reject:該郵件應被拒絕且不被發送

警告

若採用 reject 策略,您轉寄的郵件便有可能無法送達收件人的信箱,舉例來說,如果有人設定郵件轉址功能,表示在一個特定信箱位址收到的所有郵件都會被轉址到另個不同的信箱位址,但若您採用 reject 策略,則轉址的郵件很有可能會被最終的目的信箱位址拒絕。

請至 DMARC 的官方頁面 瞭解更多資訊。