网络钓鱼绝对是最糟糕的。不幸的是，有时网络钓鱼活动使用Cloudflare来获得非常方便、免费的DNS。需要说明的是，被利用以发送网络钓鱼电子邮件的受损服务器与专门针对此类活动的恶意网站是有区别的。显然违反了我们的服务条款。过去，我们的信任和安全团队会将这些故意的钓鱼者踢出平台，但现在我们有了一个新的窍门，让他们的恶意电子邮件神秘地消失在以太网上。背景：电子邮件的工作原理用于发送电子邮件的协议SMTP于1982年完成，那时它只是一个在线的小社区。他们中的许多人相互了解和信任，因此协议完全建立在信任的基础上。在SMTP邮件中，可以任意定义"邮件发件人"字段。这意味着你可以从任何电子邮件地址发送电子邮件，即使是一个你不拥有的。这对网络钓鱼者很好，对其他人也不好。防止电子邮件欺骗的解决方案是创建发件人策略框架（SPF）。SPF允许域所有者指定允许哪些服务器从该域发送电子邮件。该策略存储在一个DNS TXT记录中，该记录来自cloudflare.com网站:$挖cloudflare.com网站文本"v=spf1 ip4:199.15.212.0/22 ip4:173.245.48.0/20包括：_spf.google.com网站包括：spf1.mcsv.net include:spf.mandrillapp.com网站包括：mail.zendesk.com include:customeriomail.com网站包括：stspg-customer.com-所有"这意味着电子邮件客户应该只接受cloudflare.com网站如果它们来自范围为199.15.212.0/22、173.245.48.0/20的IP范围，或在列出的其他域的SPF记录中找到的IP范围之一，则发送电子邮件。如果接收电子邮件的服务器从someone@cloudflare.com从185.12.80.67的服务器，该电子邮件服务器将检查所有允许域的SPF记录，直到发现185.12.80.67是允许的，因为185.12.80.0/22列在邮箱：zendesk.com的SPF记录：$dig文本邮箱：zendesk.com"v=spf1 ip4:192.161.144.0/20 ip4:185.12.80.0/22 ip4:96.46.150.192/27 ip4:174.137.46.0/24 ip4:188.172.128.0/20 ip4:216.198.0.0/18~全部"SPF之后创建了其他保护电子邮件的方法。SPF只验证电子邮件发送者，但不验证电子邮件的内容。（虽然SMTP可以通过加密连接发送，但众所周知，SMTP很容易被路径攻击者降级为明文。）为了验证内容，域所有者可以使用DKIM对电子邮件进行签名。电子邮件发送者将消息签名包含在名为DKIM signature的电子邮件头中，并将密钥存储在DNS TXT记录中。$dig txt smtpapi_domainkey.cloudflare.com"k=rsa\；t=s\；p=migfma0gcsqgsib3dqebaquaa4gnacbiqkbgqdptw5iwxvpi5fzj7nrl8uszuy9zqqzje0d1r04xdn6qwzidnmgcfnfmewvkn2d1o+2j9n14hrpzbyffqw76yoj54xu3usbq3jp0a7k8o8gutrf8zbfua8n0zh2y0ciejmlix4w4wpa7m4q0obmvsjhd63o9d8z1xkubwidaqab"还有一种控制电子邮件欺骗的机制叫做DMARC。DMARC设置总体电子邮件策略，指示如果不符合策略应执行的操作，并设置用于记录无效邮件尝试的报告电子邮件地址。Cloudflare的DMARC记录显示，不符合要求的电子邮件应发送到垃圾邮件，100%的邮件应经过筛选，如果不符合策略，请将报告发送到以下两个电子邮件地址。$dig文本_dmarc.cloudflare.com"v=DMARC1；p=隔离；pct=100"；rua=mailto:rua@cloudflare.com, 邮箱：gjqhulld@ag.dmarcian.com"当电子邮件服务器收到来自someone@cloudflare.com，它首先检查SPF、DKIM和DMARC记录，以了解电子邮件是否有效，如果无效，如何路由。阻止钓鱼行为对于使用Cloudflare platform For evil的已知网络钓鱼活动，我们有一个DNS技巧来阻止他们的网络钓鱼活动。如果您还记得，发送电子邮件需要三个DNS记录：SPF、DKIM和DMARC。最后一个是定义域的总体电子邮件策略。我们要做的是重写DMARC记录，以便总体电子邮件策略指示电子邮件客户端拒绝来自该发件人的所有电子邮件。我们还删除了用于发送电子邮件的其他DNS记录类型。"v=DMARC1；p=拒绝"当电子邮件客户端收到仿冒电子邮件时，相应的DNS记录指示客户端不接受该电子邮件，并且不会传递该仿冒电子邮件。你可以在我们的假菲什域名上看到它的作用，太空人网.太空人网配置了SPF记录、DKIM记录和DMARC记录，其中包含接受所有电子邮件的策略。但是，由于它是一个已知（假的）仿冒域名，当您查询DNS中的这些记录时，SPF将丢失：$挖太空人网文本太空人网SOA中的.3600art.ns.云彩.com。dns.cloudflare.com. 2026351035万2400 604800 3600DKIM将丢失：$挖_域名：domainkey.astronarentals.com文本太空人网SOA中的.3600art.ns.云彩.com。dns.cloudflare.com. 2026351035万2400 604800 3600DMARC政策将被重写以拒绝所有电子邮件：$挖_dmarc.nautherantals.com文本"v=DMARC1\；p=拒绝"如果我们试图从@太空人网，由于接收客户端看到了DMARC策略并拒绝了该电子邮件，因此电子邮件永远不会到达收件人。这种DMARC更改是动态发生的—这是我们在回答DNS查询时进行的计算—因此原始DNS记录仍会在Cloudflare DNS编辑器中显示给域所有者。这就增加了一些谜团，为什么钓鱼尝试无法发送。利用域名系统打击网络钓鱼网络钓鱼绝对是最糟糕的，问题是它有时会成功。去年，Verizon报告称，30%的网络钓鱼邮件是打开的，而13%的邮件是在接收者点击网络钓鱼链接后结束的。保证人们在互联网上的安全意味着减少成功的网络钓鱼尝试次数。我们很高兴能够使用DNS来对抗网络钓鱼。