文章
  • 文章
话题

国土安全部必须要求机构对未遵守电子邮件安全授权负责

多个政府数据安全丑闻,美国国土安全部为民事联邦机构提供了一年的时间,通过来加强电子邮件安全。 星期二,这个截止日期到了,但许多本来应该更安全的机构 这使得代理商容易受到电子邮件欺诈的影响,并且无法检测恶意发件人。

国土安全部设定任务非常棒,但现在它必须要求机构对未能执行任务负责。

具体而言,DHS希望代理商实施基于域的消息认证报告和一致性,称为DMARC。 例如系统将允许电子邮件程序确定服务器是否实际发送了消息,协调验证工作并减少欺诈性使用域名。

这一点很重要,因为DMARC会对付网络钓鱼诈骗中使用的虚假电子邮件和技术,并使恶意行为者更难冒充政府帐户。

尽管DHS要求实施此类保护措施并非易事,但许多联邦机构仍然拥有未受保护的域名。

最近周一的两项揭示了联邦政府的不足之处。 ValiMail和全球网络联盟/ Agari都进行了审计,发现并非所有政府机构都遵守了规定。 总之,这些数据表明至少有564个政府域没有实施DMARC。 安全公司进行的第三项分析发现了类似的结果:只有62%的联邦域名可以识别,隔离和拒绝未经授权的电子邮件。

[ 相关: ]

当谈到合规时,表现最差的人之一就是白宫。 总统执行办公室测试的25个域中有13个未能实施DMARC。 还有三个人实施了该计划,但没有将其设置为拒绝未通过安全测试的电子邮件。

商务部还有很长的路要走。 52个域中有25个未实现安全功能。

公平地说,即使有几个域名未达到授权范围,政府也取得了很大进展。 去年,只有4%的域名拥有这样的安全措施,相比之下,一年后超过50%。

然而,国土安全部推动各机构保护他们的电子邮件是正确的。 现在,在10月16日截止日期过后,国土安全部必须明确表示,各机构有义务加强电子邮件安全,如果不这样做,将被追究责任。