2025年2月21日，领先的网络安全和合规公司Proofpoint， Inc.发布了一项新的研究显示，亚太地区的顶级组织之间存在令人担忧的差距，只有12%的组织实施了建议的和最严格的电子邮件认证级别。2024年，网络钓鱼攻击大幅飙升，同比增长近60%。这种急剧增长强调了正确实施电子邮件身份验证的迫切需要，这可以防止网络犯罪分子欺骗组织的身份，从而降低电子邮件欺诈的风险。

这些发现是基于对基于域的消息认证、报告和一致性（DMARC）的分析得出的，DMARC是一种广泛采用的电子邮件验证协议，被列入福布斯全球2000强的亚太公司的记录。DMARC通过在电子邮件到达预定目的地之前验证发件人的身份来保护域名不被恶意行为者滥用。该认证系统检测并防止域名欺骗，这是一种常见的网络钓鱼技术。DMARC有三个级别的保护——监视、隔离和拒绝，其中拒绝是防止可疑电子邮件到达用户收件箱的最安全级别。

“电子邮件仍然是各行各业最常见和最关键的威胁载体。令人鼓舞的是，亚太地区的许多领先公司已采取积极措施保护客户免受电子邮件欺诈的侵害，”Proofpoint亚太区及日本高级副总裁George Lee表示。“然而，网络攻击的频率、复杂程度和成本不断上升，尤其令人担忧的是，许多网络攻击仍然极易受到攻击，使他们面临恶意电子邮件威胁（如网络钓鱼）的重大风险。优先考虑强大的网络安全措施对于防范这些威胁和保护客户的宝贵数据至关重要。”

Proofpoint的研究表明，与美国和英国相比，亚太地区的DMARC采用率大多较低，这使组织及其客户面临风险。虽然澳大利亚在电子邮件认证DMARC执行方面处于领先地位，但日本、韩国和泰国却落后，这使得企业面临不断升级的电子邮件欺诈，包括商业电子邮件泄露（BEC）和网络钓鱼。

Proofpoint在亚太主要市场的DMARC分析的主要发现包括：

澳大利亚：71%的澳大利亚顶级公司已经按照建议的水平实施了DMARC（拒绝）。所有被研究的澳大利亚顶级公司都有DMARC记录。

 新加坡：46.2%的被分析公司将DMARC设置为拒绝。然而，23.1%的人没有任何DMARC记录，很容易受到电子邮件欺诈和域名欺骗攻击。

 印度：50%的印度顶级组织实施了最高水平的DMARC（拒绝），其中30.9%使用隔离，11.8%根本没有DMARC记录。

 日本：只有7.4%的日本大公司有DMARC拒收政策。65.6%的公司处于监控级别，收集数据但没有提供主动保护

 韩国：仅1.8%的检疫层实施了DMARC，未实施拒收层，51.8%的检疫层没有DMARC记录。

 泰国：17.6%的公司实施了拒绝政策，以阻止不合格的电子邮件，17.6%的公司实施了隔离，52.9%的公司仍处于监控级别。

 中国：只有4.2%的中国大公司实施了最严格的DMARC。令人吃惊的是，71.8%的人根本不使用任何DMARC保护。

主要供应商和法规要求推动DMARC的采用

主要的电子邮件提供商正在采取行动，迫使公司赶上并使用电子邮件身份验证。一些备受关注的例子包括Gmail、雅虎和苹果在2023年10月发布的公告，该公告规定，批量发送者向Gmail、雅虎和iCloud账户发送电子邮件时，必须强制要求电子邮件认证（包括DMARC）。这样做的目的是显著减少垃圾邮件和欺诈性电子邮件进入他们的客户收件箱。

此外，存储消费者支付信息的组织必须遵守支付卡行业数据安全标准（PCI-DSS），否则将面临违规支付巨额罚款的风险。最新的PCI DSS （v4.0.1）将要求公司在2025年3月31日之前使用DMARC来保护信用卡数据。

 Proofpoint建议各机构遵循以下最佳实践：

实现DMARC：通过实现DMARC并在拒绝级别强制执行它来保护您的域免受模拟。如果需要，请寻求专家帮助以避免阻止合法的电子邮件。

 教育员工：培训员工如何识别和避免潜在的欺诈性或可疑电子邮件，例如那些冒充同事、供应商或客户的电子邮件。

 加强密码：建立和实施密码管理的最佳实践，包括要求使用强密码、定期更改密码以及永远不要在多个帐户中重复使用密码。

这项分析是在2024年12月进行的，使用的数据来自福布斯全球2000强公司。