Google, Yahoo ने DMARC को आगे बढ़ाया, कंपनियों को आगे बढ़ने के लिए मजबूर किया

Google, Yahoo ने DMARC को आगे बढ़ाया, कंपनियों को आगे बढ़ने के लिए मजबूर किया

समय टिकट: 6 अक्टूबर, 2023 11:28 पूर्वाह्न
Google, Yahoo ने DMARC को बढ़ावा दिया, कंपनियों को प्लेटोब्लॉकचेन डेटा इंटेलिजेंस को पकड़ने के लिए मजबूर किया। लंबवत खोज. ऐ.

फरवरी 2024 तक, Google या Yahoo के माध्यम से 5,000 से अधिक ईमेल संदेश भेजने वाली किसी भी कंपनी को डोमेन-आधारित संदेश प्रमाणीकरण रिपोर्टिंग और अनुरूपता (डीएमएआरसी) नामक प्रमाणीकरण तकनीक का उपयोग शुरू करना होगा।

आवश्यकताएँ - द्वारा घोषित गूगल और याहू इस सप्ताह - विपणक की तुलना में बहुत आगे तक पहुंच जाएगा, हालांकि, सभी कंपनियों को सुरक्षा प्रौद्योगिकियों की तिकड़ी को अपनाने में पीछे रहने के लिए मजबूर होना पड़ेगा। सेंडर पॉलिसी फ्रेमवर्क (एसपीएफ) और डोमेनकीज आइडेंटिफाइड मेल (डीकेआईएम) का उपयोग करने वाले उद्यम बेहतर प्रमाणीकरण के माध्यम से प्रतिरूपण के खिलाफ सुरक्षा प्राप्त करेंगे, जबकि डीएमएआरसी डोमेन-नाम मालिक के लिए एक अधिसूचना चैनल बनाता है ताकि यह जानकारी एकत्र की जा सके कि उनके ईमेल को धोखा दिया जा रहा है या नहीं।

Google के जीमेल सुरक्षा और ट्रस्ट समूह के समूह उत्पाद प्रबंधक नील कुमारन का कहना है कि दो बड़े प्रदाताओं की आवश्यकताओं को अधिक कंपनियों को DMARC को अपनाने के लिए प्रेरित करना चाहिए जब तक कि गोद लेना उस स्तर तक नहीं पहुंच जाता है जिस पर अधिक प्रभावी सुरक्षा उपाय संभव हो जाते हैं।

"डीएमएआरसी को जिस तरीके से हम पूछ रहे हैं उसे अपनाने से, प्रेषकों को बहुत सारी खुफिया जानकारी वापस मिलनी शुरू हो जाती है जो उन्हें उनके कॉन्फ़िगरेशन के साथ समस्याओं की पहचान करने में मदद करेगी [और] जिन चीजों को वे बदलना चाहते हैं," वे कहते हैं। "तो DMARC को अपनाने और सामूहिक रूप से इन चीजों के बारे में सोचने से प्रेषक को भौतिक लाभ होगा।"

ईमेल सुरक्षा प्रौद्योगिकियों की तिकड़ी को हाल के वर्षों में तेजी से अपनाया गया है - विशेष रूप से कोरोनोवायरस महामारी के दौरान, जब कंपनियों को दूरस्थ संचालन के लिए मजबूर किया गया था। परिणामस्वरूप, लगभग आधे ईमेल भेजने वालों के पास DMARC रिकॉर्ड है, लेकिन DMARC सेवा प्रदाता, वैलीमेल के आंकड़ों के अनुसार, केवल 14% ने DMARC को संगरोध या अस्वीकार की सख्त नीति लागू करने के लिए निर्धारित किया है - जिसे व्यापक रूप से अंतिम लक्ष्य माना जाता है। सभी कंपनियों में से लगभग आधी ने सख्त नीति लागू करने के लिए अपना DMARC रिकॉर्ड बनाया है। हालाँकि, केवल गैर-लाभकारी डोमेन का 1% DMARC स्थापित करें।

Google और Yahoo की आवश्यकताएँ एक अच्छी शुरुआत हैं, और बाज़ार अधिक कठोर आवश्यकताओं के लिए तैयार नहीं है। लेकिन वैलीमेल के मुख्य प्रौद्योगिकी अधिकारी सेठ ब्लैंक को उम्मीद है कि प्रमुख ईमेल प्रदाता तेजी से अपना स्तर बढ़ाएंगे।

"मुझे लगता है कि यह बिल्कुल शानदार है, लेकिन मुझे लगता है कि यह ज्यादा दूर तक नहीं जाता है," वह कहते हैं। “मैं उनके स्तर को ऊपर उठाने के लिए उत्साहित हूं, लेकिन अब हमारे पास उद्योग की सर्वोत्तम प्रथाओं का एक समूह है जो असंगत रूप से लागू होते हैं। आपके पास कुछ प्रमुख-मात्रा प्रेषक इसे अच्छी तरह से कर रहे हैं, और फिर आपके पास बाकी सभी लोग हैं, यही कारण है कि पारिस्थितिकी तंत्र में दुरुपयोग इतना व्यापक है।

ईमेल सुरक्षा को अपनाने का विस्तार

अपने ब्लॉग पोस्ट में, Google ने अपनी आवश्यकताओं को रेखांकित किया, जिसमें ईमेल भेजने वाले डोमेन को प्रमाणित करने के लिए SPF और DKIM दोनों रिकॉर्ड शामिल हैं; डोमेन के लिए DMARC रिकॉर्ड; और एक "प्रेषक" हेडर जो एसपीएफ़ या डीएमएआरसी रिकॉर्ड से मेल खाता है, जिसे "संरेखण" के रूप में जाना जाता है। इसके अलावा, विपणक की स्पैम दरें 0.3% से कम होनी चाहिए और एक क्लिक से सदस्यता समाप्त करने की क्षमता प्रदान करनी चाहिए।

Google नए नियम उन लोगों पर लागू करेगा जो एक दिन में जीमेल पते पर 5,000 से अधिक संदेश भेजते हैं। याहू "बल्क प्रेषकों" के लिए आवश्यकताओं को लागू करेगा, लेकिन इसका ब्लॉग पोस्ट यह परिभाषित नहीं करता है कि बल्क प्रेषक क्या होता है। Google के लिए आवश्यकताओं को फरवरी 2024 तक और Yahoo के लिए "2024 की पहली तिमाही में" पूरा करना होगा।

ईमेल मार्केटिंग सेवा ट्विलियो सेंडग्रिड में उद्योग संबंधों के उपाध्यक्ष लेन श्नाइडर ने लिखा, Google की घोषणा, याहू के समान कदम के साथ, इसका मतलब है कि DMARC को अपनाना अब कोई सुझाव नहीं है। समाचार के बारे में एक ब्लॉग.

"याहू की खबर के साथ, आप इसे नया सामान्य मान सकते हैं," उन्होंने लिखा। "नई आवश्यकताएं इस बात में बदलाव लाती हैं कि उद्योग ईमेल प्रमाणीकरण और सर्वोत्तम प्रथाओं को कैसे देखता है: जो एक बार सिफारिशों का एक सेट था वह अब आवश्यकताओं का एक लागू करने योग्य सेट बन रहा है।"

Google को उम्मीद है कि आवश्यकताओं से उसके प्लेटफ़ॉर्म पर ईमेल प्रमाणीकरण को लगभग पूर्ण रूप से अपनाया जाएगा। वर्तमान में कंपनी हर दिन लगभग 15 बिलियन ईमेल संसाधित करती है, और कंपनी द्वारा यह आवश्यक किए जाने के बाद से अप्रामाणिक संदेशों की संख्या में 75% की गिरावट आई है। कुछ फार्म प्रमाणीकरण का.

प्रमाणीकरण तो बस शुरुआत है

DMARC आवश्यकताओं का लक्ष्य यह सुनिश्चित करना है कि सभी वैध ईमेल ने अपनी DNS सेवा के साथ DMARC रिकॉर्ड सेट किए हैं, जो किसी भी प्राप्त ईमेल संदेशों के हेडर के विरुद्ध जांच करने के लिए प्रमाणीकरण जानकारी प्रदान करते हैं। लगभग हर ईमेल प्रदाता किसी डोमेन के आधिकारिक मालिक को DMARC संरेखण के बारे में जानकारी वापस रिपोर्ट करेगा।

Google के कुमारन कहते हैं, इस कारण से, स्रोतों की बेहतर पहचान और संदेशों की मजबूत पहचान ईमेल तकनीक को बेहतर बनाने की कुंजी है।

वे कहते हैं, "स्पैम को रोकने के लिए प्रमाणीकरण अपने आप में कोई बड़ी बात नहीं है, लेकिन यह हर किसी को आने वाले ईमेल की बेहतर समझ प्राप्त करने की अनुमति देता है।" "मुझे उम्मीद है कि फ़िल्टर उन पैटर्न को अपनाना शुरू कर देंगे, प्रमाणीकरण का लाभ उठाएंगे, और बेहतर काम करेंगे - हमें बोर्ड भर में प्रभाव देखना चाहिए।"

ब्लैंक का कहना है कि एक बार प्रेषक प्रमाणीकरण हो जाने के बाद, सुरक्षा विक्रेता और ईमेल प्रदाता खराब ट्रैफ़िक को बेहतर ढंग से फ़िल्टर कर सकते हैं।

"आप इस पर नियंत्रण रखते हैं कि आपको भेजने के लिए कौन अधिकृत है, जिसका अर्थ है कि जब तक संदेश दुनिया भर में किसी भी मेलबॉक्स प्रदाता के पास जाता है, प्रमाणीकरण हो चुका होता है, और वे DMARC का लाभ उठाने में सक्षम होते हैं," उन्होंने कहा। कहते हैं. “नकली या प्रमाणित संदेश कभी भी उपयोगकर्ताओं के इनबॉक्स में नहीं आते हैं, और इसलिए हमें यह झुंड प्रतिरक्षा और सुरक्षा बड़े पैमाने पर मिलती है, केवल Google और Yahoo के बाहर, जहां आवश्यकताएं हैं।”

समाधान की अपेक्षा करें

बिशप फॉक्स के प्रबंध वरिष्ठ सलाहकार राफ मार्कोनी का कहना है कि हालांकि आवश्यकताओं के कारण सभी वैध विपणन फर्मों को अपने ईमेल सुरक्षा कॉन्फ़िगरेशन को समायोजित करने की आवश्यकता होगी, कंपनियों को उम्मीद करनी चाहिए कि बुरे अभिनेता अभी भी स्पैम, फ़िशिंग और मैलवेयर भेजने के तरीके ढूंढ लेंगे।

वह कहते हैं, "एक दुर्भावनापूर्ण अभिनेता या तो सीमा से नीचे रह सकता है या आवश्यकताओं से प्रभावित होने से बचने के लिए वैध सेवाओं का उपयोग कर सकता है," उन्होंने आगे कहा: "इन नई आवश्यकताओं का स्पैम और फ़िशिंग के स्तर पर कुछ प्रभाव होना चाहिए, लेकिन इसका आकलन करना कठिन है।" आवश्यकताओं को कितना पहले लागू किया गया है, और यह DKIM, SPF और DMARC के उचित कार्यान्वयन पर भी निर्भर है।

इंटरनेट सेवा फर्म क्लाउडफ्लेयर ने एक हालिया रिपोर्ट में यह पाया 89% संदेशों को स्पैम के रूप में ब्लॉक किया गया क्लाउडफ्लेयर के फील्ड सीएसओ ओरेन फल्कोविट्ज़ का कहना है कि सही एसपीएफ़, डीकेआईएम या डीएमएआरसी जानकारी थी, जो इस बात को रेखांकित करती है कि प्रौद्योगिकियां समीकरण का हिस्सा हैं, लेकिन संपूर्ण समाधान नहीं।

"इस कारण से, अभियानों का पता लगाने और उन्हें रोकने के लिए प्रेषक की जानकारी को ट्रैक करने वाले मानकों पर पूरी तरह भरोसा करना व्यर्थ है।" "वास्तविक क्षति को हल करने के लिए, सुरक्षा टीमों को पेलोड, फ़ाइलों, लिंक और दुर्भावनापूर्ण अनुरोधों की पहचान करनी चाहिए और उन पर नियंत्रण रखना चाहिए जिनमें फ़िशिंग शामिल है और जो नुकसान का कारण बनते हैं।"

वैलीमेल के ब्लैंक ने उस बात को पुष्ट किया।

वे कहते हैं, "बुरे अभिनेता सर्वोत्तम प्रथाओं का पालन करने वाले पहले लोग होते हैं।" “यह धारणा कि एसपीएफ़, डीकेआईएम, या डीएमएआरसी होने का मतलब है कि मेल अच्छा है, गलत है। इसका मतलब यह है कि हम जानते हैं कि मेल किससे आया है, और यह प्रतिष्ठित निर्णय लेने के लिए महत्वपूर्ण है।

समय टिकट:

से अधिक डार्क रीडिंग