גוגל, יאהו דחפו DMARC, מאלצות חברות להתעדכן

עד פברואר 2024, כל חברה ששולחת יותר מ-5,000 הודעות דוא"ל דרך גוגל או יאהו תצטרך להתחיל להשתמש בטכנולוגיית אימות הידועה בשם דיווח אימות הודעות מבוסס דומיין והתאמה (DMARC).

הדרישות - הוכרז על ידי Google ו יאהו השבוע - יגיע הרבה יותר מאשר המשווקים, עם זאת, מה שיאלץ את כל החברות בפיגור באימוץ שלישיית טכנולוגיות האבטחה להדביק את הפער. ארגונים המשתמשים במסגרת מדיניות שולח (SPF) וב-DomainKeys Identified Mail (DKIM) יקבלו הגנה מפני התחזות באמצעות אימות טוב יותר, בעוד ש-DMARC יוצר ערוץ הודעות בחזרה לבעל שם הדומיין כדי לאסוף מידע אם הדוא"ל שלהם מזויף.

הדרישות של שני ספקים גדולים אמורות לדחוף חברות נוספות לאמץ DMARC עד שהאימוץ יגיע לרמה שבה מתאפשרים אמצעי אבטחה יעילים יותר, אומר ניל קומרן, מנהל מוצר קבוצתי של קבוצת Gmail Security & Trust של גוגל.

"על ידי אימוץ DMARC בדרכים שאנו מבקשים, שולחים מתחילים לקבל הרבה מודיעין בחזרה שיעזור להם לזהות בעיות עם התצורה [ו]דברים שהם עשויים לרצות לשנות", הוא אומר. "אז יש יתרון מהותי לשולח לאמץ DMARC ולחשוב על הדברים האלה באופן קולקטיבי."

שלישיית טכנולוגיות אבטחת הדוא"ל זכתה לאימוץ מואץ בשנים האחרונות - במיוחד במהלך מגיפת הקורונה, כאשר חברות נאלצו לבצע פעולות מרחוק. כתוצאה מכך, לכמחצית משולחי הדוא"ל יש רשומת DMARC, אך רק 14% הגדירו את DMARC לאכוף מדיניות קפדנית של הסגר או דחייה - שנחשבת למטרה הסופית, על פי נתונים מ-Valimail, ספקית שירותי DMARC. כמחצית מכל החברות קבעו את שיא ה-DMARC שלהם כדי לאכוף מדיניות קפדנית. עם זאת, רק 1% מהדומיינים ללא מטרות רווח יש להגדיר DMARC.

הדרישות של גוגל ויאהו הן התחלה טובה, והשוק לא מוכן לדרישות מחמירות יותר. אבל סת' בלנק, קצין טכנולוגיה ראשי ב-Valimail, מקווה שספקי האימייל הגדולים יעלו את הרף במהירות.

"אני חושב שזה פנטסטי לחלוטין, אבל אני חושב שזה לא מגיע מספיק רחוק", הוא אומר. "אני נרגש עבורם להעלות את הרף, אבל מה שיש לנו עכשיו הוא חבורה של שיטות עבודה מומלצות בתעשייה שמיושמות באופן לא עקבי. יש לך כמה משולחי הכרכים הגדולים שעושים את זה טוב, ואז יש לך את כולם, וזו הסיבה שההתעללות כל כך נפוצה במערכת האקולוגית".

הרחבת האימוץ של אבטחת אימייל

בפוסט בבלוג שלה, גוגל תיארה את הדרישות שלה, כולל רשומות SPF ו-DKIM לאימות דומיינים לשליחת דוא"ל; רשומת DMARC עבור הדומיין; וכותרת "מאת" התואמת לרשומת SPF או DMARC, המכונה "יישור". בנוסף, למשווקים יש שיעורי ספאם מתחת ל-0.3% ולספק את היכולת לבטל את המנוי בקליק אחד.

גוגל תחיל את הכללים החדשים על מי ששולח יותר מ-5,000 הודעות לכתובות Gmail ביום נתון. יאהו תחיל את הדרישות על "שולחים בכמות גדולה", אך הפוסט בבלוג שלה אינו מגדיר מה מהווה שולח בכמות גדולה. יהיה צורך לעמוד בדרישות עד פברואר 2024 עבור גוגל ו"ברבעון הראשון של 2024" עבור Yahoo.

ההכרזה של גוגל, יחד עם מהלך ההתאמה של Yahoo!, פירושה שאימוץ DMARC אינו עוד הצעה, כתב לן שניידר, סגן נשיא לקשרי תעשיה ב-Twilio SendGrid, שירות שיווק בדוא"ל. בלוג על החדשות.

"גם עם החדשות של יאהו, אתה יכול לראות בזה נורמלי חדש", כתב. "הדרישות החדשות מסמנות שינוי באופן שבו התעשייה רואה אימות דוא"ל ושיטות עבודה מומלצות: מה שהיה פעם מערכת של המלצות הופך כעת לסט דרישות שניתן לאכוף."

גוגל צופה שהדרישות יובילו לאימוץ כמעט מלא של אימות דוא"ל בפלטפורמה שלה. נכון לעכשיו החברה מעבדת כ-15 מיליארד מיילים מדי יום, ומספר ההודעות הלא מאומתות ירד ב-75% מאז שהחברה דרשה שכל הודעה תהיה צורה כלשהי של אימות.

אימות הוא רק ההתחלה

המטרה של דרישות DMARC היא להבטיח שכל הדואר האלקטרוני הלגיטימי קבע רשומות DMARC עם שירות ה-DNS שלהם, ומספק מידע אימות כדי לבדוק מול הכותרות של הודעות דוא"ל שהתקבלו. כמעט כל ספק דוא"ל ידווח לבעלים הסמכותי של דומיין על יישור DMARC.

מסיבה זו, זיהוי טוב יותר של מקורות וזיהוי חזק יותר של הודעות הם המפתח לשיפור טכנולוגיית הדוא"ל, אומר Kumaran של גוגל.

"האימות עצמו אינו כדור כסף לעצירת דואר זבל, אבל מה שהוא עושה הוא שהוא מאפשר לכולם להבין טוב יותר את האימייל שזורם", הוא אומר. "אני מצפה שהמסננים יתחילו לקלוט את הדפוסים האלה, ינצלו את היתרונות של אימות ויעשו עבודה טובה יותר - אנחנו צריכים לראות את ההשפעות על פני השטח."

לאחר אימות השולח, ספקי אבטחה וספקי דוא"ל יכולים לסנן טוב יותר את התעבורה הגרועה, אומר בלנק.

"אתה שולט במי מורשה לשלוח כמוך, כלומר עד שההודעה עוברת לכל ספק תיבות דואר, בכל העולם, האימות במקום, והם יכולים לנצל את ה-DMARC," הוא אומר. "הודעות מזויפות או מאומתות לעולם אינן מגיעות לתיבות הדואר הנכנס של המשתמשים, ולכן אנו מקבלים חסינות והגנה עדרית בקנה מידה, הרחק מחוץ לגוגל ויאהו בלבד, שבהן הדרישות".

צפו לעקיפת הבעיה

למרות שהדרישות ככל הנראה יגרמו לכל חברות השיווק הלגיטימיות לכוונן את תצורות אבטחת הדוא"ל שלהן, חברות צריכות לצפות ששחקנים גרועים ימצאו דרכים עדיין לשלוח דואר זבל, דיוג ותוכנות זדוניות, אומר רף מרקוני, יועץ בכיר מנהל בישופ פוקס.

"שחקן זדוני יכול להישאר מתחת לסף או להשתמש בשירותים לגיטימיים כדי להימנע מלהיות מושפע מהדרישות", הוא אומר ומוסיף: "לדרישות החדשות האלה יש השפעה מסוימת על רמת הספאם והדיוג, אבל קשה לאמוד את זה. כמה לפני שהדרישות יושמו, ותלוי גם ביישום נכון של DKIM, SPF ו-DMARC."

בדוח שנערך לאחרונה, חברת שירותי האינטרנט Cloudflare מצאה זאת 89% מההודעות נחסמו כספאם היה לו מידע SPF, DKIM או DMARC נכון, מה שמדגיש שהטכנולוגיות הן חלק מהמשוואה, אבל לא הפתרון כולו, אומר אורן פלקוביץ, CSO בשדה של Cloudflare.

"מסיבה זו, זה חסר תועלת להסתמך אך ורק על סטנדרטים שעוקבים אחר מידע השולח כדי לזהות ולעצור מסעות פרסום", הוא אומר. "על מנת לפתור נזקים אמיתיים, צוותי אבטחה חייבים לזהות ולהיות בקרה עבור מטענים, הקבצים, הקישורים והבקשות הזדוניות המרכיבות דיוג וגורמות נזקים."

בלנק של Valimail חיזק את הנקודה הזו.

"שחקנים רעים נוטים להיות האנשים הראשונים שעוקבים אחר שיטות עבודה מומלצות", הוא אומר. "ההנחה שקיימת SPF, DKIM או DMARC פירושה שהדואר טוב היא שגויה. המשמעות של אלה היא שאנחנו יודעים ממי הגיע הדואר, וזה קריטי לקבלת החלטות מוניטין".

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/dr-tech/google-yahoo-push-dmarc-forcing-companies-to-catch-up