GoogleとYahooがDMARCを推進、企業の追いつきを迫る

GoogleとYahooがDMARCを推進、企業の追いつきを迫る

タイムスタンプ:6年2023月11日28:XNUMX AM
Google、Yahoo、DMARCを推進、企業にPlatoBlockchainデータインテリジェンスへの追いつきを迫る。垂直検索。あい。

2024 年 5,000 月までに、Google または Yahoo を通じて XNUMX 件を超える電子メール メッセージを送信する企業は、ドメインベースのメッセージ認証レポートおよび適合性 (DMARC) と呼ばれる認証テクノロジの使用を開始する必要があります。

要件 — によって発表されました でログイン および Yahoo しかし、今週はマーケティング担当者よりもはるかに広範囲に及ぶことになるため、XNUMX つのセキュリティ テクノロジーの導入で遅れをとっているすべての企業が追いつくことを余儀なくされます。 Sender Policy Framework (SPF) と DomainKeys Identified Mail (DKIM) を使用している企業は、より強化された認証によってなりすましから保護されます。また、DMARC はドメイン名の所有者に通知チャネルを作成して、電子メールがなりすましされているかどうかに関する情報を収集します。

Google の Gmail Security & Trust グループのグループ プロダクト マネージャーである Neil Kumaran 氏は、XNUMX つの大手プロバイダーによる要件により、より効果的なセキュリティ対策が可能になるレベルに達するまで、より多くの企業が DMARC を導入することになるだろうと述べています。

「私たちが求めている方法で DMARC を採用することで、送信者は、設定の問題や変更すべき点を特定するのに役立つ多くのインテリジェンスを取得できるようになります。」と彼は言います。 「つまり、送信者にとって DMARC を採用し、これらのことをまとめて検討することには大きなメリットがあります。」

14 つの電子メール セキュリティ テクノロジーは近年、特にコロナウイルスのパンデミックで企業がリモート運用を余儀なくされた際に導入が加速しています。 その結果、電子メール送信者の約半数が DMARC レコードを持っていますが、DMARC サービス プロバイダーである Valimail のデータによると、最終目標として広く考えられている隔離または拒否の厳格なポリシーを強制するように DMARC を設定しているのは XNUMX% だけです。 全企業の約半数が、厳格なポリシーを適用するために DMARC 記録を設定しています。 ただし、のみ 非営利ドメインの 1% DMARCを設定してください。

Google と Yahoo の要件は良いスタートではありますが、市場はさらに厳しい要件に対応する準備ができていません。 しかし、Valimail の最高技術責任者である Seth Blank 氏は、大手電子メール プロバイダーがこの水準をすぐに引き上げることを期待しています。

「これは本当に素晴らしいことだと思いますが、まだ十分ではないと思います」と彼は言います。 「彼らが基準を引き上げてくれることに興奮していますが、私たちが現在持っているのは、一貫性なく適用されている業界のベストプラクティスの束です。 大量の送信者が何人かうまくいっているのに、他の送信者もいるということは、エコシステム内で不正行為がこれほど蔓延している理由なのです。」

電子メールセキュリティの採用拡大

Google はブログ投稿の中で、電子メール送信ドメインを認証するための SPF レコードと DKIM レコードの両方を含む要件の概要を説明しました。 ドメインの DMARC レコード。 もう 0.3 つは、SPF または DMARC レコードに一致する「From」ヘッダー (「アライメント」と呼ばれます) です。 さらに、マーケティング担当者はスパム率を XNUMX% 未満にし、ワンクリックで購読を解除できる機能を提供する必要があります。

Googleは、Gmailアドレスに5,000日に2024件を超えるメッセージを送信するユーザーに新しいルールを適用する。 Yahooはこの要件を「大量送信者」に適用する予定だが、同社のブログ投稿では何が大量送信者を構成するのか定義していない。 Googleの場合は2024年XNUMX月までに、Yahooの場合は「XNUMX年の第XNUMX四半期」までに要件を満たす必要がある。

Googleの発表とYahoo!のこれに匹敵する動きは、DMARCの採用がもはや提案ではないことを意味すると電子メールマーケティングサービスTwilio SendGridの業界関係担当バイスプレジデントのレン・シュナイダー氏は書いている。 ニュースに関するブログ.

「ヤフーのニュースも含めて、これが新しい常態だと考えることができる」と彼は書いた。 「新しい要件は、電子メール認証とベスト プラクティスに対する業界の見方に変化をもたらします。かつては一連の推奨事項であったものが、現在では強制可能な一連の要件になりつつあります。」

Google は、この要件により、同社のプラットフォーム上で電子メール認証がほぼ完全に導入されることを期待しています。 現在、同社は毎日約 15 億件の電子メールを処理していますが、すべてのメッセージに認証されていないメッセージの数は 75% 減少しました。 何らかの形 認証の。

認証は単なる始まりにすぎません

DMARC 要件の目的は、すべての正規の電子メールが DNS サービスで DMARC レコードを設定し、受信した電子メール メッセージのヘッダーと照合するための認証情報を提供することを保証することです。 ほぼすべての電子メール プロバイダーは、DMARC 調整に関する情報をドメインの権限のある所有者に報告します。

このため、送信元の識別を改善し、メッセージをより強力に識別することが電子メール技術を向上させる鍵となるとGoogleのクマラン氏は述べている。

「認証自体はスパムを阻止する特効薬ではありませんが、認証により、流れてくる電子メールを誰もがよりよく理解できるようになります」と彼は言います。 「フィルタがこれらのパターンを検出し始め、認証の利点を活用し、より良い仕事をするようになると予想しています。全体的な影響を確認する必要があります。」

ブランク氏によると、送信者認証が導入されると、セキュリティ ベンダーや電子メール プロバイダーは不正なトラフィックをより適切にフィルタリングできるようになります。

「あなたは、誰に自分として送信する権限を与えるかを制御できます。つまり、メッセージが世界中のメールボックス プロバイダーに送信されるまでに、認証が行われ、プロバイダーは DMARC を利用できるようになります。」と彼は言います。と言う。 「なりすましや認証されたメッセージがユーザーの受信箱に届くことはありません。そのため、Google や Yahoo だけの要件をはるかに超えて、この集団免疫と保護を大規模に実現しています。」

回避策を期待する

この要件により、すべての正規のマーケティング会社は電子メールのセキュリティ設定を調整することになる可能性が高いが、企業は悪意のある者が引き続きスパム、フィッシング、マルウェアを送信する方法を見つけることを予期する必要がある、とビショップ・フォックスのマネージング・シニア・コンサルタント、ラフ・マルコーニ氏は言う。

「悪意のある攻撃者は、要件の影響を回避するために、しきい値を下回るか、正規のサービスを使用するかのいずれかになります」と彼は言い、さらに次のように付け加えています。「これらの新しい要件は、スパムやフィッシングのレベルに何らかの影響を与えるはずですが、それを評価するのは困難です」要件が実装されるまでにどの程度かかるか、また DKIM、SPF、DMARC が適切に実装されているかどうかにも依存します。」

最近のレポートで、インターネット サービス会社 Cloudflare は次のことを発見しました。 メッセージの 89% がスパムとしてブロックされる CloudflareのフィールドCSOであるOren Falkowitz氏は、「これらのテクノロジーは方程式の一部ではあるが、ソリューション全体ではないことを強調しており、正しいSPF、DKIM、またはDMARC情報を持っていた」と述べています。

「このため、キャンペーンを検出して阻止するために、送信者情報を追跡する標準だけに依存するのは無駄です」と彼は言います。 「実際の被害を解決するには、セキュリティ チームがフィッシングを構成し損害を引き起こすペイロード、ファイル、リンク、悪意のあるリクエストを特定し、管理する必要があります。」

Valimail の Blank はその点を強化しました。

「悪意のある者は、最初にベスト プラクティスに従う傾向があります」と彼は言います。 「SPF、DKIM、または DMARC があればメールが良好であるという前提は間違っています。 これらが意味するのは、そのメールが誰から来たのかを私たちが知っているということであり、それは評判を決定する上で非常に重要です。」

タイムスタンプ:

より多くの 暗い読書