Google, Yahoo Push DMARC, tvingar företag att komma ikapp

I februari 2024 måste alla företag som skickar mer än 5,000 XNUMX e-postmeddelanden via Google eller Yahoo börja använda en autentiseringsteknik känd som Domain-based Message Authentication Reporting and Conformance (DMARC).

Kraven — meddelas av Google och Yahoo denna vecka — kommer dock att nå mycket längre än marknadsförare, vilket tvingar alla företag som släpar efter i deras antagande av trion av säkerhetsteknologier att komma ikapp. Företag som använder Sender Policy Framework (SPF) och DomainKeys Identified Mail (DKIM) kommer att få skydd mot identitetsstöld genom bättre autentisering, medan DMARC skapar en aviseringskanal tillbaka till domännamnsägaren för att samla in information om huruvida deras e-post är förfalskade.

Kraven från två stora leverantörer borde tvinga fler företag att använda DMARC tills antagandet når en nivå där effektivare säkerhetsåtgärder blir möjliga, säger Neil Kumaran, gruppproduktchef för Googles Gmail Security & Trust-grupp.

"Genom att anta DMARC på det sätt som vi frågar om, börjar avsändare få mycket intelligens tillbaka som hjälper dem att identifiera problem med sin konfiguration [och] saker de kanske vill ändra", säger han. "Så det finns en materiell fördel för avsändaren att anta DMARC och tänka på dessa saker tillsammans."

Trion av e-postsäkerhetstekniker har sett en snabbare användning under de senaste åren - särskilt under coronavirus-pandemin, när företag tvingades till fjärroperationer. Som ett resultat har ungefär hälften av e-postavsändare en DMARC-post, men endast 14% har satt DMARC för att upprätthålla en strikt policy för karantän eller avvisa - allmänt betraktat som slutmålet, enligt data från Valimail, en DMARC-tjänsteleverantör. Ungefär hälften av alla företag har satt sina DMARC-rekord för att upprätthålla en strikt policy. Dock bara 1 % av ideella domäner har DMARC konfigurerat.

Googles och Yahoos krav är en bra början och marknaden är inte redo för strängare krav. Men Seth Blank, teknikchef på Valimail, hoppas att stora e-postleverantörer kommer att höja ribban snabbt.

"Jag tycker att det här är helt fantastiskt, men jag tycker att det inte går tillräckligt långt", säger han. "Jag ser fram emot att de ska höja ribban, men det vi har nu är ett gäng branschpraxis som tillämpas inkonsekvent. Du har ett par av de stora volymsändarna som gör det bra, och sedan har du alla andra, vilket är anledningen till att missbruket är så utbrett i ekosystemet.”

Utvidgar användningen av e-postsäkerhet

I sitt blogginlägg beskrev Google sina krav, inklusive både SPF- och DKIM-poster för autentisering av e-postsändande domäner; en DMARC-post för domänen; och en "Från"-rubrik som matchar antingen SPF- eller DMARC-posten, känd som "alignment". Dessutom måste marknadsförare ha skräppostfrekvenser under 0.3 % och ge möjligheten att avsluta prenumerationen med ett enda klick.

Google kommer att tillämpa de nya reglerna på dem som skickar mer än 5,000 2024 meddelanden till Gmail-adresser under en viss dag. Yahoo kommer att tillämpa kraven på "bulksändare", men dess blogginlägg definierar inte vad som utgör en masssändare. Kraven kommer att behöva uppfyllas senast i februari 2024 för Google och "under det första kvartalet XNUMX" för Yahoo.

Googles tillkännagivande, tillsammans med Yahoo!s matchande drag, innebär att DMARC-antagande inte längre är ett förslag, skrev Len Shneyder, vicepresident för branschrelationer på Twilio SendGrid, en e-postmarknadsföringstjänst, i en blogg om nyheterna.

"[Med] Yahoos nyheter också kan du betrakta detta som det nya normala," skrev han. "De nya kraven markerar en förändring i hur branschen ser på e-postautentisering och bästa praxis: det som en gång var en uppsättning rekommendationer blir nu en uppsättning krav."

Google förväntar sig att kraven kommer att leda till en nästan fullständig användning av e-postautentisering på sin plattform. För närvarande behandlar företaget cirka 15 miljarder e-postmeddelanden varje dag, och antalet oautentiserade meddelanden har minskat med 75 % sedan företaget krävde att varje meddelande någon form av autentisering.

Autentisering är bara början

Målet med DMARC-kraven är att säkerställa att all legitim e-post har satt DMARC-poster med deras DNS-tjänst, vilket ger autentiseringsinformation för att kontrollera mot rubrikerna på alla mottagna e-postmeddelanden. Nästan varje e-postleverantör kommer att rapportera tillbaka information om DMARC-anpassning till den auktoritativa ägaren av en domän.

Av denna anledning är bättre identifiering av källor och starkare identifiering av meddelanden nyckeln till att förbättra e-posttekniken, säger Googles Kumaran.

"Autentisering i sig är inte en kul kula för att stoppa skräppost, men vad den gör är att den tillåter alla att få en bättre förståelse för e-postmeddelandet som flödar", säger han. "Jag förväntar mig att filter kommer att börja ta tag i dessa mönster, dra fördelarna med autentisering och göra ett bättre jobb - vi borde se effekterna över hela linjen."

När avsändarautentisering är på plats kan säkerhetsleverantörer och e-postleverantörer bättre filtrera bort den dåliga trafiken, säger Blank.

"Du har kontroll över vem som har behörighet att skicka som du, vilket innebär att när meddelandet går till en postlådeleverantör, världen över, är autentiseringen på plats och de kan dra nytta av DMARC," han säger. "Förfalskade eller autentiserade meddelanden når aldrig användarnas inkorgar, så vi får denna flockimmunitet och skydd i stor skala, långt utanför bara Google och Yahoo, där kraven finns."

Räkna med lösningar

Även om kraven sannolikt kommer att få alla legitima marknadsföringsföretag att finjustera sina e-postsäkerhetskonfigurationer, bör företag förvänta sig att dåliga aktörer kommer att hitta sätt att fortfarande skicka spam, nätfiske och skadlig programvara, säger Raf Marconi, chefskonsult hos Bishop Fox.

"En illvillig aktör kan antingen hålla sig under tröskelvärdena eller använda legitima tjänster för att undvika att påverkas av kraven", säger han och tillägger: "Dessa nya krav borde ha en viss effekt på nivån av spam och nätfiske, men det är svårt att bedöma hur mycket innan kraven har implementerats, och är också beroende av korrekt implementering av DKIM, SPF och DMARC."

I en färsk rapport fann internettjänstföretaget Cloudflare det 89 % av meddelandena blockerade som spam hade korrekt SPF-, DKIM- eller DMARC-information, vilket understryker att teknikerna är en del av ekvationen, men inte hela lösningen, säger Oren Falkowitz, fältchef för Cloudflare.

"Av denna anledning är det meningslöst att enbart förlita sig på standarder som spårar avsändarinformation för att upptäcka och stoppa kampanjer", säger han. "För att lösa verkliga skador måste säkerhetsteam identifiera och ha kontroller för nyttolaster, filerna, länkarna och skadliga förfrågningar som omfattar nätfiske och som orsakar skador."

Valimails Blank förstärkte den punkten.

"Dåliga skådespelare tenderar att vara de första som följer bästa praxis", säger han. "Antagandet att ha SPF, DKIM eller DMARC betyder att posten är bra är fel. Vad dessa betyder är att vi vet vem posten kom ifrån, och det är avgörande för att fatta ryktebeslut."

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/dr-tech/google-yahoo-push-dmarc-forcing-companies-to-catch-up