گوگل، یاہو پش DMARC، کمپنیوں کو پکڑنے پر مجبور کر رہا ہے۔

فروری 2024 تک، گوگل یا یاہو کے ذریعے 5,000 سے زیادہ ای میل پیغامات بھیجنے والی کسی بھی کمپنی کو ڈومین بیسڈ میسج اوتھنٹیکیشن رپورٹنگ اینڈ کنفارمنس (DMARC) کے نام سے ایک تصدیقی ٹیکنالوجی کا استعمال شروع کرنا ہوگا۔

ضروریات - کی طرف سے اعلان کیا گوگل اور یاہو اس ہفتے — مارکیٹرز کے مقابلے میں بہت آگے تک پہنچ جائے گا، تاہم، تمام کمپنیوں کو اپنی حفاظتی ٹیکنالوجیز کی تینوں کو اپنانے میں پیچھے رہنے پر مجبور کرے گا۔ بھیجنے والے پالیسی فریم ورک (SPF) اور DomainKeys Identified Mail (DKIM) کا استعمال کرنے والے کاروباری اداروں کو بہتر تصدیق کے ذریعے نقالی کے خلاف تحفظ حاصل ہوگا، جبکہ DMARC ڈومین نام کے مالک کے پاس ایک نوٹیفکیشن چینل بناتا ہے تاکہ اس بارے میں معلومات اکٹھی کی جا سکے کہ آیا ان کی ای میل کو جعلی بنایا جا رہا ہے۔

گوگل کے جی میل سیکیورٹی اینڈ ٹرسٹ گروپ کے گروپ پروڈکٹ مینیجر نیل کمارن کا کہنا ہے کہ دو بڑے فراہم کنندگان کی ضروریات کو مزید کمپنیوں کو DMARC کو اپنانے کے لیے دباؤ ڈالنا چاہیے جب تک کہ گود لینے کی اس سطح تک نہ پہنچ جائے جہاں زیادہ مؤثر حفاظتی اقدامات ممکن ہو جائیں۔

"DMARC کو ان طریقوں سے اپنانے سے جو ہم پوچھ رہے ہیں، بھیجنے والوں کو بہت زیادہ انٹیلی جنس واپس ملنا شروع ہو جاتی ہے جس سے انہیں ان کی کنفیگریشن [اور] چیزوں کے ساتھ مسائل کی نشاندہی کرنے میں مدد ملے گی جو وہ تبدیل کرنا چاہتے ہیں،" وہ کہتے ہیں۔ "لہذا بھیجنے والے کو DMARC کو اپنانے اور ان چیزوں کے بارے میں اجتماعی طور پر سوچنے کا مادی فائدہ ہے۔"

ای میل سیکیورٹی ٹیکنالوجیز کی تینوں نے حالیہ برسوں میں تیزی سے اپنانے کو دیکھا ہے - خاص طور پر کورونا وائرس وبائی مرض کے دوران، جب کمپنیوں کو دور دراز سے کام کرنے پر مجبور کیا گیا تھا۔ نتیجے کے طور پر، تقریباً نصف ای میل بھیجنے والوں کے پاس DMARC ریکارڈ ہے، لیکن صرف 14% نے DMARC کو قرنطینہ یا مسترد کرنے کی سخت پالیسی کو نافذ کرنے کے لیے سیٹ کیا ہے — بڑے پیمانے پر آخری مقصد سمجھا جاتا ہے، DMARC سروس فراہم کرنے والے ولی میل کے ڈیٹا کے مطابق۔ تمام کمپنیوں میں سے تقریباً نصف نے سخت پالیسی کو نافذ کرنے کے لیے اپنا DMARC ریکارڈ قائم کیا ہے۔ تاہم، صرف غیر منفعتی ڈومینز کا 1% ڈی ایم اے آر سی قائم کیا ہے۔

گوگل اور یاہو کی ضروریات ایک اچھی شروعات ہیں، اور مارکیٹ زیادہ سخت ضروریات کے لیے تیار نہیں ہے۔ لیکن ولی میل کے چیف ٹیکنالوجی آفیسر سیٹھ بلینک کو امید ہے کہ بڑے ای میل فراہم کرنے والے اس بار کو تیزی سے بڑھا دیں گے۔

"میرے خیال میں یہ بالکل لاجواب ہے، لیکن مجھے لگتا ہے کہ یہ کافی زیادہ نہیں ہے،" وہ کہتے ہیں۔ "میں بار بڑھانے کے لیے ان کے لیے پرجوش ہوں، لیکن اب ہمارے پاس جو کچھ ہے وہ صنعت کے بہترین طریقوں کا ایک گروپ ہے جو متضاد طور پر لاگو ہوتے ہیں۔ آپ کے پاس کچھ بڑے حجم بھیجنے والے اچھے کام کر رہے ہیں، اور پھر آپ کو باقی سب مل گئے ہیں، یہی وجہ ہے کہ ماحولیاتی نظام میں بدسلوکی بہت زیادہ ہے۔"

ای میل سیکیورٹی کے اختیار کو بڑھانا

اپنی بلاگ پوسٹ میں، گوگل نے اپنی ضروریات کا خاکہ پیش کیا، بشمول ای میل بھیجنے والے ڈومینز کی تصدیق کے لیے SPF اور DKIM دونوں ریکارڈز؛ ڈومین کے لیے DMARC ریکارڈ؛ اور ایک "منجانب" ہیڈر جو یا تو SPF یا DMARC ریکارڈ سے میل کھاتا ہے، جسے "الائنمنٹ" کہا جاتا ہے۔ اس کے علاوہ، مارکیٹرز کے پاس اسپام کی شرح 0.3% سے کم ہونی چاہیے اور وہ ایک کلک کے ساتھ ان سبسکرائب کرنے کی صلاحیت فراہم کرتے ہیں۔

گوگل نئے قوانین کا اطلاق ان لوگوں پر کرے گا جو ایک دن میں جی میل ایڈریس پر 5,000 سے زیادہ پیغامات بھیجتے ہیں۔ Yahoo ضروریات کو "بلک بھیجنے والوں" پر لاگو کرے گا، لیکن اس کی بلاگ پوسٹ اس بات کی وضاحت نہیں کرتی ہے کہ بلک بھیجنے والے کی تشکیل کیا ہے۔ گوگل کے لیے فروری 2024 تک اور یاہو کے لیے "2024 کی پہلی سہ ماہی میں" ضروریات کو پورا کرنے کی ضرورت ہوگی۔

یاہو کے مماثل اقدام کے ساتھ ساتھ گوگل کے اعلان کا مطلب ہے کہ ڈی ایم اے آر سی کو اپنانا اب کوئی تجویز نہیں ہے، ای میل مارکیٹنگ سروس ٹویلیو سینڈ گرڈ میں انڈسٹری ریلیشنز کے نائب صدر لین شنائیڈر نے لکھا۔ خبروں کے بارے میں ایک بلاگ.

"[W] Yahoo کی خبروں کے ساتھ بھی، آپ اسے نیا معمول سمجھ سکتے ہیں،" انہوں نے لکھا۔ "نئی تقاضے اس تبدیلی کی نشاندہی کرتے ہیں کہ صنعت کس طرح ای میل کی توثیق اور بہترین طریقوں کو دیکھتی ہے: جو کبھی سفارشات کا ایک مجموعہ تھا اب تقاضوں کا ایک قابل نفاذ سیٹ بن رہا ہے۔"

گوگل کو توقع ہے کہ ضروریات اس کے پلیٹ فارم پر ای میل کی توثیق کے قریب قریب مکمل طور پر اپنانے کا باعث بنیں گی۔ فی الحال کمپنی ہر روز تقریباً 15 بلین ای میلز پر کارروائی کرتی ہے، اور غیر تصدیق شدہ پیغامات کی تعداد میں 75 فیصد کمی آئی ہے کیونکہ کمپنی کا تقاضا تھا کہ ہر پیغام کچھ شکل تصدیق کی.

توثیق صرف آغاز ہے۔

DMARC کے تقاضوں کا مقصد یہ یقینی بنانا ہے کہ تمام جائز ای میلز نے اپنی DNS سروس کے ساتھ DMARC ریکارڈز مرتب کر لیے ہیں، کسی بھی موصول ہونے والے ای میل پیغامات کے ہیڈرز کے خلاف جانچ کے لیے تصدیقی معلومات فراہم کرتے ہیں۔ تقریباً ہر ای میل فراہم کنندہ ڈومین کے مستند مالک کو DMARC الائنمنٹ کے بارے میں معلومات واپس رپورٹ کرے گا۔

گوگل کے کماران کا کہنا ہے کہ اس وجہ سے، ذرائع کی بہتر شناخت اور پیغامات کی مضبوط شناخت ای میل ٹیکنالوجی کو بہتر بنانے کی کلید ہے۔

"توثیق بذات خود سپیم کو روکنے کے لیے چاندی کی گولی نہیں ہے، لیکن یہ جو کرتا ہے وہ یہ ہے کہ ہر ایک کو اس ای میل کی بہتر تفہیم حاصل کرنے کی اجازت ملتی ہے جو بہتی ہے،" وہ کہتے ہیں۔ "میں توقع کرتا ہوں کہ فلٹرز ان نمونوں کو حاصل کرنا شروع کر دیں گے، توثیق کے فوائد حاصل کریں گے، اور ایک بہتر کام کریں گے - ہمیں بورڈ پر اثرات کو دیکھنا چاہیے۔"

بلینک کا کہنا ہے کہ ایک بار بھیجنے والے کی توثیق کے بعد، سیکورٹی وینڈرز اور ای میل فراہم کرنے والے خراب ٹریفک کو بہتر طریقے سے فلٹر کر سکتے ہیں۔

"آپ کے کنٹرول میں ہے کہ آپ کے طور پر بھیجنے کا اختیار کس کو ہے، جس کا مطلب ہے کہ جب پیغام کسی بھی میل باکس فراہم کنندہ کو جاتا ہے، دنیا بھر میں، توثیق ہوتی ہے، اور وہ DMARC کا فائدہ اٹھانے کے قابل ہوتے ہیں،" وہ کا کہنا ہے کہ. "جھوٹی یا توثیق شدہ پیغامات کبھی بھی صارفین کے ان باکسز میں نہیں پہنچتے، اور اس لیے ہمیں یہ ریوڑ سے استثنیٰ اور تحفظ حاصل ہوتا ہے، صرف Google اور Yahoo سے باہر، جہاں ضروریات ہیں۔"

حل کی توقع کریں۔

بشپ فاکس کے سینئر کنسلٹنٹ مینیجنگ راف مارکونی کا کہنا ہے کہ جب کہ تقاضوں سے ممکنہ طور پر تمام جائز مارکیٹنگ فرموں کو ان کی ای میل سیکیورٹی کنفیگریشنز کو ٹیون اپ کرنے کا موقع ملے گا، کمپنیوں کو یہ توقع رکھنی چاہیے کہ برے اداکار اب بھی اسپام، فشنگ اور مالویئر بھیجنے کے طریقے تلاش کریں گے۔

"ایک بدنیتی پر مبنی اداکار یا تو حد سے نیچے رہ سکتا ہے یا تقاضوں سے متاثر ہونے سے بچنے کے لیے جائز خدمات کا استعمال کر سکتا ہے،" وہ کہتے ہیں، "ان نئی ضروریات کا سپیم اور فشنگ کی سطح پر کچھ اثر ہونا چاہیے، لیکن اس کا اندازہ لگانا مشکل ہے۔ ضروریات کو لاگو کرنے سے پہلے کتنا، اور DKIM، SPF، اور DMARC کے مناسب نفاذ پر بھی منحصر ہے۔

ایک حالیہ رپورٹ میں، انٹرنیٹ سروسز فرم Cloudflare نے پایا 89% پیغامات اسپام کے بطور مسدود ہیں۔ کلاؤڈ فلیئر کے فیلڈ سی ایس او اورین فالکووٹز کا کہنا ہے کہ ان کے پاس درست SPF، DKIM یا DMARC معلومات تھیں، جو اس بات پر زور دیتے ہوئے کہ ٹیکنالوجیز مساوات کا حصہ ہیں، لیکن مکمل حل نہیں ہیں۔

"اس وجہ سے، مہمات کا پتہ لگانے اور روکنے کے لیے صرف ان معیارات پر انحصار کرنا فضول ہے جو بھیجنے والے کی معلومات کو ٹریک کرتے ہیں،" وہ کہتے ہیں۔ "حقیقی نقصانات کو حل کرنے کے لیے، سیکیورٹی ٹیموں کو پے لوڈز، فائلوں، لنکس، اور بدنیتی پر مبنی درخواستوں کی شناخت اور ان پر کنٹرول ہونا چاہیے جن میں فشنگ شامل ہے اور جو نقصانات کا سبب بنتی ہیں۔"

ولی میل کے بلینک نے اس نکتے کو تقویت دی۔

"برے اداکار بہترین طریقوں پر عمل کرنے والے پہلے لوگ ہوتے ہیں،" وہ کہتے ہیں۔ "یہ مفروضہ کہ SPF، DKIM، یا DMARC ہونے کا مطلب ہے کہ میل اچھا ہے۔ ان کا مطلب یہ ہے کہ ہم جانتے ہیں کہ یہ میل کس کی طرف سے آئی ہے، اور یہ شہرت کے فیصلے کرنے کے لیے اہم ہے۔"

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
• پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
• پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/dr-tech/google-yahoo-push-dmarc-forcing-companies-to-catch-up