DMARC nasıl onarılır?

DMARC mekanizmasının dezavantajları vardır, ancak bunları ortadan kaldıracak bir teknoloji geliştirdik.

E-postanın tarihi boyunca insanlar, alıcıları dolandırıcılık amaçlı (çoğunlukla kimlik avı) e-postalardan korumak için tasarlanmış birçok teknoloji geliştirdiler. DomainKeys Identified Mail (DKIM) ve Sender Policy Framework (SPF) önemli dezavantajlara sahipti, bu nedenle Domain-based Message Authentication Reporting and Conformance (DMARC) posta kimlik doğrulama mekanizması, sahte alan adları üzerinden gönderilen e-postaları tanımlamak için tasarlandı. Ancak DMARC’nin ideal bir çözüm olmaktan uzak olduğu da ortaya çıktı. Bu nedenle, araştırmacılarımız DMARC’ın dezavantajlarını ortadan kaldırmak için ek bir teknoloji geliştirdiler.

DMARC nasıl çalışır?

Başkalarının, çalışanlarının adlarını kullanarak e-posta göndermesini engellemek isteyen bir şirket, DNS kaynak kaydında DMARC’i yapılandırabilir. Aslında bu, e-posta alıcılarının “Kimden:” başlığındaki alan adının DKIM ve SPF’deki ile aynı olduğundan emin olmalarına olanak tanır. Ayrıca bu kayıt, e-posta sunucularının doğrulamayı geçemeyen iletilerle ilgili raporları gönderdiği adresi gösterir (örneğin, bir hata oluştuğunda veya bir göndericiyi taklit etme girişimi tespit edildiğinde).

Aynı kaynak kaydında, denetimi geçememesi halinde iletiye ne olacağını belirlemek için DMARC ilkesi de yapılandırabilirsiniz. Bu tür durumları kapsayan üç DMARC ilkesi vardır.

  • E-postayı Reddetmek en katı ilkedir. DMARC kontrolünü geçmeyen tüm e-postaları engellemek için bunu seçin.
  • Karantina ilkesi ile e-posta sağlayıcısının ayarlarına bağlı olarak, e-posta ya istenmeyen posta klasörüne düşer ya da gelen kutusunda şüpheli olarak işaretlenir.
  • Hiçbiri ilkesi, göndericiye bir rapor gönderilse de, e-postanın alıcının gelen kutusuna normal şekilde ulaşmasını sağlayan moddur.

DMARC’nin dezavantajları

Genel olarak, DMARC yeterlidir. Teknoloji, kimlik avını çok daha zor hale getiriyor. Ancak bir sorunu çözerken, bu çözüm bir diğer soruna neden olur: Yanlış pozitifler. Geçerli e-postalar, iki durumda engellenebilir veya spam olarak işaretlenebilir:

  • Yönlendirilen mesajlar. Bazı e-posta sistemleri, iletilerin bir kaç e-postanın gelen kutusundan yönlendirilmesi veya ara posta ağları (merkez noktaları) arasında yeniden yönlendirilmesi halinde, yönlendirilen iletilerin SPF ve DKIM imzalarını bozar.
  • Yanlış ayarlar. E-posta sunucusu yöneticilerinin, DKIM ve SPF’yi yapılandırırken hata yapması alışılmadık bir durum değildir.

İş e-postası söz konusu olduğunda, hangi senaryonun daha kötü olduğunu söylemek zordur: Bir kimlik avı e-postasına izin vermek veya geçerli bir e-postayı engellemek.

DMARC’nin kusurlarını gidermeye yönelik yaklaşımımız

Bu teknolojinin tartışmasız bir şekilde faydalı olduğunu düşünüyoruz, bu nedenle yanlış pozitifleri en aza indirgemek için sağladığı faydaları ortadan kaldırmadan, makine öğrenimi teknolojisini doğrulama sürecine dahil ederek DMARC’ı güçlendirmeye karar verdik. Gelin bu taktiğe biraz daha yakından bakalım.

Kullanıcılar e-posta oluştururken, Microsoft Outlook gibi bir E-Posta Kullanıcı Arabirimi (MUA) kullanırlar. MUA, iletiyi oluşturmaktan ve daha fazla yönlendirme için E-posta Aktarım Temsilcisi’ne (MTA) göndermekten sorumludur. MUA, gerekli teknik başlıkları ileti gövdesine, konuya ve alıcı adresine (kullanıcı tarafından doldurulur) ekler.

Saldırganlar, güvenlik sistemlerini aşmak için genellikle kendi MUA’larını kullanır. Çoğunlukla bunlar, belirli bir şablona göre iletileri oluşturan ve dolduran kendilerinin yaptığı e-posta motorlarıdır. Örneğin, e-posta iletileri ve içerikleri için teknik başlıklar oluştururlar. Her MUA’nın kendi “el yazısı” vardır.

Gelen e-posta DMARC kontrolünü geçemezse, teknolojimiz devreye girer. Cihazdaki güvenlik çözümüne bağlanan bir bulut hizmeti üzerinde çalışır. Teknolojimiz bir sinir ağı kullanarak üstbilgi dizisinin yanı sıra X-Mailer ve Message-ID başlıklarının içeriğinin ileri analizine başlar ve böylece çözümümüzün geçerli bir e-postayı kimlik avından ayırmasına olanak tanır. Bu teknoloji, büyük bir e-posta mesajı arşivi üzerinde eğitildi (yaklaşık 140 milyon mesaj, bunların% 40’ı spam idi).

DMARC teknolojisi ve makine öğreniminin birleşimi, yanlış pozitiflerin sayısını en aza indirirken kullanıcının kimlik avı saldırılarından korunmasına yardımcı olur. Antispam bileşenine sahip ürünlerimizin her birine bu teknolojiyi uyguladık:Kaspersky Security for Microsoft Exchange Server, Kaspersky Security for Linux Mail Server, Kaspersky Security for Mail Gateway (Kaspersky Total Security for Business ürününün bir parçası olan) ve Kaspersky Security for Microsoft Office 365.

İpuçları