新 Email 驗證協定與聯盟 DMARC

Email 寄發這件事情, 寄件人的資訊是可以偽造的, 於是有很多相關的驗證方法, 於是有很多方法用來確定寄件人、主機是正確的, 而不是被冒用的, 常見的方法有下述幾種:

  • SPF (Sender Policy Framework)
  • DomainKeys
  • DKIM (DomainKeys Identified Mail)

DMARC (Domain-based Message Authentication, Reporting & Conformance) 簡介

SPF、DomainKeys、DKIM 這幾種方法, 目前看起來好像都還不太夠(或者說, 隨著時間會有新的問題出現). 最近 Google、Microsoft、Yahoo!、Facebook、AOL、PayPal、Linkedin... 等 15家 於 2012-01-30 宣布加入 DMARC.org (Domain-based Message Authentication, Reporting & Conformance) 組織, 將合作推廣新的 Email 驗證協定, 一起解決 垃圾郵件(Spam Mail)、釣魚郵件(Phishing Mail) 的問題.

每間公司都有對 Email 驗證、Spam 回報有相對應的回報方式, 每間都不一樣, DMARC 主要就是提出一套驗證方法, 希望這個方法可以變成標準, 在發現有問題的 Email, 有一致的確認與回報方式, 於是就可以更進一層的過濾 Spam mail、Phishing mail.

DMARC 相關新聞

下述摘錄自此篇: DMARC聯盟成軍 打擊網路釣魚

電子郵件市場研究機構Osterman Research總裁奧斯特曼表示,對於大型銀行或零售商而言,要取得用戶的信任相當重要,必須讓收件者相信所發送的訊息安全無虞。他認為,過去維護電子郵件安全技術成果有限,反觀DMARC「頗具潛力」。但麥道威爾坦言,即便聯盟策略奏效,也不代表電子郵件詐欺就此杜絕,只能說駭客或垃圾郵件業者必須尋找新的方式來展開攻擊。

下述摘錄自此篇: 對抗釣魚郵件! 網路巨頭攜手推廣 DMARC

  • 根據 Google 表示,Gmail 已經實施 DMARC 協定將近兩年,幾家大型網站如 Facebook、LinkedIn、PayPal 等也已加入。如今 Gmail 內約有 15% 的郵件受到 DMARC 保護,這些郵件真實性受到確認,只要有越多的網路公司採用 DMARC 協定,就有越多的郵件確保安全。
  • DMARC 協定將公開發布於網域名稱系統(Domain Name System, DNS)上,所有人都可使用,目前 DMARC.org 正進行將規格草案提交給網際網路工程任務組(Internet Engineering Task Force,IETF),以便早日讓 DMARC 成為網際網路標準。

下述摘錄自此篇: Google、Facebook、Microsoft 聯盟,對抗 eMail 垃圾和詐騙

  • DMARC 的全名是「Domain-based Message Authentication, Reporting & Conformance」,它本身就是一個新的技術規範的名字,用來解決與電子郵件認証協定相關的運作、部署和報告的問題,從而降低電子郵件的濫用。而小編也拿來稱呼這個聯盟。
  • 其實相關的安全機制早就有了(例如 SFP),不過 DMARC 以既有的機制為基礎,讓電子郵件的驗証更快速、方便,也讓發信方、收信方之間的合作更緊密。而且還有一個重點,讓發信方、收信方在發現有問題的郵件時,有個統一的回報機制,讓成員可以持續了解電子郵件濫用的手法。
  • 早在去年11月時,Google、Microsoft、Yahoo、AOL 就已經跟 Agari 合作,提供資料給 Agari 研究電子郵件釣魚式攻擊的模式,當時的 Agari 每天會收集到大約15億封的訊息。然後把研究結果提供給包括 Facebook 在內的數十家電子商務網站或社群網站,而這些合作者也可以進入 Agari 的後台去看看電子郵件詐騙的活動狀況。也就是說,因為電子商務網站或是社群網站是詐騙者喜歡偽裝的對象,用來騙取網站會員的個人資料或是財務資料,所以 Google 等等數家電子郵件服務商,就自發性的來協助這些網站,降低各網站會員們受害的狀況。

下述摘錄自此篇: PayPal,雅虎,谷歌等公司結盟打擊垃圾郵件和郵件詐騙

  • 網路釣魚是指向用戶發送電郵,欺騙用戶提供包括信用卡賬號在內的敏感信息。該聯盟名為DMARC(DMARC.org),為功能變數名稱消息認證、鑒別、報告和一致(Domain-based Message Authentication, Reporting and Conformance)的首字母縮寫,旨在制定新電郵標準防止釣魚事件的發生 DMARC基於現有技術,包括發送方策略框架 (Sender Policy Framework) 、功能變數名稱密鑰郵件確 (DomainKeys Identified Mail,DKIM),這兩個都是常用郵件安全協議,SPF確認電郵發送方的IP地址,DKIM則審查電郵內容結構,並與真實發送方的編碼信息進行比對。
  • 麥克道爾重申,DMARC的目標–至少是目前–就是捍衛合法功能變數名稱,而不是處理拼寫偽裝功能變數名稱,騙子使用看起來像普通功能變數名稱的功能變數名稱進行攻擊,但其實該功能變數名稱在拼寫上與合法功能變數名稱有略微差別。
    “當郵件發接雙方都採用了DMARC標準後,功能變數名稱釣魚攻擊就會被杜絕。”麥克道爾稱。

關於 Tsung

對新奇的事物都很有興趣, 喜歡簡單的東西, 過簡單的生活.
本篇發表於 News_Security 並標籤為 , , 。將永久鏈結加入書籤。

新 Email 驗證協定與聯盟 DMARC 有 2 則回應

  1. LittleCho 說道:

    目前似乎可看到的訊息有限,但應該就如您所介紹的為加強電子郵件來源身分驗證為主..看來日後的攻擊行為應該會越來越針對"盜用帳號"來走..只要盜用使用者的身分識別,以目前的機制也很難去確認是否真為本人..電子郵件簽章的技術目前似乎各大webmail也幾乎不支援..

    • Tsung 說道:

      如果帳號都被盜用, 那就讓他寄吧. XD

      只是一般都會有另外一層簡單的防堵機制(ex: 一天寄信上限幾封), 所以要寄送應該也不會太多.

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步瞭解 Akismet 如何處理網站訪客的留言資料