新 Email 驗證協定與聯盟 DMARC

Email 寄發這件事情, 寄件人的資訊是可以偽造的, 於是有很多相關的驗證方法, 於是有很多方法用來確定寄件人、主機是正確的, 而不是被冒用的, 常見的方法有下述幾種:

• SPF (Sender Policy Framework)
• DomainKeys
• DKIM (DomainKeys Identified Mail)

DMARC (Domain-based Message Authentication, Reporting & Conformance) 簡介

SPF、DomainKeys、DKIM 這幾種方法, 目前看起來好像都還不太夠(或者說, 隨著時間會有新的問題出現). 最近 Google、Microsoft、Yahoo!、Facebook、AOL、PayPal、Linkedin... 等 15家 於 2012-01-30 宣布加入 DMARC.org (Domain-based Message Authentication, Reporting & Conformance) 組織, 將合作推廣新的 Email 驗證協定, 一起解決 垃圾郵件(Spam Mail)、釣魚郵件(Phishing Mail) 的問題.

每間公司都有對 Email 驗證、Spam 回報有相對應的回報方式, 每間都不一樣, DMARC 主要就是提出一套驗證方法, 希望這個方法可以變成標準, 在發現有問題的 Email, 有一致的確認與回報方式, 於是就可以更進一層的過濾 Spam mail、Phishing mail.

• DMARC 聯盟的詳細內容: DMARC.org - Domain-based Message Authentication, Reporting and Conformance

DMARC 相關新聞

下述摘錄自此篇: DMARC聯盟成軍 打擊網路釣魚

電子郵件市場研究機構Osterman Research總裁奧斯特曼表示，對於大型銀行或零售商而言，要取得用戶的信任相當重要，必須讓收件者相信所發送的訊息安全無虞。他認為，過去維護電子郵件安全技術成果有限，反觀DMARC「頗具潛力」。但麥道威爾坦言，即便聯盟策略奏效，也不代表電子郵件詐欺就此杜絕，只能說駭客或垃圾郵件業者必須尋找新的方式來展開攻擊。

下述摘錄自此篇: 對抗釣魚郵件！ 網路巨頭攜手推廣 DMARC

• 根據 Google 表示，Gmail 已經實施 DMARC 協定將近兩年，幾家大型網站如 Facebook、LinkedIn、PayPal 等也已加入。如今 Gmail 內約有 15% 的郵件受到 DMARC 保護，這些郵件真實性受到確認，只要有越多的網路公司採用 DMARC 協定，就有越多的郵件確保安全。
• DMARC 協定將公開發布於網域名稱系統（Domain Name System, DNS）上，所有人都可使用，目前 DMARC.org 正進行將規格草案提交給網際網路工程任務組（Internet Engineering Task Force，IETF），以便早日讓 DMARC 成為網際網路標準。

下述摘錄自此篇: Google、Facebook、Microsoft 聯盟，對抗 eMail 垃圾和詐騙

• DMARC 的全名是「Domain-based Message Authentication, Reporting & Conformance」，它本身就是一個新的技術規範的名字，用來解決與電子郵件認証協定相關的運作、部署和報告的問題，從而降低電子郵件的濫用。而小編也拿來稱呼這個聯盟。
• 其實相關的安全機制早就有了(例如 SFP)，不過 DMARC 以既有的機制為基礎，讓電子郵件的驗証更快速、方便，也讓發信方、收信方之間的合作更緊密。而且還有一個重點，讓發信方、收信方在發現有問題的郵件時，有個統一的回報機制，讓成員可以持續了解電子郵件濫用的手法。
• 早在去年11月時，Google、Microsoft、Yahoo、AOL 就已經跟 Agari 合作，提供資料給 Agari 研究電子郵件釣魚式攻擊的模式，當時的 Agari 每天會收集到大約15億封的訊息。然後把研究結果提供給包括 Facebook 在內的數十家電子商務網站或社群網站，而這些合作者也可以進入 Agari 的後台去看看電子郵件詐騙的活動狀況。也就是說，因為電子商務網站或是社群網站是詐騙者喜歡偽裝的對象，用來騙取網站會員的個人資料或是財務資料，所以 Google 等等數家電子郵件服務商，就自發性的來協助這些網站，降低各網站會員們受害的狀況。

下述摘錄自此篇: PayPal,雅虎,谷歌等公司結盟打擊垃圾郵件和郵件詐騙

• 網路釣魚是指向用戶發送電郵，欺騙用戶提供包括信用卡賬號在內的敏感信息。該聯盟名為DMARC（DMARC.org），為功能變數名稱消息認證、鑒別、報告和一致(Domain-based Message Authentication, Reporting and Conformance)的首字母縮寫，旨在制定新電郵標準防止釣魚事件的發生 DMARC基於現有技術，包括發送方策略框架 (Sender Policy Framework) 、功能變數名稱密鑰郵件確 (DomainKeys Identified Mail，DKIM)，這兩個都是常用郵件安全協議，SPF確認電郵發送方的IP地址，DKIM則審查電郵內容結構，並與真實發送方的編碼信息進行比對。
• 麥克道爾重申，DMARC的目標–至少是目前–就是捍衛合法功能變數名稱，而不是處理拼寫偽裝功能變數名稱，騙子使用看起來像普通功能變數名稱的功能變數名稱進行攻擊，但其實該功能變數名稱在拼寫上與合法功能變數名稱有略微差別。
  “當郵件發接雙方都採用了DMARC標準後，功能變數名稱釣魚攻擊就會被杜絕。”麥克道爾稱。

作者: Tsung

對新奇的事物都很有興趣, 喜歡簡單的東西, 過簡單的生活. 檢視「Tsung」的全部文章