在谷歌和雅虎开始要求使用 DMARC 一年后,电子邮件验证规范的采用率翻了一番;但仍有 87% 的域名未受保护。
在谷歌和雅虎强制批量电子邮件发送者实施基于域的消息验证、报告和一致性(DMARC)标准一年后,域中采用 DMARC 的比率翻了一番,尽管许多相同的电子邮件威胁仍在成功发送有效载荷或将不警惕的用户重定向到钓鱼网站。
采用率的提高始于 2024 年 2 月,当时谷歌和雅虎开始要求批量电子邮件发送者(定义为每天发送 5000 封以上电子邮件的任何公司)使用 DMARC。电子邮件验证标准使用两种验证规范--发件人策略框架(SPF)和域名密钥识别邮件(DKIM)--来确认电子邮件来自授权的电子邮件服务器,并代表声称的发件人。这项技术大大降低了伪造合法公司或品牌电子邮件的难度。
根据网络防御公司 Red Sift 2 月 5 日发布的数据,在过去一年中,采用 DMARC 的域名增加了约 230 万个,但仍有约 87% 的域名没有 DMARC 记录。采用情况也参差不齐,奥地利、日本和印度尼西亚的一些组织增长最快,而上市公司的增长最为显著。
Red Sift公司弹性战略常务董事肖恩-科斯蒂根(Sean Costigan)说,虽然DMARC的采用率翻了一番是一个重大成功,但私营部门还需要做得更好。
他说:"DMARC 被认为是许多行业网络成熟度的指标,而我们仍处于早期阶段--例如,医疗保健行业的采用率还很难超过 40% 到 50%,"他补充说,"广泛、管理得当的 DMARC 采用将减少欺骗、网络钓鱼和其他形式的网络攻击。
来源:Red Sift 以Red Sift
为例,Google 的问题电子邮件大幅减少。2024 年,Gmail 用户看到的未经验证的电子邮件减少了 2650 亿封,减少了约 65%。谷歌集团产品经理尼尔-库玛兰(Neil Kumaran)说,2024 年的假期通常是网络钓鱼攻击激增的季节,但用户遇到的诈骗却减少了 35%。
"他说:"我们认为,这些改进极大地促进了电子邮件生态系统的整体健康。"实际上,我们看到业界正在接受这些要求,看到它们对于提高每个人的健康生态系统是多么重要。"
DMARC 采用速度可能加快
大型电子邮件发送者并不是唯一加快 DMARC 采用速度的群体。Red Sift 的 Costigan 说,最新的支付卡行业数据安全标准(PCI DSS)4.0 版要求所有处理信用卡信息的组织都必须采用 DMARC,而欧盟的《数字运行恢复法案》(DORA)规定,DMARC 具有报告和阻止电子邮件冒充行为的能力,因此是必要的。
"他说:"强制性法规和立法往往是大多数组织的临界点。"如果不采取合理、主动的网络安全措施(电子邮件安全和 DMARC 显然是其中的一部分),很可能会遭遇代价高昂的监管行动和集体诉讼。
安全意识和培训公司 KnowBe4 的数据驱动防御布道者罗杰-格兰姆斯(Roger Grimes)说,总体而言,验证规范正在按预期运行,这也是它被迅速采用的原因。他认为,DNSSEC 和 IPSEC 等其他网络安全标准存在的时间更长,但 DMARC 的采用速度超过了这些标准。
"DMARC 是过去十年中实施最广泛的网络安全标准,它的成功是独一无二的,"Grimes 说。
子域攻击利用漏洞
然而,这并不意味着威胁已经减少。攻击者已经做出了调整,Grimes 说。通常情况下,攻击者会使用外观相似的域,或使用创造性的标点符号来制造混乱,在愚弄最终用户的同时仍从经过验证的域发送信息。
"Grimes 说:"自从 DMARC 诞生并被广泛采用以来,自称来自特定合法域名的网络钓鱼电子邮件的比例和数量明显减少,可能只有过去的百分之几。"不幸的是,网络钓鱼者只是创建了新的非法域名,通常使用相似的名称,然后在这些域名上应用 DMARC,使新的非法域名通过 DMARC 检查。
躲避 DMARC 的一种技术是 "子域邮件",即攻击者寻找包含未注册域名的 SPF 记录,然后控制这些无主域名,以此进行大规模的垃圾邮件发送活动。在一个案例中,msnmarthastewartsweeps.com 的 SPF 记录 "包含 "了两个域,允许这些域记录中列出的任何授权邮件服务器发送经过验证的电子邮件。在发件人策略框架中,"包含 "关键字允许域指定这些域的验证电子邮件服务器列表应受信任。对于 msnmarthastewartsweeps.com,这导致近 18,000 个域被授权代表该域发送电子邮件。
Red Sift 的 Costigan 说,由于电子邮件可以通过 DMARC 检查,它们更有可能成功冒充其他公司。
"他说:"SubdoMailing 利用了 DMARC 保障措施中的漏洞,允许攻击者从同时通过 SPF 和 DMARC 检查的子域发送电子邮件。"他说:"这些邮件看似合法,实则具有极大的欺骗性。
针对电子邮件安全的 BIMI
不过,通过使用 DMARC,公司对其电子邮件的可视性大大提高,因为该标准包括一项报告功能,允许公司或代表公司的服务提供商跟踪电子邮件故障。因此,专家认为,企业应迅速将 "无"、"隔离 "和 "拒绝 "作为自己的政策。
此外,公司还应该考虑采取下一步措施,转而使用信息识别品牌指标或 BIMI,这样公司就可以向电子邮件收件人展示一个徽标。不过,BIMI 需要严格的 DMARC,而根据 Red Sift 的数据,目前只有约三分之一的域名符合要求。
谷歌的库马兰说,虽然这些技术都不能解决恶意电子邮件的问题,但它们都为公司及其电子邮件服务提供商提供了更可靠的信号,用于过滤不需要的邮件和潜在的攻击。DMARC 的采用并不能归结为 "经过验证的邮件是好的,未经验证的邮件是坏的",他说。
"Kumaran说:"我们的想法是,身份验证让你对邮件的来源有信心,然后你就可以开始更好地进行分类,并为用户提供实际的保护。"因此,我认为,如果 100% 的攻击实际上都经过了验证,那么这是一种非常可取的行为,因为它使保护人们的工作--并为那些从事防御工作的人--提供了更强的操作信号。
信息来源:https://www.darkreading.com/remote-workforce/google-dmarc-push-email-security-challenges
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局