E-posta güvenlik teknolojileri üçlüsü son yıllarda, özellikle de şirketlerin uzaktan operasyonlara zorlandığı koronavirüs salgını sırasında hızla benimsenmeye başladı ”
Geçici Çözümler BekleyinBishop Fox’un kıdemli danışmanı Raf Marconi, gereksinimler muhtemelen tüm meşru pazarlama firmalarının e-posta güvenlik yapılandırmalarını ayarlamasını gerektirecek olsa da şirketlerin kötü aktörlerin spam, kimlik avı ve kötü amaçlı yazılım göndermeye devam edecek yollar bulmasını beklemesi gerektiğini söylüyor
“Kimlik doğrulamanın kendisi, spam’i durdurmak için sihirli bir değnek değildir ancak yaptığı şey, herkesin akan e-postayı daha iyi anlamasını sağlamaktır” diyor
“[W]Yahoo’nun haberleriyle birlikte bunu yeni normal olarak değerlendirebilirsiniz” diye yazdı 000’den fazla e-posta mesajı gönderen herhangi bir şirketin, Alan Adı Tabanlı Mesaj Kimlik Doğrulaması Raporlaması ve Uygunluğu (DMARC) olarak bilinen bir kimlik doğrulama teknolojisini kullanmaya başlaması gerekecek
“Bunun kesinlikle harika olduğunu düşünüyorum, ancak yeterince ileri gitmediğini düşünüyorum” diyor
Google’dan Kumaran, bu nedenle kaynakların daha iyi tanımlanmasının ve mesajların daha güçlü tanımlanmasının e-posta teknolojisini geliştirmenin anahtarı olduğunu söylüyor 000’den fazla mesaj gönderen kişilere uygulayacak Ayrıca pazarlamacıların spam oranlarının %0,3’ün altında olması ve tek tıklamayla abonelikten çıkma olanağı sunması gerekiyor
Google, yeni kuralları belirli bir günde Gmail adreslerine 5 ”
Blank, gönderenin kimlik doğrulaması tamamlandıktan sonra güvenlik satıcıları ve e-posta sağlayıcılarının kötü trafiği daha iyi filtreleyebileceğini söylüyor “Dolayısıyla, gönderenin DMARC’yi benimsemesinin ve bu şeyler hakkında toplu olarak düşünmesinin maddi faydası var “Gerçek zararları çözmek için, güvenlik ekiplerinin kimlik avı içeren ve hasara neden olan yükleri, dosyaları, bağlantıları ve kötü niyetli istekleri tanımlaması ve bunlar üzerinde kontrol sahibi olması gerekir Herkesi yakaladı, bu yüzden ekosistemde suiistimal bu kadar yaygın Ancak kâr amacı gütmeyen alanların yalnızca %1’inde DMARC kuruludur “SPF, DKIM veya DMARC’ye sahip olmanın postanın iyi olduğu anlamına geldiği varsayımı yanlıştır “Sahte veya kimliği doğrulanmış mesajlar asla kullanıcıların gelen kutularına ulaşmıyor ve bu nedenle, gereksinimlerin olduğu Google ve Yahoo’nun çok dışında, bu sürü bağışıklığını ve korumayı geniş ölçekte elde ediyoruz
Bir e-posta pazarlama hizmeti olan Twilio SendGrid’in endüstri ilişkilerinden sorumlu başkan yardımcısı Len Shneyder, Google’ın duyurusunun ve Yahoo!’nun eşleştirme hamlesinin DMARC’nin benimsenmesinin artık bir öneri olmadığı anlamına geldiğini yazdı “Çıtayı yükseltmeleri beni heyecanlandırıyor, ancak şu anda elimizde tutarsız bir şekilde uygulanan bir dizi en iyi endüstri uygulaması var Gereksinimlerin Google için Şubat 2024’e kadar, Yahoo için ise “2024’ün ilk çeyreğinde” karşılanması gerekecek
Kimlik Doğrulama Sadece BaşlangıçtırDMARC gereksinimlerinin amacı, tüm meşru e-postaların, DNS hizmetlerinde DMARC kayıtları oluşturmasını sağlamak ve alınan e-posta iletilerinin başlıklarını kontrol etmek için kimlik doğrulama bilgileri sağlamaktır
“Kötü niyetli bir aktör, gereksinimlerden etkilenmemek için ya eşiklerin altında kalabilir ya da meşru hizmetleri kullanabilir” diyor ve ekliyor: “Bu yeni gereksinimlerin spam ve kimlik avı düzeyi üzerinde bir miktar etkisi olmalı, ancak bunu ölçmek zor Gereksinimlerin ne kadar önce uygulamaya konulduğu ve aynı zamanda DKIM, SPF ve DMARC’nin doğru şekilde uygulanmasına da bağlıdır bazı şekilde kimlik doğrulama Tüm şirketlerin yaklaşık yarısı, katı bir politika uygulamak için DMARC kayıtlarını belirledi Yahoo, gereklilikleri “toplu gönderenlere” uygulayacak, ancak blog yazısında toplu gönderenin ne olduğu tanımlanmıyor
“Kötü oyuncular genellikle en iyi uygulamaları takip eden ilk kişiler olur” diyor Ancak Valimail’in baş teknoloji sorumlusu Seth Blank, büyük e-posta sağlayıcılarının çıtayı hızla yükselteceğini umuyor Sonuç olarak, e-posta gönderenlerin yaklaşık yarısının bir DMARC kaydı var, ancak yalnızca %14’ü DMARC’yi katı bir karantina veya reddetme politikası uygulayacak şekilde ayarladı; bir DMARC hizmet sağlayıcısı olan Valimail’den alınan verilere göre, genel olarak nihai hedef olarak kabul ediliyor Bu, postanın kimden geldiğini bildiğimiz anlamına gelir ve bu, itibarla ilgili kararlar verme açısından kritik öneme sahiptir Büyük hacimli göndericilerden birkaçı bunu iyi bir şekilde yapıyor ve sonra da bunu başarıyorsunuz ”
E-posta Güvenliğinin YaygınlaştırılmasıGoogle, blog yayınında, e-posta gönderen alanların kimliğini doğrulamak için hem SPF hem de DKIM kayıtları da dahil olmak üzere gereksinimlerini özetledi; alan adı için bir DMARC kaydı; ve “hizalama” olarak bilinen, SPF veya DMARC kaydıyla eşleşen bir “Kimden” başlığı
“DMARC’yi bizim istediğimiz şekillerde benimseyen gönderenler, yapılandırmalarıyla ilgili sorunları belirlemelerine yardımcı olacak çok sayıda bilgi geri almaya başlıyor [and] değiştirmek isteyebilecekleri şeyler” diyor Şu anda şirket her gün yaklaşık 15 milyar e-posta işliyor ve şirket her mesajın doğrulanmasını gerektirdiğinden, kimliği doğrulanmamış mesajların sayısı %75 azaldı Bulut parlaması ”
Google, gereksinimlerin kendi platformunda e-posta kimlik doğrulamasının neredeyse tamamen benimsenmesine yol açmasını bekliyor
Şubat 2024 itibarıyla, Google veya Yahoo aracılığıyla 5 ”
Yakın tarihli bir raporda, internet hizmetleri firması Cloudflare, spam olarak engellenen mesajların %89’unun doğru SPF, DKIM veya DMARC bilgilerine sahip olduğunu tespit etti; bu da teknolojilerin denklemin bir parçası olduğunu ancak tüm çözümün olmadığının altını çiziyor, diyor saha CSO’su Oren Falkowitz “Filtrelerin bu kalıpları yakalamaya başlayacağını, kimlik doğrulamanın avantajlarından yararlanacağını ve daha iyi bir iş çıkaracağını umuyorum; etkileri genel olarak görmeliyiz
“Bu nedenle, kampanyaları tespit etmek ve durdurmak için yalnızca gönderen bilgilerini izleyen standartlara güvenmek boşunadır” diyor
Google ve Yahoo’nun gereksinimleri iyi bir başlangıç ve pazar daha sıkı gereksinimlere hazır değil
Gereksinimler — tarafından duyurulan Google Ve yahoo Ancak bu hafta pazarlamacıların çok daha ilerisine ulaşacak ve güvenlik teknolojilerini benimseme konusunda geride kalan tüm şirketleri yetişmeye zorlayacak ” diyor
“Kimin sizin adınıza gönderme yetkisine sahip olduğunun kontrolü sizdedir; bu, mesaj dünyanın her yerindeki herhangi bir posta kutusu sağlayıcısına gittiğinde, kimlik doğrulamanın mevcut olduğu ve DMARC’den yararlanabilecekleri anlamına gelir ”
Valimail’den Blank bu noktayı güçlendirdi “Yeni gereksinimler, sektörün e-posta kimlik doğrulamasına ve en iyi uygulamalara bakış açısında bir değişikliğe işaret ediyor: Bir zamanlar bir öneri dizisi olan şey, artık uygulanabilir bir dizi tavsiye haline geliyor Sender Policy Framework (SPF) ve DomainKeys Identified Mail (DKIM) kullanan kuruluşlar, daha iyi kimlik doğrulama yoluyla kimliğe bürünmeye karşı koruma elde ederken, DMARC, e-postalarının sahte olup olmadığına ilişkin bilgi toplamak için alan adı sahibine geri dönen bir bildirim kanalı oluşturur Hemen hemen her e-posta sağlayıcısı, DMARC uyumuyla ilgili bilgileri bir alanın yetkili sahibine geri bildirecektir
Google’ın Gmail Güvenlik ve Güven grubunun grup ürün müdürü Neil Kumaran, iki büyük sağlayıcının gereksinimlerinin, benimseme daha etkili güvenlik önlemlerinin mümkün olacağı bir düzeye ulaşana kadar daha fazla şirketi DMARC’yi benimsemeye itmesi gerektiğini söylüyor haberlerle ilgili bir blog ”
siber-1