DMARC mekanizması, bir e-postanın gerçek göndericisinin etki alanını kontrol eder ve böylece sahte e-postaların maskesini kaldırabilir. Kaspersky uzmanları, yeni geliştirilen teknoloji sayesinde Etki Alanı Tabanlı Mesaj Kimlik Doğrulaması Raporlama ve Uyumluluğun (DMARC) dezavantajlarını çözdü.
E-posta tarihi boyunca, insanlar alıcıları sahte e-postalardan (esas olarak kimlik avı) korumak için birçok teknoloji geliştirdiler. DomainKeys Identified Mail (DKIM) ve Sender Policy Framework (SPF) önemli dezavantajlara sahipti, bu nedenle, sahte bir gönderen etki alanına sahip iletileri tanımlamak için Etki Alanı Tabanlı İleti Kimlik Doğrulama Raporlama ve Uyumluluk (DMARC) posta kimlik doğrulama mekanizması geliştirildi. Ancak, DMARC her derde deva olduğunu kanıtlamadı. Bu nedenle Kaspersky araştırmacıları, DMARC'nin dezavantajlarını ortadan kaldırmak için ek teknoloji geliştirdi.
DMARC nasıl çalışır?
Başkalarının çalışanları adına e-posta göndermesini engellemek isteyen bir şirket, DNS kaynak kaydında DMARC'yi yapılandırabilir. Bu, esasen mesaj alıcılarının "Kimden:" başlığındaki alan adının DKIM ve SPF'deki ile aynı olduğundan emin olmasını sağlar. Ek olarak, kaynak kaydı, posta sunucularının, doğrulamada başarısız olan (örneğin, bir hata oluştuğunda veya göndereni sahtekarlıkla taklit etme girişimi algılandığında) alınan iletilerin raporlarını gönderdiği adresi belirtir.
Aynı kaynak kaydında, doğrulamada başarısız olursa mesaja ne olacağını belirlemek için DMARC politikası da yapılandırılabilir. Üç tür DMARC politikası bu tür durumları kapsar:
- Reddetmek en katı politikadır. Bu seçeneği belirlerseniz, DMARC kontrolünden geçmeyen tüm e-postalar engellenecektir.
- Karantina politikasıyla, posta sağlayıcısına bağlı olarak, ileti ya istenmeyen posta klasörüne düşer ya da teslim edilir ancak şüpheli olarak işaretlenir.
- Hiçbiri ile, gönderene bir rapor gönderilmeye devam etse de, mesaj alıcının gelen kutusuna ulaşır.
DMARC'nin Dezavantajları
DMARC'nin Dezavantajları
Genel olarak, DMARC oldukça yeteneklidir. Teknoloji, kimlik avını çok daha zor hale getiriyor. Ancak bir sorunu çözerken, bu mekanizma başka bir soruna neden olur: yanlış pozitifler. Masum mesajlar iki tür durumda engellenebilir veya spam olarak işaretlenebilir.
- İletilen mesajlar: Bazı posta sistemleri, iletilerin farklı posta kutularından yönlendirilip yönlendirilmediği veya ara posta düğümleri (röleleri) aracılığıyla yeniden yönlendirilip yönlendirilmediğine bakılmaksızın, iletilen iletilerdeki SPF ve DKIM imzalarını kırar.
- Yanlış ayarlar: Posta sunucusu yöneticilerinin DKIM ve SPF'yi yapılandırırken hata yapması alışılmadık bir durum değildir.
İş e-postası söz konusu olduğunda, hangi senaryonun daha kötü olduğunu söylemek zordur: bir kimlik avı e-postasının geçmesine izin vermek veya meşru bir iletiyi engellemek.
Kaspersky'nin DMARC açıklarını ele alma yaklaşımı
Bu teknoloji kuşkusuz yararlıdır, bu nedenle Kaspersky, doğrulama sürecine makine öğrenimini ekleyerek bu teknolojiyi güçlendirmeye karar verdi ve böylece DMARC'nin faydalarını baltalamadan yanlış pozitifleri en aza indirdi. Ve işte böyle çalışır:
Kullanıcılar e-posta oluştururken, Microsoft Outlook gibi bir e-posta programı olan bir Posta Kullanıcı Aracısı (MUA) kullanırlar. Program, mesajı oluşturmaktan ve daha fazla yönlendirme için Posta Aktarım Aracısına (MTA) göndermekten sorumludur. E-posta programı, mesaj gövdesine, konusuna ve alıcı adresine (kullanıcı tarafından doldurulan) gerekli teknik başlıkları ekler.
Saldırganlar genellikle güvenlik sistemlerini atlatmak için kendi e-posta programlarını kullanırlar. Kural olarak, bunlar belirli bir şablona göre mesajlar oluşturan ve dolduran ev yapımı posta motorlarıdır. Örneğin, mesajlar ve içerikleri için teknik başlıklar oluştururlar. Her e-posta programının kendi "el yazısı" vardır.
Meşru e-postayı kimlik avı e-postasından ayırt edin
Alınan mesaj DMARC kontrolünde başarısız olursa teknolojimiz devreye girer. Cihazdaki güvenlik çözümüne bağlanan bir bulut hizmeti üzerinde çalışır. Bir nöral ağ kullanarak başlık sırasını ve X-Mailer ve Message-ID başlıklarının içeriğini daha fazla analiz ederek başlar ve çözümün meşru bir e-postayı kimlik avı e-postasından ayırt etmesini sağlar. Teknoloji, devasa bir e-posta mesajı koleksiyonu (yaklaşık 140 milyon mesaj, %40'ı spam) üzerinde eğitildi.
DMARC teknolojisi ve makine öğreniminin birleşimi, yanlış pozitiflerin sayısını azaltırken, kimlik avı saldırılarına karşı kullanıcı koruması sağlamaya yardımcı olur. Bu teknolojiyi antispam bileşenine sahip ürünlerimizin her birinde zaten uyguladık: Kaspersky Security for Microsoft Exchange Server, Kaspersky Security for Linux Mail Server, Kaspersky Security for Mail Gateway (kısmen Kaspersky Total Security for Business'ta) ve Kaspersky Security for Microsoft Ofis 365.
Kaspersky.com'daki blogda daha fazlasını okuyun
Kaspersky Hakkında Kaspersky, 1997 yılında kurulmuş uluslararası bir siber güvenlik şirketidir. Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumaya yönelik yenilikçi güvenlik çözümlerinin ve hizmetlerinin temelini oluşturur. Şirketin kapsamlı güvenlik portföyü, karmaşık ve gelişen siber tehditlere karşı savunma için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı ve 250.000 kurumsal müşteri, Kaspersky teknolojileri tarafından korunmaktadır. www.kaspersky.com/ adresinde Kaspersky hakkında daha fazla bilgi