Механізм DMARC перевіряє домен справжнього відправника електронної пошти і таким чином може викрити підроблені електронні листи. Фахівці Касперського усунули недоліки звітів про автентифікацію повідомлень на основі домену та відповідності (DMARC) за допомогою нової технології.
За всю історію електронної пошти люди винайшли багато технологій для захисту одержувачів від шахрайських електронних листів (переважно від фішингу). DomainKeys Identified Mail (DKIM) і Sender Policy Framework (SPF) мали значні недоліки, тому було розроблено механізм автентифікації електронної пошти Domain-based Message Authentication Reporting and Conformance (DMARC) для ідентифікації повідомлень із підробленим доменом відправника. Однак DMARC не виявився панацеєю. Тому дослідники Kaspersky розробили додаткову технологію для усунення недоліків DMARC.
Як працює DMARC
Компанія, яка хоче заборонити іншим надсилати електронні листи від імені своїх співробітників, може налаштувати DMARC у своєму ресурсному записі DNS. По суті, це дозволяє одержувачам повідомлень переконатися, що доменне ім’я в заголовку «Від:» таке саме, як у DKIM і SPF. Крім того, ресурсний запис визначає адресу, на яку поштові сервери надсилають звіти про отримані повідомлення, які не пройшли перевірку (наприклад, коли сталася помилка або була виявлена спроба шахрайським шляхом видати себе за відправника).
У тому самому записі ресурсу можна також налаштувати політику DMARC, щоб визначити, що станеться з повідомленням, якщо воно не пройде перевірку. На такі випадки поширюються три типи політики DMARC:
- Відмова — найсуворіша політика. Якщо вибрати цей параметр, усі електронні листи, які не пройдуть перевірку DMARC, будуть заблоковані.
- З політикою карантину, залежно від постачальника послуг електронної пошти, повідомлення або потрапляє в папку спаму, або доставляється, але позначається як підозріле.
- Якщо вибрати «Немає», повідомлення потрапляє до папки «Вхідні» одержувача, хоча звіт все одно надсилається відправнику.
Недоліки DMARC
Недоліки DMARC
Загалом DMARC цілком спроможний. Технологія значно ускладнює фішинг. Але при вирішенні однієї проблеми цей механізм викликає іншу: помилкові спрацьовування. Невинні повідомлення можна блокувати або позначати як спам у двох випадках.
- Переслані повідомлення: деякі поштові системи порушують підписи SPF і DKIM у пересланих повідомленнях, незалежно від того, чи пересилаються повідомлення з різних поштових скриньок, чи вони перенаправляються через проміжні поштові вузли (ретранслятори).
- Неправильні налаштування: адміністратори поштового сервера нерідко допускають помилки під час налаштування DKIM і SPF.
Коли мова йде про ділову електронну пошту, важко сказати, який сценарій гірший: пропуск фішингового листа чи блокування законного повідомлення.
Підхід Касперського до усунення недоліків DMARC
Ця технологія, безсумнівно, корисна, тому Kaspersky вирішив посилити її, додавши машинне навчання до процесу перевірки, таким чином мінімізуючи помилкові спрацьовування, не підриваючи переваги DMARC. І ось як це працює:
Коли користувачі створюють електронні листи, вони використовують Mail User Agent (MUA), програму електронної пошти, таку як Microsoft Outlook. Програма відповідає за генерацію повідомлення та відправлення його агенту передачі пошти (MTA) для подальшої маршрутизації. Програма електронної пошти додає необхідні технічні заголовки до тіла повідомлення, теми та адреси одержувача (які заповнюються користувачем).
Зловмисники часто використовують власні програми електронної пошти, щоб обійти системи безпеки. Як правило, це саморобні поштові движки, які формують і заповнюють повідомлення за заданим шаблоном. Наприклад, вони створюють технічні заголовки для повідомлень та їх вмісту. Кожна поштова програма має свій «почерк».
Відрізняйте законну електронну пошту від фішингової
Якщо отримане повідомлення не проходить перевірку DMARC, у гру вступає наша технологія. Він працює в хмарній службі, яка підключається до рішення безпеки на пристрої. Він починається з подальшого аналізу послідовності заголовків і вмісту заголовків X-Mailer і Message-ID за допомогою нейронної мережі, що дає змогу розрізнити законний електронний лист від фішингового. Технологія була навчена на величезній колекції електронних листів (близько 140 мільйонів повідомлень, 40% з яких були спамом).
Поєднання технології DMARC і машинного навчання допомагає захистити користувачів від фішингових атак, одночасно зменшуючи кількість помилкових спрацьовувань. Ми вже впровадили технологію в кожен із наших продуктів, які мають компонент антиспаму: Kaspersky Security для Microsoft Exchange Server, Kaspersky Security для Linux Mail Server, Kaspersky Security для Mail Gateway (частково в Kaspersky Total Security для бізнесу) і Kaspersky Security для Microsoft Офіс 365.
Докладніше читайте в блозі на Kaspersky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/