روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ افراد در طول تاریخچهی ایمیل، به فناوریهای بسیاری برخوردهاند که اساساً برای محافظت از گیرندگان در برابر ایمیلهای جعلی (عمدتاً فیشینگ) طراحی شدهاند. DKIM[1] و SPF[2] نقایص بسیاری داشتند؛ از این رو مکانیزم تأیید صحت پیام DMARC[3] برای شناسایی پیامهایی که دامنهی فرستنده تقلبی داشتند طراحی شد. اما DMARC هم بیعیب نبود. بدینترتیب، محققین ما فناوری دیگری ساختند تا عیوب این رویکرد را کاهش دهد. در ادامه با ما همراه شوید تا طریقهی رفع نواقص مکانیزم DMARC را خدمتتان توضیح دهیم.
نحوهی عملکرد DMARC
شرکتی که به دنبال راهی است که نگذارد افراد با استفاده از نام کارمندانش ایمیل بفرستند، میتواند DMARC را در پرونده منابع DNS خود تنظیم کند. در اصل، این کار به گیرندگان پیام اجازه میدهد تا مطمئن شوند نام دامنه داخل هدر “From:” همانیست که در DKIM و SPF وجود دارد. علاوه بر این، این پرونده آدرسی را نشان میدهد که میلسرورها بدان گزارشات مربوط به پیامهای دریافتی را میفرستند؛ پیامهای دریافتیای که از مرحلهی تأیید صحت عبور نکردهاند (به عنوان مثال، اگر خطایی رخ دهد یا تلاش برای جعل هویت فرستنده مورد شناسایی قرار گیرد). در همان پروندهی منبع، همچنین میتوانید خطمشی DMARC را تنظیم کنید تا در صورت عبور نکردن از بخش چکها مشخص شود چه بر سر پیام آمده است. سه نوع سیاست DMARC چنین پروندههایی را پوشش میدهد:
- Reject سرسختانهترین خطمشی است. آن را برای بلوکه کردن تمامی ایمیلهایی که از چک DMARC رد نمیشوند انتخاب کنید.
- با خطمشی Quarantine–بسته به تنظیمات دقیق ارائهدهنده ایمیل- پیام یا سر و کارش به پوشهی اسپم خواهد افتاد و یا دلیوری خواهد شد (اما برچسب مشکوک بدان میخورد).
- None نیز حالتی است که اجازه میدهد به حالت طبیعی پیام به میلباکس گیرنده برسد؛ هرچند گزارشی هنوز به فرستنده ارسال میشود.
نقایص DMARC
به طور کلی، DMARC فناوری قابل و توانایی است؛ این فناوری فیشینگ را به مراتب سختتر میکند؛ اما این مکانیزم با حل یک مشکل در حقیقت مشکلی دیگر درست میکند: مثبتهای کاذب. پیامهای قانونی ممکن است در دو نوع پرونده بلاک شده و یا مارک اسپم بهشان بخورد:
پیامهای فورواردشده
برخی سیستمهای ایمیل، امضاهای SPF و DKIM را در پیامهای فورواردشده نقض میکنند؛ خواه پیامهایی که از میلباکسهای مختلف فوروارد شدند و خواه پیامهایی که بین نودهای پست واسطه (رلهها) ریدایرکت میشوند.
تنظیمات نادرست
ادمینهای میلسرور موقع تنظیم SPF و DKIM اشتباهات بسیاری میکنند.
وقتی صحبت از ایمیل سازمانی به میان میآید، سخت است بگوییم کدام سناریو میتواند بدتر باشد: ایمیل فیشینگ یا بلاک شدن پیامی قانونی.
رویکرد ما برای رفع نواقص DMARC
بیشک این فناوری بسیار کارامد است؛ از این رو تصمیم گرفتیم با اضافه کردن فناوری یادگیری ماشین به فرآیند اعتبارسنجی آن را تقویت کنیم تا مثبتهای کاذب بدون اینکه مزایای DMARC به خطر بیافتد به حداقل برسد:
وقتی کاربران ایمیلها را مینویسند در حقیقت از یک Mail User Agent (MUA) مانند Microsoft Outlook استفاده میکنند. MUA کارش تولید پیام و ارسال آن به Mail Transfer Agent (MTA) برای روتینگِ بعدی است. MUA هدرهای فنی لازم را به بدنهی پیام، موضوع و آدرس گیرنده (که توسط کاربر پر میشود) اضافه میکند. مهاجمین برای دور زدن این سیستمهای امنیتی اغلب از MUAهای خود استفاده میکنند. بر اساس یک قاعده کلی، آنها موتورهای پست خانگی هستند که پیامها را تولید و آنها را بر طبق الگوی مورد نظر پر میکنند. بعنوان مثال، آنها برای پیامها و محتواهایشان هدرهای فنی تولید میکنند. هر MUA «دستخط» خود را دارد.
اگر پیام دریافتی چک موفقیتآمیز DMARC نداشته باشد آنوقت است که این فناوری وارد میدان میشود. تکنولوژی مذکور روی سرویس کلودی اجرا میشود که به راهکار امنیتی روی دستگاه متصل میشود. سپس با استفاده از یک شبکهی خنثی شروع میکند به تحلیل بیشتر توالی هدرها و نیز محتواهای X-Mailer و Message-ID headers؛ در نتیجه راهکار متمایزکنندهی ایمیل جعلی و فیشینگ فعالسازی میشود. این فناوری روی مجموعهای از پیامهای ایمیل (حدود 140 میلیون پیام، 40 درصدشان اسپم بوده است) پیادهسازی شده است. ترکیب فناوری DMARC و «یادگیری ماشین» به تضمین محافظت از کاربر در برابر حملات فیشینگ کمک کرده و در عین حال تعداد مثبتهای کاذب را نیز کاهش میدهد. ما از پیش این فناوری را در هر یک از محصولات خود –که اجزای ضداسپم دارند- پیادهسازی کردهایم: Kaspersky Security for Microsoft Exchange Server، Kaspersky Security for Linux Mail Server، Kaspersky Secure Mail Gateway (بخشهایی از Kaspersky Total Security for Business) و and Kaspersky Security for Microsoft Office 365.
[1] DomainKeys Identified Mail
[2] Sender Policy Framework
[3] Domain-based Message Authentication Reporting and Conformance
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
