روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ افراد در طول تاریخچه‌ی ایمیل، به فناوری‌های بسیاری برخورده‌اند که اساساً برای محافظت از گیرندگان در برابر ایمیل‌های جعلی (عمدتاً فیشینگ) طراحی شده‌اند. DKIM[1] و SPF[2] نقایص بسیاری داشتند؛ از این رو مکانیزم تأیید صحت پیام DMARC[3] برای شناسایی پیام‌هایی که دامنه‌ی فرستنده تقلبی داشتند طراحی شد. اما DMARC هم بی‌عیب نبود. بدین‌ترتیب، محققین ما فناوری دیگری ساختند تا عیوب این رویکرد را کاهش دهد. در ادامه با ما همراه شوید تا طریقه‌ی رفع نواقص مکانیزم DMARC را خدمتتان توضیح دهیم.

نحوه‌ی عملکرد DMARC

شرکتی که به دنبال راهی است که نگذارد افراد با استفاده از نام‌ کارمندانش ایمیل بفرستند، می‌تواند DMARC را در پرونده منابع  DNS خود تنظیم کند. در اصل، این کار به گیرندگان پیام اجازه می‌دهد تا مطمئن شوند نام دامنه داخل هدر “From:” همانیست که در DKIM و SPF وجود دارد. علاوه بر این، این پرونده آدرسی را نشان می‌دهد که میل‌سرورها بدان گزارشات مربوط به پیام‌های دریافتی را می‌فرستند؛ پیام‌های دریافتی‌ای که از مرحله‌ی تأیید صحت عبور نکرده‌اند (به عنوان مثال، اگر خطایی رخ دهد یا تلاش برای جعل هویت فرستنده مورد شناسایی قرار گیرد). در همان پرونده‌ی منبع، همچنین می‌توانید خط‌مشی DMARC را تنظیم کنید تا در صورت عبور نکردن از بخش چک‌ها مشخص شود چه بر سر پیام آمده است. سه نوع سیاست DMARC چنین پرونده‌هایی را پوشش می‌دهد:

• Reject سرسختانه‌ترین خط‌مشی است. آن را برای بلوکه کردن تمامی ایمیل‌هایی که از چک DMARC رد نمی‌شوند انتخاب کنید.
• با خط‌مشی Quarantine–بسته به تنظیمات دقیق ارائه‌دهنده ایمیل- پیام یا سر و کارش به پوشه‌ی اسپم خواهد افتاد و یا دلیوری خواهد شد (اما برچسب مشکوک بدان می‌خورد).
• None نیز حالتی است که اجازه می‌دهد به حالت طبیعی پیام به میل‌باکس گیرنده برسد؛ هرچند گزارشی هنوز به فرستنده ارسال می‌شود.

نقایص DMARC

به طور کلی، DMARC فناوری قابل و توانایی است؛ این فناوری فیشینگ را به مراتب سخت‌تر می‌کند؛ اما این مکانیزم با حل یک مشکل در حقیقت مشکلی دیگر درست می‌کند: مثبت‌های کاذب. پیام‌های قانونی ممکن است در دو نوع پرونده بلاک شده و یا مارک اسپم بهشان بخورد:

پیام‌های فورواردشده

برخی سیستم‌های ایمیل، امضاهای SPF و DKIM را در پیام‌های فورواردشده نقض می‌کنند؛ خواه پیام‌هایی که از میل‌باکس‌های مختلف فوروارد شدند و خواه پیام‌هایی که بین نودهای پست واسطه (رله‌ها) ریدایرکت می‌شوند.

تنظیمات نادرست

ادمین‌های میل‌سرور موقع تنظیم SPF و DKIM اشتباهات بسیاری می‌کنند.

وقتی صحبت از ایمیل سازمانی به میان می‌آید، سخت است بگوییم کدام سناریو می‌تواند بدتر باشد: ایمیل فیشینگ یا بلاک شدن پیامی قانونی.

رویکرد ما برای رفع نواقص DMARC

بی‌شک این فناوری بسیار کارامد است؛ از این رو تصمیم گرفتیم با اضافه کردن فناوری یادگیری ماشین به فرآیند اعتبارسنجی آن را تقویت کنیم تا مثبت‌های کاذب بدون اینکه مزایای DMARC به خطر بیافتد به حداقل برسد:

وقتی کاربران ایمیل‌ها را می‌نویسند در حقیقت از یک Mail User Agent (MUA) مانند Microsoft Outlook استفاده می‌کنند. MUA کارش تولید پیام و ارسال آن به Mail Transfer Agent (MTA) برای روتینگِ بعدی است. MUA هدرهای فنی لازم را به بدنه‌ی پیام، موضوع و آدرس گیرنده (که توسط کاربر پر می‌شود) اضافه می‌کند. مهاجمین برای دور زدن این سیستم‌های امنیتی اغلب از MUA‌های خود استفاده می‌کنند. بر اساس یک قاعده کلی، آن‌ها موتورهای پست خانگی هستند که پیام‌ها را تولید و آن‌ها را بر طبق الگوی مورد نظر پر می‌کنند. بعنوان مثال، آن‌ها برای پیام‌ها و محتواهایشان هدرهای فنی تولید می‌کنند. هر MUA «دست‌خط» خود را دارد.

اگر پیام دریافتی چک موفقیت‌آمیز DMARC نداشته باشد آنوقت است که این فناوری وارد میدان می‌شود. تکنولوژی مذکور روی سرویس کلودی اجرا می‌شود که به راهکار امنیتی روی دستگاه متصل می‌شود. سپس با استفاده از یک شبکه‌ی خنثی شروع می‌کند به تحلیل بیشتر توالی هدرها و نیز محتواهای X-Mailer و Message-ID headers؛ در نتیجه راهکار متمایزکننده‌ی ایمیل جعلی و فیشینگ فعالسازی می‌شود. این فناوری روی مجموعه‌ای از پیام‌های ایمیل (حدود 140 میلیون پیام، 40 درصدشان اسپم بوده است) پیاده‌سازی شده است. ترکیب فناوری DMARC و «یادگیری ماشین» به تضمین محافظت از کاربر در برابر حملات فیشینگ کمک کرده و در عین حال تعداد مثبت‌های کاذب را نیز کاهش می‌دهد. ما از پیش این فناوری را در هر یک از محصولات خود –که اجزای ضداسپم دارند- پیاده‌سازی کرده‌ایم: Kaspersky Security for Microsoft Exchange Server، Kaspersky Security for Linux Mail Server، Kaspersky Secure Mail Gateway (بخش‌هایی از Kaspersky Total Security for Business) و and Kaspersky Security for Microsoft Office 365.

[1] DomainKeys Identified Mail

[2] Sender Policy Framework

[3] Domain-based Message Authentication Reporting and Conformance

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.