2013年2月6号,一个致力于加强电子邮件安全性、由全球知名企业组成的协作型组织DMARC.org在美国加利福尼亚州圣何塞宣称,DMARC协议已经保护着19.76亿的电子邮箱用户,这个数字大约是全球33亿电子邮箱用户中三分之二。自2012年1月首次推出以来,DMARC协议就联手全球知名品牌和邮箱服务商,共同持续打击垃圾邮件、钓鱼邮件等猖獗的邮件诈骗和邮件伪造行为。在美国,占据8成市场的数家邮件服务商都已经支持了DMARC协议。与此同时,拥有亿万用户的中国、俄罗斯、荷兰等国的大型服务商也都纷纷支持这份协议。
“DMARC是一个面向企业,以市场为导向,解决互联网实际问题的联合组织,”Paypal高级策略顾问兼DMARC.org主席Trent Adams推荐道,“DMARC协议的广泛传播和得到普遍支持是现象级的,说明了很多企业都希望通过部署DMARC协议来增强公司邮件防卫能力。”
邮件发送方也越来越支持DMARC协议,尤其是那些邮件发送量巨大的企业。来自DMARC联盟的官方成员的数据表明,目前全球邮件发送量最大的20个域名中已经有10个部署了DMARC,其中有不少域名来自非DMARC联盟的企业。邮箱服务提供商和邮件发送方企业的DMARC实现对普通邮箱用户来说可谓意义非凡,仅在2012年11月、12月两个月就有超过3.25亿封邮件由于DMARC验证失败而被拦截下来。
“虽然我们是全球发送量最大的邮件发送方之一,现在有了DMARC协议,我们只需安排少数几个人就足以运维Facebook公司的全部邮件安全工作,”Facebook邮箱工程师Michael Adkins说,“在短短一年内,强大的DMARC协议已经保护了我们超过85%的用户,使他们免遭那些声称来自Facebook的诈骗邮件的伤害。再借助DMARC报表功能提供的数据,一个小团队就可以打击大量网络钓鱼行为。”
DMARC全称为Domain-based Message Authentication, Reporting & Conformance,它建立在SPF、DKIM这两份主流邮件认证协议的基础上,为邮件发件人地址(邮件头部的From字段)提供强大保护,并在邮件收发双方之间建立起一个数据反馈机制。它加大了那些通过伪造发件人地址手段的网络钓鱼者的难度。任何企业、品牌使用了DMARC,都可以很方便地告诉邮件接收方如何认证我的邮件,如何处理伪造我的邮件,如何把伪造邮件的数据反馈给我。对于顺利通过DMARC验证的邮件,则会像往常一样接受邮件服务商的反垃圾邮件系统等过滤器的检查,并最终投递到收件人的邮箱中。
从数据看DMARC
DMARC成功解决了以往阻碍邮件认证协议被广泛传播和大规模部署的诸多关注点。基于标准框架的DMARC协议建立了一个基础的数据反馈机制,使发送方和收信方能自动地交流潜在的邮件滥用数据。有越多的发送方部署DMARC,对诈骗邮件的全球保护网就会越强大。Trend Micro发布的一份振奋人心的统计数据称91%的定向攻击都与高度定制的钓鱼邮件有密不可分的关系(参见http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-spear-phishing-email-most-favored-apt-attack-bait.pdf),邮件发送方可以使用DMARC来避免他们的品牌沦为网络攻击的目标。
在DMARC协议推出的第一个年头里:
——保护了全球60%的邮箱用户,大约为33亿邮箱用户中的19.76亿。(参见http://www.email-marketing-reports.com/metrics/email-statistics.htm)
——全球最大型的邮件服务商都已经支持,包括AOL、Comcas、谷歌、Mail.ru、微软、网易、Xs4All和雅虎。
——全球发信量最大的20个域名中的50%已发布了DMARC记录,其中70%的域名的DMARC记录中含有明确的策略,引导收信方对认证失败的邮件采取措施。
——支持DMARC的邮件发送方数量超过DMARC.org官方成员数量,60%发信量排名前列的域名都发布了DMARC记录,但它们与DMARC.org联盟并无直接关系。
——已为DMARC记录中发布了“拒收”策略(“拒收”策略是指企业发布在DNS中的DMARC记录的p标签为reject,即p=reject,表示当邮件验证失败时可以拒绝接收这封邮件。)的域名拦截了数以亿万的诈骗邮件。以2012年10月、11月两个月份为例,有超过3.25亿封邮件由于伪造了带DMARC“拒收”策略的发件人域名而被拦截,其中四千九百万封邮件是来自“高危受诈骗”的域名(“高危受诈骗”的域名是指发布了DMARC拒收策略且声称发自该域名的邮件中有超过10%验证失败的域名)。
——保护着美国80%的典型邮箱用户。
支持DMARC的邮件服务商
已经部署DMARC协议的邮箱服务提供商有AOL、Comcast、谷歌、Mail.ru、微软、网易、Xs4All和雅虎。
“部署DMARC对微软来说是极其重要的,保护我们成千上万的邮箱用户免受网络钓鱼和网络诈骗。在微软,我们希望我们的用户可以信任收件箱中的每一封邮件。全球范围越来越广泛的(DMARC)支持是一个累积效应。如果有越多发信方使用DMARC,就有范围更广的邮件受到防钓鱼保护。”Outlook.com高级项目经理Krish Vitaldevara如是说。
“我们很高兴看到DMARC在中国得到了迅速传播,也很荣幸能为此贡献一份力量。”网易高级邮箱安全经理陈俊平说,“截至2012年底网易已有超过5.3亿邮箱用户,网易也是中国首家实现DMARC协议的公司。据我们估算目前DMARC已保护了中国超过50%的邮箱用户,而且还有越来越多的企业正在部署DMARC。”
“DMARC使我们能有效地拦截可疑的、未经认证的邮件,降低了Gmail邮箱用户受到诈骗的风险,” 谷歌产品经理Adam Dawes表示,“它使我们的用户能第一时间得到保护,并使垃圾邮件分类器更精准。”
“每一天,邮箱用户被暴露在各式各样的滥用性电子邮件之前,邮件内容从垃圾邮件,到网络钓鱼攻击,到可以控制一台电脑的恶意软件。为了打击这些滥用行为,雅虎协助起草了DMARC协议,现在这份协议正帮助我们识别和拦截伪造的、诈骗的邮件,使之无法进入用户邮箱,”雅虎邮箱高级总监Raj Ramaswamy说,“DMARC在全球的迅速传播和部署令人鼓舞,它让邮箱用户更加安全。”
“DMARC保护AOL用户不受诈骗和钓鱼攻击,让我们的用户信任他们在收件箱中看到的邮件。时隔一年,现在我们看到了这些努力产生的积极效果。”AOL反垃圾邮件技术开发和运营经理Jim Sargent说,“AOL很荣幸能作为DMARC.org创办会员并看到这份协议在世界各地都得到支持,很高兴看到能为电子邮件带来更高信任度的DMARC协议的成长、扩散和革新。”
依赖DMARC来保持信誉和保护用户的知名品牌
品牌,或邮件发送方,促进了DMARC协议的传播。受到增强品牌安全性方面的迫切需求,知名品牌企业开始采用DMARC来确保由他们所发送邮件的真实性,守护成千上万的可能成为网络钓鱼目标的品牌,使其不被猖獗肆虐的网络钓鱼者用于诈骗。
目前,跨行业跨业务领域的知名品牌都在使用DMARC,包括亚马逊,American Greetings,苹果,美国银行(Bank of America)暴雪娱乐,Booking.com,eBay,Facebook,联邦快递,富达投资,谷歌,高朋,摩根大通银行,LinkedIn,LivingSocial,网飞公司,Paypal,Tagged,推特,西联汇款,Yelp,YouTube和Zynga。(注:这份品牌列表整理自企业公开在DNS中的DMARC记录。)
业界专家认为DMARC是一个以市场为导向的防邮件钓鱼诈骗的安全解决方案。活跃的贡献者包括有来自开放的DMARC-Discuss邮件列表(http://www.dmarc.org/participate.html)、ISP网络服务提供商、知名品牌、安全厂商,他们通力合作解决问题,分享DMARC协议相关的信息。这些合作参与,以及2012年7月在Facebook总部举办的DMARC可操作性研讨会,和全球范围的实际运维经验,使得这份协议在过去一年里得到持续改进。
行业组织推进DMARC知晓度和传播度
主要的行业组织都接纳DMARC协议并鼓励他们的成员企业使用DMARC来保护自身品牌和受众免受不法的网络钓鱼诈骗。金融服务及信息分享分析中心(the Financial Services - Information Sharing and Analysis Center——FS-ISAC),金融服务协商会议(the Financial Services Round Table——BITS)以及网络信任联盟(Online Trust Alliance——OTA)已经加入DMARC.org组织,这有利于这些最经常遭受网络钓鱼攻击的企业。
“自从它作为打击邮件滥用手段而首次出现在M3AAGW会议上,M3AAGW组织(http://www.maawg.org/)一直都在支持DMARC的发展,”M3AAGW执行董事Jerry Upton表示,“此外,去年由我们主办的DMARC培训课程名额更是供不应求,这也反映了整个行业对这项全新的、特别有效的技术所表现的浓厚兴趣。”
创立于2004年,旨在提升邮件认证在商业和品牌保护方面的价值,OTA组织从不间断地开设各种教育渠道,包括邮件认证培训学院(Email Authentication Training Academy),邮件发送方的认证部署指南(Email Authentication Deployment Guide for Senders),以及每年一期跟踪记录全球大型银行、大型商务网站和社交网站的邮件认证水平的记分卡(https://otalliance.org/resources/authentication/index.html)。为了DMARC培训,OTA组织在今年2月12号和18号还安排了一系列的DMARC在线研讨会(https://otalliance.org/events/index.html)。
DMARC结合了商业价值和技术价值,正逐步成为一条安全性要求基线,以及基本的品牌和用户保护手段。未对自己的顶级域名部署DMARC的企业品牌,这是把他们的客户和员工置身于令人无法忍受的诈骗邮件和恶意邮件的危险中。”OTA执行董事及主席Craig Spiezle如是说。
BITS组织正在出版一份邮件认证指南给他们的会员,并面向会员配套推出一个可信邮件登记项目(Trusted Email Registry),其中也包含了对DMARC的支持。
“尽管其它社交渠道发展势头迅猛,但电子邮件仍是一个被广泛使用的既有沟通渠道。可惜,同时它又仍是一个被黑客利用于诱导受害者泄露个人隐私或植入恶意软件的渠道。为了保障用户免受损害和诈骗,邮件认证是关键的一环。”BITS主席Paul Smocer介绍说,“很高兴BITS能为DMARC提供持续支持,持续把利害相关集团都团结在一起——发送邮件和提供服务的金融机构——并借助DMARC协议为邮件收发双方采取强有力的邮件认证措施。这些努力将有助于所有客户,尤其是金融服务机构的客户。”
推荐所有感兴趣的企业机构都去阅读并了解这份协议,访问www.dmarc.org申请加入dmarc-discuss邮件列表,开始测试和部署SPF、DKIM和DMARC这些邮件认证协议。DMARC.org组织成员也将参加2月份在MAAWG和RSA会议上与DMARC协议相关的讨论。请访问www.dmarc.org以获取更多相关信息。
本文来源:网易科技报道
责任编辑:
王晓易_NE0011
