Dmarc چیست؟

[NaSRI]

DMARC

ارسال ایمیل های کلاهبرداری از همان ابتدای بوجود آمدن ایمیل وجود داشته است. متاسفانه در ساختار پروتکل های ایمیل راهی برای جلوگیری انها وجود ندارد. در طول سال های گذشته افراد و شرکت های زیادی(که در این زمینه ی ارسال و دریافت ایمیل فعالیت داشتند) برای ایجاد راهکارهایی برای مواجهه با این مسئله کوشیده اند. در طول دهه ی گذشته تکنولوژی هایی نظیر SPF و DKIM برای کسب اطمینان از محتوای سالم پیام های ایمیل ارائه شده اند. حتی با استفاده ی گسترده از آنها روند ایمیل های کلاه برداری و فریبنده، آنچنان کاهش نیافته است؛ روشن نیست که اگر ایمیلی مطابق با DKIM یا SPF نباشد حتما کلاهبرداری هست یا نه. راه حل DMARC -Domain-based Message Authentication, Reporting and Conformance- (مخفف عبارتی انگلیسی به معنی تایید پیام بر اساس دامین، گزارش و تطبیق) یک پروتکل همکاری مابین فرستنده ها و گیرنده های ایمیل است برای چگونگی مواجهه با ایمیل رد شده از تست های SPF و DKIM است
بگذارید کمی عمیق تر در مورد این پروتکل بحث نماییم.
تکنولوژی های SFP و DKIM بیش از 10 سال است که برای بهبود، اعتبار سنجی و تضمین اطلاعات ایمیل های ارسالی مورد استفاده قرار گرفته اند، استفاده و بکارگیری از این دو تکنولوژی روزانه در حال افزایش می باشد اما مشکل ایمیل های فریبنده و کلاهبرداری برطرف نشده است،در گذشته به نظر میرسید که اگر یک میل سرور از این دو تکنولوژی در فایل های سرامد header ایمیل خود استفاده نمایند، دریافت کننده ایمیل ( میل سرور مقصد ) به اسانی جعلی و اصلی بودن محتوای ایمیل را می تواند شناسایی کند که متاسفانه این مورد به 2 دلیل عمده محقق نگشته است.

1. بیشتر کسانی که ایمیل ارسال می کنند ( میل سرور های نظیر گوگل) محیط متفاوت و پیچیده اید برای ارسال ایمیل های خود در اینترنت دارند، اغلب از سرویس های واسط برای ارسال ایمیل های خود استفاده میکنند، اطمینان از اینکه هر ایمیل ارسال شده که دارای رکورد های SPF و DKIM می باشند، مجوز دریافت در میل سرور دیگر را دارند پیچیده می باشد، این موضوع با توجه به سیاست های میل سرور دریافت کننده برای تایید یک ایمیل با ایمیل دیگر متفاوت می باشد، هم چنین مشخص نمی شود که اگر ایمیلی از این دو پروتکل استفاده نمایند معتبر است یا خیر، بدین منظور که ممکن است ایمیل دارای محتوای مجرمانه و سرقت اطلاعات باشد.

1. با وجود الگوریتم های تشخیص اسپم، نیاز است که به طور متداول این الگوریتم ها و پروتکل ها مطابق تکنیک های جدید اسپمر ها بروز رسانی شود، با توجه به این، اشخاص از تکنیک هایی نظیر SPF و DKIM برای ارسال ایمیل استفاده میکنند، نتیجه ان این است که ایمیل های فریبنده و کلاه برداری نیز وارد صندوق الکترونیکی کاربران می شوند.

حل این مشکل لازمه این است که ارسال کننده به نحوی با دریافت کنند ارتباط داشته باشند و دریافت کنند بتواند نظرات خود را برای مالک یک دامنه و سرویس دهنده ایمیل ان ارسال نمایید.
چرا DMARC مهم می باشد؟با افزایش فضای اینترنت و رونق تجارت الکترونیک، اسپمر ها و کلاه برداران یک انگیزه بزرگ مالی برای فعالیت های مخرب خود نظیر سرقت پسوردها، اطلاعات حساب های بانکی و کارت های اعتباری، دارند لذا از این جهت ارسال ایمیل یک راه اسان برای پیشبرد هدفهای انها می باشد، بدین منظور که انها با ارسال ایمیل های جعلی از طرف برند های ( دامنه های نظیر پی پل ، مایکروسافت و ... ) مشهور و معتبر می توانند به راحتی اطلاعات کاربران را با یک لوگوی ساده از ان برند، به سرقت ببرند. در این حالت بیشتر کاربران وجود لوگوی ان برند در ایمیل را به عنوان معتبر بودن ایمیل شناخته و توجهی به صحیح نبودن ایپی میل سرور نمی کنند و اطلاعات خود نظیر پسوردها را به راحتی در اختیار مهاجم قرار می دهند.به صورت کلی، کاربران معمولا نمی توانند اصل یا جعل بودن یک ایمیل را شناسای نمایند، با این حال ارائه دهنده های سرویس ایمیل باید یک تصمیم سختی درباره اینکه کدام ایمیل باید ارسال شود و کدام یک می تواند به کاربر اسیب برساند، اتخاذ نمایند. ارسال کننده های زیادی هستند که از مشکلات شیوه های اعتبار سنجی خود بی اطلاع می باشند، چرا که هیچ راهی برای ارسال و دریافت نظر از کاربران وجود ندارد و مشخص نیست که یک کاربران نظر خود را در مورد یک پیغام و ایمیل چگونه و به کجا باید ارسال کند. متاسفانه تلاش های اخیر پروتکل های SPF و DKIM با توجه به اینکه سرعت بهبودی بخشیدن انها بسیار پایین می باشد و همچنین فقدان ارسال نظر توسط کاربران در این دو تکنولوژی مشاهده میشود، گزینه خوبی برای مانیتور کردن ایمیل ها نمی باشند.DMRAC این مشکل را حل کرده است، به طور کلی این پروتکل به ارسال کننده ها و دریافت کنندها کمک می کند تا با درمیان گذاشتن نظرات خود ایمیل هایی امن تر داشته باشند از اینرو کاربران کمتری در معرض سو استفاده مالی قرار می گیرند.
DMARC چیست و چگونه با Phishing مقابله می کند ؟DMARC یک راهی برای اسان تر کردن شناسایی ایمیل های معتبر برای فرستنده و دریافت کننده و تایید و عدم تایید ان می باشد و راه حلی به کاربر در هنگام مواجه با ایمیل های نامعتبر نشان می دهد؛از این رو به شناسایی ایمیل های اسپم و Phishing برای عدم دریافت انها در صندوق الکترونیکی کاربران کمک شایانی می نماید.DMARC یک استاندارد تعریف شده می باشد که این اجازه را به ارسال کننده و دریافت کننده ایمیل می دهد که اطلاعاتی در مورد ایمیل ها ارسالی و دریافتی با یک دیگر به اشتراک گذارند.این اطلاعات به ارسال کننده کمک میکند تا زیر ساخت و نحوه اعتبار سنجی یک ایمیل را بهبود بخشد بدین منظور که تمامی ایمیل های ارسالی و دریافتی معتبر می باشند، این اختیار را به مالک یک دامنه اینترنتی می دهد که ایمیل جعلی وارد فولدر اسپم کاربر شود و یا به طور کلی برگشت داده شود.
آیا DMARC با کلیه حملات phishing مقابله میکند؟خیر، DMARC تنها قادر به جلوگیری از جعل کردن ایمیل های یک دامنه خاص می باشد به عنوان مثال اگر مالک یک دامنه ای مثل example.com از این پروتکل برای محافظت از دامنه خود استفاده نماید ، این محافظت بروی دامنه مشابه مثل otherdomain.com و یا example.net اعمال نمی شود.در حالی که استفاده جعل نام دامنه برای کلاه برداری راه حل متداولی می باشد، حملات مختلفی نیز وجود دارند که DMARC قادر به مقابله با انها نیست برای مثال، DMARC قادر به جلوگیری از ارسال ایمیل هایی که با نام دامنه مشابه مثل example.net ارسال می شود، نیست و یا سو استفاده از نام مشابه در قسمت FROM یک ایمیل که بنظر برسد ایمیل از یک دامنه معتبر می باشد.
DMARC چه نوع ایمیلی را مورد بررسی قرار می دهد؟در واقع DMARC برای محافظت از جعل ارسال ایمیل از طریق دامنه اصلی، طراحی شده است، زمانی که یک ایمیل از طریق یک ارسال کننده غیر مجاز ( هرچند توسط فعالیت های مخرب ارسال شود یا از قسمت یا بخش دیگری از شرکت که مالک دامنه است، ارسال شود) DMARC می تواند این فعالیت غیر مجاز را شناسایی نماید و در صورت پیکربندی بروی دامنه ، می تواند موجب بلاک شدن و یا حذف ایمیل ها در زمان دریافت شود.چرا DMARC مورد نیاز می باشد؟ کاربران و شرکت های که از اینترنت استفاده می نمایند، از دریافت تعداد بالای ایمیل های اسپم و جعلی رنج می برند، طی چند سال اخیر روش های مختلفی معرفی شده اند تا اصل بودن و نبودن یک ایمیل از دامنه خاصی را مشخص نمایند. گرچه :

1. این مکانیزم ها به صورت مستقل از یکدیگر کار می کنند و نمی تواند به صورت یکپارچه مورد استفاده قرار گیرند.
   
2. هر دریافت کننده ایمیل، تصمیم متفاوتی برای ارزشیابی ایمیل اتخاذ می کند و این برای همه یکسان نمی باشد.
   
3. مالک قانونی دامنه هیچگاه نمی تواند نظری از سمت کاربران دریافت نماید.

DMARC تلاش می کند تا موارد بالا را با ارائه روش های زیر برای مالک دامنه و دریافت کننده ایمیل برطرف نمایید.الف : مالک دامنه

1. اعلام می نمایند که انها از پروتکل های SPF و DKIM به عنوان اهراز حویت استفاده می کنند
   
2. ارائه یک ایمیل ادرس برای دریافت نظر درباره پیغام هایی که از دامنه انها به صورت قانونی و یا غیر قانونی ارسال می شود
   
3. تنظیم سیاستی برای پیغام های که تایید نمی شوند به عنوان مثال گزارش داده شوند، یا قرنطینه شوند و یا برگشت داده شوند.

ب : دریافت کننده ایمیل:

1. مطمعن شوند که دامنه ارسال ایمیل از قوانین اهراز حویت ایمیل استفاده میکند.
   
2. همیشه صحیح بودن رکورد های SPF و DKIM در زمان ارسال و بعد از دریافت توسط کاربر ارزیابی شود
   
3. ارائه نظر به مالک دامنه در مورد پیغام هایی که از دامنه انها ارسال می شود.