DMARC-Anweisung
 DMARC-Anweisung |
DMARC-Anweisung
Wie man DMARC heilt. Der Mechanismus zur Identifizierung von E-Mail-Domains, DMARC, hat seine Vor- und Nachteile. Wir haben eine Technologie entwickelt, die eines der Probleme löst.
Wie wir bereits gesagt haben, haben die Menschen während der Existenz von E-Mails viele Technologien entwickelt, die die Empfänger von E-Mails vor Fälschungen (hauptsächlich Phishing-E-Mails) schützen sollten. DomainKeys Identified Mail (DKIM) und das Sender Policy Framework (SPF) hatten erhebliche Nachteile, daher wurde ein Add—In (Domain-based Message Authentication Reporting and Conformance) erstellt, das E-Mails mit einer gefälschten Absenderdomäne identifizieren soll. Aber auch DMARC war alles andere als ideal. Daher haben unsere Forscher eine zusätzliche Technologie entwickelt, um ihre Mängel zu beseitigen.
Wie funktioniert DMARC? Der DMARC-Mechanismus wird im DNS-Ressourceneintrag einer Unternehmensdomäne konfiguriert, die nicht möchte, dass jemand im Namen seiner Mitarbeiter E-Mails sendet. Dies ermöglicht es dem Empfänger von E-Mails, sicherzustellen, dass die Domäne in der Absenderadresse, die im Feld «From:» angegeben ist, mit der Domäne in DKIM und SPF übereinstimmt. Der Eintrag enthält außerdem die Adresse, an die die Mailserver Berichte über den Empfang von E-Mails senden, die nicht überprüft wurden (beispielsweise ist ein Fehler aufgetreten oder es wurde versucht, den Absender zu fälschen).
Reject - ist die strengste Richtlinie, bei der alle E-Mails, die die DMARC-Prüfung nicht bestanden haben, blockiert werden.
Quarantine - Quarantänerichtlinie. Bei dieser Richtlinie wird die E-Mail, abhängig von den Einstellungen Ihres E-Mail-Anbieters, entweder in den Spam-Ordner verschoben oder mit der Bezeichnung «verdächtig» zugestellt.
None - Der Modus, in dem eine E-Mail das Postfach des Empfängers erreicht, der Bericht jedoch trotzdem an den Absender gesendet wird.
Nachteile von DMARC. Im Großen und Ganzen ist DMARC mit seiner Aufgabe fertig — es wird viel schwieriger, eine Phishing-E-Mail einzuschieben. Aber wenn man ein Problem löst, erzeugt dieser Mechanismus ein anderes: Manchmal treten Fehlalarme auf, bei denen legitime E-Mails blockiert oder als «verdächtig» gekennzeichnet werden. Dies geschieht aus zwei Gründen:
Weiterleitung von Briefen. Bei der Weiterleitung von E-Mails brechen einige E-Mail-Systeme die SPF- und die DKIM-Signatur. Dies kann sowohl beim Weiterleiten von E-Mails von verschiedenen Postfächern zu einem oder beim Weiterleiten von E-Mails zwischen Zwischenpostknoten (Relais) auftreten.
Falsche Einstellung. Es ist nicht ungewöhnlich, dass E-Mail-Serveradministratoren bei der Konfiguration von DKIM und SPF einen Fehler machen. Wenn es um geschäftliche E—Mails geht, ist es nicht bekannt, dass es schlimmer ist, einen Phishing-Brief zu erhalten oder keine legitime geschäftliche Nachricht zu erhalten.
Unser Ansatz zur Behebung des DMARC-Mangels. Da wir diese Technologie für eindeutig nützlich halten, haben wir beschlossen, sie zu verstärken, indem wir dem Validierungsprozess zusätzliche maschinelle Lerntechnologie hinzufügen. Dies ermöglicht es, die Effizienz von DMARC zu erhalten und gleichzeitig die Anzahl der Fehlalarme zu minimieren.
Wenn ein Benutzer eine E-Mail erstellt, verwendet er den Mail User Agent (MUA), z. B. Microsoft Outlook. Die MUA ist dafür verantwortlich, die E-Mail zu erstellen und sie zur weiteren Weiterleitung an den Mail Transfer Agent (MTA) zu senden. MUA fügt dem Nachrichtentext, dem Betreff und der Adresse des Empfängers (die der Benutzer selbst ausfüllt) die erforderlichen technischen Überschriften hinzu.
Um die Sicherheitssysteme zu umgehen, verwenden Angreifer häufig «eigene» MUAs. Sie sind in der Regel selbstgemachte E-Mail-Engines, die verwendet werden, um einen Brief nach einem bestimmten Muster zu erstellen und zu füllen, einschließlich der technischen Überschriften des Briefes und ihres Inhalts. Man kann sagen, dass jeder MUA seine eigene Handschrift hat.
Falls eine E-Mail fehlschlägt DMARC, dann kommt unsere Technologie arbeitet in einem cloud-Dienst, der eine Verbindung zusammen mit der Installation von schützenden Lösungen auf das Gerät. Es beginnt, die Header — ihre Sequenz sowie den Inhalt der X-Mailer- und Message—ID-Header - mithilfe eines tiefen neuronalen Netzwerks weiter zu analysieren und ermöglicht es, legitime E-Mails von Phishing-E-Mails zu unterscheiden. Die Technologie wird auf einer riesigen Sammlung von E—Mails trainiert - etwa 140 Millionen E-Mails bei 40% Spam.
Diese Kombination aus DMARC-Technologie und maschinellem Lernen ermöglicht einen angemessenen Schutz vor Phishing-Angriffen und minimiert die Anzahl der Fehlalarme.