پروتکل DMARC چگونه از فیشینگ جلوگیری می کند؟

دیدگاه‌ خود را بنویسید / وبلاگ / از

پروتکل DMARC به‌عنوان راهکار اصلی مقابله با حملات فیشینگ که خطری واقعی برای هر کسب‌وکار محسوب می‌شود، مطرح شده است. این حملات می‌توانند نام برند را به‌شدت تخریب کرده و موجب کاهش اعتماد و از دست رفتن مشتریان شوند. مهاجمان می‌توانند ایمیل‌هایی ارسال نمایند که از لوگوی برند شما استفاده کرده و دقیقاً مشابه ایمیل‌های شما به‌نظر برسند. حتی شما نیز تفاوتی میان این ایمیل‌های جعلی و ایمیل‌های اصلی ارسال‌شده از سرورهای خود مشاهده نخواهید کرد.

تعریف پروتکل DMARC

 DMARCیک پروتکل احراز هویت، سیاست‌گذاری و همچنین گزارش‌دهی محسوب می‌شود. این پروتکل از SPF و DKIM استفاده می نماید و پیوندی به دامنه موجود در قسمت “From” ایجاد می‌کند که سیاست‌هایی برای نحوه برخورد با ایمیل ورودی در صورت وقوع خطا و همچنین گزارش‌دهی به فرستنده، ارائه می‌دهد. بدین ترتیب فرستنده می‌تواند در صورت وجود مشکل، آن را مشاهده کرده و اقدامات مناسب را انجام دهد.

هدف اصلی پروتکل DMARC محافظت در برابر جعل مستقیم دامنه می‌باشد. اگر مهاجمی تلاش کند ایمیلی از یک منبع غیرمجاز ارسال نماید، DMARC آن را شناسایی و مسدود خواهد کرد.

چرا SPF و DKIM کافی نیستند؟

SPF یا Sender Policy Framework با هدف اعتبارسنجی سرورهای ارسال‌کننده ایمیل طراحی شده است. دریافت‌کنندگان، رکورد SPF را بررسی نموده و آدرس IP را مشاهده می‌کنند. این آدرس باید با آدرس IP متعلق به دامنه فرستنده مطابقت داشته باشد.
 مشکل رکورد SPF این است که روی مسیر برگشتی دامنه‌ها اعمال می‌گردد و نه برای دامنه‌ای که در قسمت “From” در رابط کاربری نمایش داده می‌شود. پروتکل DMARC این نقص را با ایجاد “ هم‌راستایی” یعنی ایجاد تطابق میان دامنه قابل مشاهده در قسمت «From» و سرور تایید شده توسط SPF، برطرف می‌کند.

مالک دامنه می‌تواند از رکورد DKIM یا  DomainKeys Identified Mailبرای امضای ایمیل‌هایی که ارسال می‌کند استفاده نماید. این ایمیل‌ها شامل داده‌های اضافی (رمزگذاری‌شده) در بخش هدر خواهند بود که از طریق DNS قابل تأیید می‌باشند. این فناوری نیز بدون نقص نیست. بسیاری از شرکت‌ها کلید را به‌صورت دوره‌ای تغییر نمی‌دهند و این موضوع می‌تواند یک مشکل بزرگ ایجاد نماید. DMARC این مشکل را نیز با فراهم‌سازی امکان Key Rotation (جابجایی کلید) برطرف می‌کند.

مقابله با فیشینگ با پروتکل DMARC

تصویر(۱)

نحوه عملکرد پروتکل DMARC

پیش‌تر توضیح داده شد که پروتکل DMARC بر پایه مجموعه‌ای از سیاست‌ها عمل می‌کند. مدیر سامانه این سیاست‌ها را تعریف و شیوه‌های احراز هویت ایمیل و اقداماتی که سرور دریافت‌کننده در صورت نقض هر یک از سیاست‌ها باید انجام دهد را مشخص می‌کند.

وقتی سرور دریافت‌کننده ایمیل جدیدی دریافت می‌کند، یک Lookup در DNS برای بازیابی رکورد DMARC انجام داده و موارد زیر را ارزیابی می‌کند:

  •  اعتبار امضای DKIM.
  •  انطباق آدرس IP فرستنده با IP های مجاز ثبت‌شده در رکورد SPF.
  •  وجود « هم‌راستایی دامنه» در هدر به صورت صحیح.

با ترکیب نتایج این ارزیابی‌ها، سرور بر اساس سیاست DMARC تعیین‌شده تصمیم می‌گیرد که ایمیل پذیرفته، رد یا نشانه‌گذاری شود. در انتها، سرور گزارشی برای فرستنده ارسال می‌کند.

مزایای پروتکل DMARC

برخی از مزایای کلیدی پیاده‌سازی این پروتکل در ادامه ذکر شده است:

برای فرستنده:

  • نشان می‌دهد که ایمیل با سازوکارهای احراز هویت SPF و DKIM مطابقت دارد یا خیر.
  • امکان دریافت وضعیت ایمیل ارسال‌شده فراهم می‌شود.
  • سیاست‌های مشخص برای مدیریت ایمیل‌های ناموفق اعمال می‌گردد.

برای دریافت‌کننده:

  • احراز هویت ایمیل‌های ورودی به‌صورت ساختاریافته انجام می‌شود.
  • صحت SPF و DKIM برای هر پیام ارزیابی خواهد شد.
  • سیاست تعیین‌شده توسط فرستنده شناسایی و اجرا می‌گردد.
  • گزارش‌دهی و بازخورد مناسب به فرستنده بازگردانده می‌شود.

نمونه رکورد DMARC

رکوردهای DMARC نوعی رکورد متنی (TXT) در DNS می‌باشند و شکل آنها به‌صورت زیر است:

 v=DMARC1;p=reject;pct=100;rua=mailto:postmaster@example.com

توضیحات:

  • V – نسخه پروتکل: در مثال فوق نسخه ۱ می‌باشد.
  • Pct – درصد پیام‌هایی که تحت فیلترینگ قرار می‌گیرند.
  • Rua – آدرس گزارش‌های تجمیعی
  • P – سیاست برای دامنه سازمانی

جلوگیری از جعل ایمیل با پروتکل DMARC

تصویر(۲)

چرا باید از پروتکل DMARC استفاده شود؟

 DMARCپروتکلی برای جلوگیری از کلاهبرداری‌ های ایمیلی و حملات فیشینگ محسوب می‌شود. اهمیت آن و دلایلی که باید از DMARC استفاده شود عبارتند از:

  • جلوگیری از جعل ایمیل: این پروتکل از جعل دامنه جلوگیری می‌کند که یکی از روش‌های رایج در حملات فیشینگ می‌باشد. با احراز هویت ایمیل‌های ارسال‌شده از دامنه شما، DMARC اطمینان حاصل می‌کند که تنها فرستندگان مجاز می‌توانند از نام دامنه شما استفاده کنند.
  • بهبود تحویل‌پذیری ایمیل: پیاده‌سازی این پروتکل می‌تواند احتمال اسپم یا رد شدن ایمیل‌های معتبر توسط سرورهای ایمیل را کاهش دهد. زمانی که دریافت‌کنندگان مشاهده می‌کنند دامنه شما تحت حفاظت پروتکل DMARC قرار دارد، احتمال تحویل ایمیل به Inbox افزایش می‌یابد.
  • حفاظت از اعتبار برند: حملات فیشینگ مبتنی بر دامنه شما، اعتبار سازمان را مستقیما تخریب می‌نمایند. DMARC با مسدود کردن هرگونه استفاده غیرمجاز از دامنه در پیام‌های فیشینگ، ثبات و اعتبار برند را حفظ می‌کند.
  • دریافت گزارش و امکان کنترل بیشتر:  DMARCاز طریق مکانیسم‌های گزارش‌دهی، دید کاملی نسبت به ترافیک ایمیل ارسالی دامنه ارائه می‌دهد. شما می‌توانید نتایج احراز هویت ایمیل‌ها را مشاهده کنید و گزارش‌هایی درباره فعالیت ایمیلی (اعم از ارسال‌کنندگان معتبر و جعلی) دریافت نمایید و اقداماتی پیشگیرانه برای حفاظت از دامنه و زیرساخت ایمیل انجام دهید.

نتیجه‌گیری

DMARC می‌تواند به‌طور قابل توجهی تعداد ایمیل‌های جعلی و اسپم را کاهش دهد. این پروتکل کاملاً بی‌نقص نیست اما در مقایسه با دو راهکار دیگر یعنی SPF و DKIM، سطح امنیت بسیار بیشتری فراهم می‌کند. قابلیت گزارش‌دهی پروتکل DMARC نیز مزیت مهم و ارزشمندی محسوب می شوند.

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

اسکرول به بالا