Google ve Yahoo’nun gereksinimleri iyi bir başlangıç ve pazar daha sıkı gereksinimlere hazır değil Gereksinimlerin Google için Şubat 2024’e kadar, Yahoo için ise “2024’ün ilk çeyreğinde” karşılanması gerekecek Tüm şirketlerin yaklaşık yarısı, katı bir politika uygulamak için DMARC kayıtlarını belirledi Şu anda şirket her gün yaklaşık 15 milyar e-posta işliyor ve şirket her mesajın doğrulanmasını gerektirdiğinden, kimliği doğrulanmamış mesajların sayısı %75 azaldı Gereksinimler bazı şekilde kimlik doğrulama
Kimlik Doğrulama Sadece BaşlangıçtırDMARC gereksinimlerinin amacı, tüm meşru e-postaların, DNS hizmetlerinde DMARC kayıtları oluşturmasını sağlamak ve alınan e-posta iletilerinin başlıklarını kontrol etmek için kimlik doğrulama bilgileri sağlamaktır
Google, yeni kuralları belirli bir günde Gmail adreslerine 5 Büyük hacimli göndericilerden birkaçı bunu iyi bir şekilde yapıyor ve sonra da bunu başarıyorsunuz Herkesi yakaladı, bu yüzden ekosistemde suiistimal bu kadar yaygın ”
E-posta güvenlik teknolojileri üçlüsü son yıllarda, özellikle de şirketlerin uzaktan operasyonlara zorlandığı koronavirüs salgını sırasında hızla benimsenmeye başladı “Filtrelerin bu kalıpları yakalamaya başlayacağını, kimlik doğrulamanın avantajlarından yararlanacağını ve daha iyi bir iş çıkaracağını umuyorum; etkileri genel olarak görmeliyiz
“Kötü niyetli bir aktör, gereksinimlerden etkilenmemek için ya eşiklerin altında kalabilir ya da meşru hizmetleri kullanabilir” diyor ve ekliyor: “Bu yeni gereksinimlerin spam ve kimlik avı düzeyi üzerinde bir miktar etkisi olmalı, ancak bunu ölçmek zor Gereksinimlerin ne kadar önce uygulamaya konulduğu ve aynı zamanda DKIM, SPF ve DMARC’nin doğru şekilde uygulanmasına da bağlıdır
“Bu nedenle, kampanyaları tespit etmek ve durdurmak için yalnızca gönderen bilgilerini izleyen standartlara güvenmek boşunadır” diyor
Gereksinimler — tarafından duyurulan Google Ve yahoo Ancak bu hafta pazarlamacıların çok daha ilerisine ulaşacak ve güvenlik teknolojilerini benimseme konusunda geride kalan tüm şirketleri yetişmeye zorlayacak
Google’ın Gmail Güvenlik ve Güven grubunun grup ürün müdürü Neil Kumaran, iki büyük sağlayıcının gereksinimlerinin, benimseme daha etkili güvenlik önlemlerinin mümkün olacağı bir düzeye ulaşana kadar daha fazla şirketi DMARC’yi benimsemeye itmesi gerektiğini söylüyor ”
Google, gereksinimlerin kendi platformunda e-posta kimlik doğrulamasının neredeyse tamamen benimsenmesine yol açmasını bekliyor “Sahte veya kimliği doğrulanmış mesajlar asla kullanıcıların gelen kutularına ulaşmıyor ve bu nedenle, gereksinimlerin olduğu Google ve Yahoo’nun çok dışında, bu sürü bağışıklığını ve korumayı geniş ölçekte elde ediyoruz ”
Geçici Çözümler BekleyinBishop Fox’un kıdemli danışmanı Raf Marconi, gereksinimler muhtemelen tüm meşru pazarlama firmalarının e-posta güvenlik yapılandırmalarını ayarlamasını gerektirecek olsa da şirketlerin kötü aktörlerin spam, kimlik avı ve kötü amaçlı yazılım göndermeye devam edecek yollar bulmasını beklemesi gerektiğini söylüyor Ancak kâr amacı gütmeyen alanların yalnızca %1’inde DMARC kuruludur Ayrıca pazarlamacıların spam oranlarının %0,3’ün altında olması ve tek tıklamayla abonelikten çıkma olanağı sunması gerekiyor Yahoo, gereklilikleri “toplu gönderenlere” uygulayacak, ancak blog yazısında toplu gönderenin ne olduğu tanımlanmıyor
“Kimin sizin adınıza gönderme yetkisine sahip olduğunun kontrolü sizdedir; bu, mesaj dünyanın her yerindeki herhangi bir posta kutusu sağlayıcısına gittiğinde, kimlik doğrulamanın mevcut olduğu ve DMARC’den yararlanabilecekleri anlamına gelir ”
Yakın tarihli bir raporda, internet hizmetleri firması Cloudflare, spam olarak engellenen mesajların %89’unun doğru SPF, DKIM veya DMARC bilgilerine sahip olduğunu tespit etti; bu da teknolojilerin denklemin bir parçası olduğunu ancak tüm çözümün olmadığının altını çiziyor, diyor saha CSO’su Oren Falkowitz ”
Valimail’den Blank bu noktayı güçlendirdi
Şubat 2024 itibarıyla, Google veya Yahoo aracılığıyla 5
“Kötü oyuncular genellikle en iyi uygulamaları takip eden ilk kişiler olur” diyor ” diyor
Google’dan Kumaran, bu nedenle kaynakların daha iyi tanımlanmasının ve mesajların daha güçlü tanımlanmasının e-posta teknolojisini geliştirmenin anahtarı olduğunu söylüyor “Gerçek zararları çözmek için, güvenlik ekiplerinin kimlik avı içeren ve hasara neden olan yükleri, dosyaları, bağlantıları ve kötü niyetli istekleri tanımlaması ve bunlar üzerinde kontrol sahibi olması gerekir
“DMARC’yi bizim istediğimiz şekillerde benimseyen gönderenler, yapılandırmalarıyla ilgili sorunları belirlemelerine yardımcı olacak çok sayıda bilgi geri almaya başlıyor [and] değiştirmek isteyebilecekleri şeyler” diyor Bulut parlaması haberlerle ilgili bir blog “SPF, DKIM veya DMARC’ye sahip olmanın postanın iyi olduğu anlamına geldiği varsayımı yanlıştır Sonuç olarak, e-posta gönderenlerin yaklaşık yarısının bir DMARC kaydı var, ancak yalnızca %14’ü DMARC’yi katı bir karantina veya reddetme politikası uygulayacak şekilde ayarladı; bir DMARC hizmet sağlayıcısı olan Valimail’den alınan verilere göre, genel olarak nihai hedef olarak kabul ediliyor 000’den fazla e-posta mesajı gönderen herhangi bir şirketin, Alan Adı Tabanlı Mesaj Kimlik Doğrulaması Raporlaması ve Uygunluğu (DMARC) olarak bilinen bir kimlik doğrulama teknolojisini kullanmaya başlaması gerekecek ”
Blank, gönderenin kimlik doğrulaması tamamlandıktan sonra güvenlik satıcıları ve e-posta sağlayıcılarının kötü trafiği daha iyi filtreleyebileceğini söylüyor ”
E-posta Güvenliğinin YaygınlaştırılmasıGoogle, blog yayınında, e-posta gönderen alanların kimliğini doğrulamak için hem SPF hem de DKIM kayıtları da dahil olmak üzere gereksinimlerini özetledi; alan adı için bir DMARC kaydı; ve “hizalama” olarak bilinen, SPF veya DMARC kaydıyla eşleşen bir “Kimden” başlığı Ancak Valimail’in baş teknoloji sorumlusu Seth Blank, büyük e-posta sağlayıcılarının çıtayı hızla yükselteceğini umuyor “Yeni gereksinimler, sektörün e-posta kimlik doğrulamasına ve en iyi uygulamalara bakış açısında bir değişikliğe işaret ediyor: Bir zamanlar bir öneri dizisi olan şey, artık uygulanabilir bir dizi tavsiye haline geliyor
“Kimlik doğrulamanın kendisi, spam’i durdurmak için sihirli bir değnek değildir ancak yaptığı şey, herkesin akan e-postayı daha iyi anlamasını sağlamaktır” diyor “Dolayısıyla, gönderenin DMARC’yi benimsemesinin ve bu şeyler hakkında toplu olarak düşünmesinin maddi faydası var
Bir e-posta pazarlama hizmeti olan Twilio SendGrid’in endüstri ilişkilerinden sorumlu başkan yardımcısı Len Shneyder, Google’ın duyurusunun ve Yahoo!’nun eşleştirme hamlesinin DMARC’nin benimsenmesinin artık bir öneri olmadığı anlamına geldiğini yazdı Sender Policy Framework (SPF) ve DomainKeys Identified Mail (DKIM) kullanan kuruluşlar, daha iyi kimlik doğrulama yoluyla kimliğe bürünmeye karşı koruma elde ederken, DMARC, e-postalarının sahte olup olmadığına ilişkin bilgi toplamak için alan adı sahibine geri dönen bir bildirim kanalı oluşturur “Çıtayı yükseltmeleri beni heyecanlandırıyor, ancak şu anda elimizde tutarsız bir şekilde uygulanan bir dizi en iyi endüstri uygulaması var ”
siber-1
“Bunun kesinlikle harika olduğunu düşünüyorum, ancak yeterince ileri gitmediğini düşünüyorum” diyor 000’den fazla mesaj gönderen kişilere uygulayacak
“[W]Yahoo’nun haberleriyle birlikte bunu yeni normal olarak değerlendirebilirsiniz” diye yazdı Hemen hemen her e-posta sağlayıcısı, DMARC uyumuyla ilgili bilgileri bir alanın yetkili sahibine geri bildirecektir