DMARC機制(基於域的消息認證,報告和一致性)存在一些缺陷,不過我們研發了可以將其完善的技術。
在電子郵件的發展歷程中,人們想出了各種各樣的技術來保護收件人不受欺詐郵件(主要是釣魚郵件)的攻擊。域名識別郵件(DKIM)和發送方策略框架(SPF)都存在嚴重缺陷,基於域的消息認證報告和一致性(DMARC)機制可以被用於識別那些使用偽造發送域的郵件。然而它也並非理想的解決方案,因此我們的安全研究人員研發了一種技術來消除這個安全機制中的缺點。
DMARC工作原理
如果要防止外部人員以某公司員工名義發送電子郵件,可以在該公司的DNS資源記錄中配置DMARC,這本質上將允許收件人確保郵件中”寄件人”一欄中的域名與DKIM和SPF中一致。而且該記錄還指定了郵件伺服器在收到驗證失敗(比如發生錯誤或者檢測到偽造寄信人)的郵件時應該向什麼地址發送報告。
在這條資源記錄中,你還可以配置DMARC策略來指定如何處理驗證失敗的消息,有以下三種選擇:
- 拒絕是最嚴格的的策略,選擇這一策略來阻攔所有沒有通過DMARC檢查的郵件。
- 如果選擇了隔離策略,根據郵件服務商的具體設置,郵件要麼被轉至垃圾文件夾,要麼被標記為可疑郵件。
- 選擇無策略來允許消息正常發送至收件人信箱,不過發送者會收到一份報告。
DMARC的缺點
總的來說DMARC功能很強大,這一安全技術讓網路釣魚變得愈發困難。然而這一機制在解決問題的同時也造成了新的問題:誤報。在以下兩種情況中,正常的郵件可能會被阻攔或者標記為垃圾郵件:
- 轉發的消息,有些郵件系統在轉發的消息中破壞了SPF和DKIM簽名,無論消息是由信箱轉投還是在中間節點間互相轉發,這種情況都可能發生。
- 錯誤的設置,郵件伺服器管理員在配置DKIM和SPF常常會犯下各種錯誤。
對於企業電子郵件來說,我們既不想允許釣魚郵件攻擊收件人,也不想阻攔正常消息,很難說哪種情況更糟。
修復DMARC缺陷的方法
毫無疑問該安全機制十分有用,所以我們決定使用機器學習技術來強化該機制中的驗證過程,在不削弱DMARC優勢的情況下將誤報可能性降到最低。其工作原理如下:
當用戶寫郵件時,他們使用諸如微軟Outlook之類的郵件用戶代理(MUA),它負責生成消息並將其發送至郵件傳輸代理(MTA)進一步轉發。除了用戶填寫的郵件內容、主題和收件人地址之外,郵件用戶代理會添加必要的頭部訊息。攻擊者往往使用他們自己的郵件用戶代理來繞過安全系統,它們通常是攻擊者自己編寫的郵件引擎,基於一定的模板產生郵件消息並添加頭部訊息,每個這樣的郵件用戶代理都有它自己獨特的”筆跡”。
如果接收到的郵件沒有通過DMARC檢查,我們的技術將發揮作用,它可以運行在雲服務上,並且和設備上的安全解決方案相互連接。它使用神經網路對郵件頭部的序列以及X-Mailer和Message-ID頭部的內容進一步分析,從而幫助安全解決方案區分正常郵件和網路釣魚郵件。我們的技術模型已經過海量郵件訊息(大約1.4億封郵件,其中40%是垃圾郵件)的訓練。
結合DMARC機制和機器學習技術,這將幫助我們在保護用戶不受釣魚攻擊的同時將誤報次數降到最低。我們已經將該技術應用於所有擁有垃圾郵件過濾組件的卡巴斯基產品:卡巴斯基安全軟體微軟郵件伺服器,卡巴斯基安全軟體Linux郵件伺服器,卡巴斯基安全軟體郵件網關,它們都是卡巴斯基中小企業安全解決方案中的安全組件。
資料來源: https://www.kaspersky.com/blog/how-to-cure-dmarc/36787/