事實上,DMARC技術規格的發展已接近兩年,包括Google在內的許多業者皆已導入
DMARC,Google最近的資料顯示,Gmail中的非垃圾郵件已約有15%是來自於受到DMARC保
護的網域。
包括Google、微軟、PayPal在內的15家電子服務與技術供應商周一(1/30)宣布成立
DMARC.org組織,打算推動DMARC技術規格以共同防禦網路釣魚。
DMARC的全名為Domain-based Message Authentication, Reporting & Conformance
(以網域為基礎的訊息認證、報告與一致性),該標準將讓電子郵件寄送端與接收端更
容易判斷特定訊息是否來自合法的寄送人,因而也更容易辨識垃圾或網路釣魚訊息。
DMARC的政策允許寄送端註明他們的郵件是經由SPF郵件認證系統或DKIM網域金鑰認證所
保護,並告知接收端若這郵件沒有通過這兩項認證的處理方式,例如移到垃圾信箱或直
接防堵該郵件。DMARC免去了寄送端對這些可能是假冒郵件的猜疑,避免使用者曝露於
網釣的風險中,同時也讓接收端能回傳報告,以讓發送端能改善郵件認證架構。
共同創辦DMARC.org的包括AOL、Comcast、Google、微軟、Yahoo、Facebook、美國銀
行、American Greetings、Paypal、LinkedIn及Fidelity等15家業者,並由PayPal的客
戶安全協會的資深經理Brett McDowell擔任DMARC.org的主席。McDowell表示,透過電
子郵件的網路釣魚每天都矇騙數百萬的使用者與企業,造成消費者對電子郵件或整個網
路喪失信心,產業的合作、技術與消費者教育都是對抗網路釣魚的關鍵。
DMARC.org表示,現在電子郵件的接收端缺乏可靠的方式了解寄送端是否使用SPF或DKIM
來認證訊息,這使得郵件服務供應商必須透過複雜且殘缺的方式來區分合法或網釣郵
件,DMARC有更全面與完整的方式以讓郵件寄送端於架構中嵌入各種郵件認證技術,而
且也讓電子郵件供應商回傳詳細的報告,形成反饋迴圈而提高整個電子郵件體系的信賴
等級。
事實上,DMARC技術規格的發展已接近兩年,包括Google在內的許多業者皆已導入
DMARC,Google最近的資料顯示,Gmail中的非垃圾郵件已約有15%是來自於受到DMARC保
護的網域,代表使用者不用擔心這些寄送者的身份。DMARC.org打算把此一規格提交給
網際網路工程任務小組(Internet Engineering Task Force,IETF)以進行標準化。
沒有留言:
張貼留言