咨詢郵箱?咨詢郵箱:[email protected] 咨詢熱線?咨詢熱線:0431-81793699 微博 微信
DMARC -- 反釣魚郵件利器 or 曇花一現?
發表日期:2018-01-02   文章編輯:    瀏覽次數: 360

【寫在前面】
————————————————————————
    目前來說,[DMARC]協議是一個新鮮事物(對DMARC的介紹請見我的另一篇博文 http://blog.163.com/[email protected]/blog/static/9800324520123147328334/ ),有越來越多的Email服務商支持這份協議,利用它來攔截釣魚郵件和詐騙郵件。
    而DMARC聯盟(http://dmarc.org),銀行/在線支付商,Email服務商,IT媒體,普通用戶等各方無不拍手稱好,但也已經有資深IT專業人士犀利地指出其局限性。
    閑暇之時,梳理了一下各方的聲音,在本文小結時也表達一下一些個人拙見。

【觀點1】
————————————————————————
    第一類觀點(主流觀點): DMARC協議是打擊釣魚郵件的實用利器。
    這類觀點主要來自: DMARC官方+主流媒體等。

    他們認為,DMARC協議抓住了釣魚郵件的要害(信頭From字段),并結合主流的DNS/SPF/DKIM等基礎技術做為輔助工具。一方面,對DMARC協議的支持技術難度不大,另一方面,DMARC帶來的開銷不大但識別效果明顯,是一款低開銷+高效應+諸多優勢的電子郵件安全工具。

    下面是持此觀點的一些網頁:

【觀點2】
————————————————————————
    第二類觀點: DMARC協議對釣魚郵件并非無所不能。
    這類觀點主要來自: IT專業人士等。

    這類觀點并非主流觀點,只是我在DMARC討論郵件列表中看到一位法國IT同行(Sébastien Goutal,來自vade-retro.com)的非正式評論,但也算代表了一類觀點。
    Sébastien認為,DMARC對于“域名偽造”的釣魚郵件(exact-domain phishing)有一定殺傷力,但是對所有類型的釣魚郵件來說,DMARC作用還是有限的。Sébastien手頭有統計數據顯示,現在exact-domain phishing的數量逐日減少,一旦phisher們知道DMARC的存在,狡猾的他們將會棄用exact-domain這類釣魚手段(這對phisher們來說影響不大),而從容地改用/新造其他詐騙技術手段。

    Sébastien的郵件還提出一些打擊釣魚詐騙的建議,譬如多方協作的on-line database,鼓勵支付商使用雙因素認證(Two-factor Authentication)技術等,但有點超出DMARC的討論范疇。
    大家可在DMARC討論郵件列表的歷史記錄中找到Sébastien的這封郵件。


【觀點3】
————————————————————————
    第三類觀點: DMARC的吸引力不夠。
    這類觀點主要來自: 小型ISP,小型郵件系統等。

    相對上述兩類觀點,持第三類觀點的人數就更少了,但還是會有。
    如果你加入了DMARC討論郵件列表,興許你會看到類似的觀點:
John Levine:
...
I'm sure DMARC will be just dandy for big providers and big brands, who tend to know what they're doing. But I wouldn't spend a lot of effort trying to implement policy from random domains you don't know.
    他們的說法也無可厚非。
    對一些大中型公司/郵箱系統站點來說,升級其郵件系統的MTA,使之支持DMARC檢查,難度/代價可能不大。但對于一些偏小型或技術支持有限的公司/站點來說,或許就不一樣了,盡管他們心底也看好DMARC。


【個人拙見】
————————————————————————
    借著對DMRAC有些許了解,我也斗膽說說自己對DMARC的看法,僅代表個人觀點。

    首先,DMARC是優秀的。官方聰明地借用SPF/DKIM這兩項被廣泛支持的協議,并抓住了釣魚郵件經常偽造的信頭From:字段,以此提出了自己的檢查邏輯。
    其次,DMARC是有效的。在實際應用中,可以看到部署DMARC的機器上有數量不菲的釣魚郵件/詐騙郵件/垃圾郵件被DMARC算法識別出來,這些郵件謊稱發自Paypal,Facebook,LinkedIn,Amazon,emarsys等知名廠商,要求收件人提供個人資料,銀行賬戶密碼等信息,郵件內容和措辭口吻都和官方郵件一模一樣,迷惑性極高,普通網友難以辨其真偽而往往上當受騙。而正是DMARC幫助 網易/Gmail/Hotmail(這3家都是DMARC官方委員會的企業)等支持[DMARC]協議的Email服務提供商將它們識別出來,真真切切地保護了自己的郵箱用戶。
    下面是一張DMARC攔截釣魚郵件的記錄截圖:
DMARC -- 反釣魚郵件利器還是曇花一現? - panda - 紐約市委陳書記s Blog

    再次,DMARC是不斷完善的。 DMARC官方深知目前的DMARC協議還不夠成熟,在不斷地聽取各方的意見和建議,修改DMARC協議的內容,不斷完善和加強其功能。相信這些改進,將使DMARC協議發揮更大的功效,更好地打擊萬惡的釣魚郵件/詐騙郵件。
    從DMARC官網上的多份DMARC Draft草案,從DMARC官方組織不同的交流會議,從全球范圍內越來越多人加入/支持DMARC等等跡象,就可以看出這一點。

    當然,DMARC也不是無所不能的。從技術層面說,目前的DMARC只能識別出針對“信頭From:字段的域名”的偽造,還無法識別其他的偽造手段,譬如:
    這樣一來,phisher們就仍有辦法繞過DMARC,繼續發送釣魚郵件。。。


【小結】
———————————————————————— 
    應該說,打擊釣魚郵件/詐騙郵件依舊是任重道遠?;蛟S真如 Sébastien先生所言,DMARC終有一天會失去功效(不過我個人覺得,這一天還遠著)。
    但無可否認的客觀事實是,誕生至今未到半年的DMARC協議,已經在全球各地發光發熱,保護著知名廠商的域名不被非法利用,減少Email用戶們免受釣魚郵件/詐騙郵件之苦。

    假如你有需要發送交易性郵件(譬如 注冊信息,密碼找回,賬單通知,交易記錄 等郵件)的域名,而且你的域名正在被abuser用于釣魚 或者 希望避免被用于釣魚,或者你只是想了解一下是不是有人在釣魚你的域名,你都可以在DNS里發布一條DMARC記錄(注意根據你的域名的實際情況,靈活變動p/sp/pct標簽來發布合適的DMARC記錄),借助DMARC來達到你的目的。
    但假如你的域名規模很小或沒有被釣魚的風險(譬如 小型個人網站(通常壞人“不屑于”去釣魚這類域名),提供免費注冊帳號的網站(如163.com,壞人們寧可批量注冊/購買帳號,也不愿大費周章去釣魚這類域名) 等域名)的話,那么DMARC記錄可能跟你關系不大,大可不必為趕時髦而去發布DMARC記錄,免得弄巧成拙。

    我相信隨著DMARC協議的不斷成熟和完善,隨著越來越多的人發布DMARC記錄來保護自己的域名,將會有越來越多的企業及其用戶受惠于此。
    和許許多多同行者一樣,我們也衷心期待著在這個垃圾郵件/釣魚郵件/詐騙郵件肆虐猖獗的時代,能有更多IT從業者,更多社會機構(法律/行政/社會組織/etc)齊心協力,提出可行的方案打擊這些壞人,還互聯網一片純凈天空 DMARC -- 反釣魚郵件利器還是曇花一現? - panda - 紐約市委陳書記s Blog。

相關文章推薦
腾讯分分彩全天开奖 银座股份股票 11选5江西玩法 河北快三今天走势图 喜乐一购app 000002股票分析 加拿大快乐8开奖网站 股票指数几个点怎样换算 七星彩开奖走势图表 福耀玻璃股票最新消息 幸运农场怎么玩