مزایای پروتکل امنیتی DMARC
مقالات تخصصی IT و هاستینگ 10 فروردین 1405 ساعت 10:00

پروتکل DMARC چیست؟ راهنمای کامل امنیت ایمیل و مقابله با فیشینگ

پروتکل امنیتی DMARC به‌عنوان راهکار اصلی مقابله با حملات فیشینگ که خطری واقعی برای هر کسب‌وکار محسوب می‌شود، مطرح شده است. این حملات می‌توانند نام برند را به‌شدت تخریب کرده و موجب کاهش اعتماد و از دست رفتن مشتریان شوند. مهاجمان می‌توانند ایمیل‌هایی ارسال نمایند که از لوگوی برند شما استفاده کرده و دقیقاً مشابه ایمیل‌های شما به‌نظر برسند. حتی شما نیز تفاوتی میان این ایمیل‌های جعلی و ایمیل‌های اصلی ارسال‌شده از سرورهای خود مشاهده نخواهید کرد.

پروتکل امنیتی DMARC چیست؟

DMARC یک پروتکل احراز هویت، سیاست‌گذاری و همچنین گزارش‌دهی محسوب می‌شود. این پروتکل از SPF و DKIM استفاده می نماید و پیوندی به دامنه موجود در قسمت «From» ایجاد می‌کند که سیاست‌های نحوه برخورد با ایمیل ورودی در صورت وقوع خطا را مشخص نموده و گزارش‌ بسیار مهمی نیز به فرستنده ارائه خواهد کرد. به این ترتیب فرستنده می‌تواند در صورت وجود مشکل، آن را مشاهده کرده و اقدامات مناسب را انجام دهد.

هدف اصلی پروتکل امنیتی DMARC محافظت در برابر جعل مستقیم دامنه می‌باشد. اگر مهاجمی تلاش کند ایمیلی از یک منبع غیرمجاز ارسال نماید، DMARC آن را شناسایی و مسدود خواهد کرد.

تاثیر پروتکل امنیتی DMARC بر بهبود تحویل‌پذیری ایمیل به Inbox

تصویر(1)

چرا SPF و DKIM کافی نیستند؟

SPF یا Sender Policy Framework با هدف اعتبارسنجی سرورهای ارسال‌کننده ایمیل طراحی شده است. دریافت‌کنندگان، رکورد SPF را بررسی نموده و آدرس IP را مشاهده می‌کنند. این آدرس باید با آدرس IP متعلق به دامنه فرستنده مطابقت داشته باشد.
مشکلی که در SPF وجود دارد این است که رکورد SPF برای Return-Path (آدرسی که سرور جهت دریافت خطاها استفاده می‌کند) دامنه‌ها اعمال می‌گردد و دامنه‌ای که در قسمت «From» رابط کاربری نمایش داده می‌شود را در نظر نمی گیرد. DMARC این نقص را با ایجاد Alignment (هماهنگی) یعنی ایجاد تطابق میان دامنه قابل مشاهده در قسمت «From» و سرور تایید شده توسط SPF، برطرف می‌کند.

مالک دامنه می‌تواند از رکورد DKIM یا DomainKeys Identified Mail برای امضای ایمیل‌هایی که ارسال می‌کند، استفاده نماید. این ایمیل‌ها شامل داده‌های اضافی (رمزگذاری شده) در بخش هدر خواهند بود که از طریق DNS قابل تأیید می‌باشند. این فناوری نیز بدون نقص نیست. بسیاری از شرکت‌ها کلید را به‌صورت دوره‌ای تغییر نمی‌دهند و این موضوع می تواند یک مشکل بزرگ ایجاد نماید. پروتکل امنیتی DMARC این مشکل را نیز با فراهم‌سازی قابلیت Key Rotation (تغییر دوره ای کلید) برطرف می‌کند.

نحوه عملکرد DMARC

پیش‌تر توضیح داده شد که پروتکل امنیتی DMARC بر پایه مجموعه‌ای از سیاست‌ها عمل می‌کند. مدیر سامانه این سیاست‌ها را تعریف و شیوه‌های احراز هویت ایمیل و اقداماتی که سرور دریافت‌کننده در صورت نقض هر یک از سیاست‌ها باید انجام دهد، مشخص خواهد کرد.

وقتی سرور دریافت‌کننده، ایمیل جدیدی دریافت می‌کند، یک Lookup در DNS برای استخراج رکورد DMARC انجام داده و موارد زیر را ارزیابی می نماید:

  •  اعتبار امضای DKIM.
  •  انطباق آدرس IP فرستنده با IP های مجاز ثبت‌شده در رکورد SPF.
  •  وجود Alignment صحیح در هدر.

با ترکیب نتایج این ارزیابی‌ها، سرور بر اساس سیاست DMARC تعیین‌شده، تصمیم می‌گیرد که ایمیل پذیرفته، رد یا علامت‌گذاری شود. در انتها، سرور گزارشی برای فرستنده ارسال می‌کند.

نحوه عملکرد پروتکل امنیتی DMARC

تصویر(2)

مزایای پروتکل امنیتی DMARC

برخی مزایای کلیدی پیاده سازی این پروتکل عبارتند از:

برای فرستنده:

  • نشان می‌دهد که ایمیل با سازوکارهای احراز هویت SPF و DKIM ارسال شده است.

  • امکان دریافت بازخورد درباره وضعیت ایمیل ارسال شده فراهم می‌شود.

  • سیاست های مشخص برای مدیریت ایمیل های ناموفق اعمال می‌گردد.

برای دریافت‌کننده:

  • احراز هویت ایمیل های ورودی به صورت ساختاریافته انجام می‌شود.

  • صحت SPF و DKIM برای هر پیام ارزیابی خواهد شد.

  • سیاست تعیین‌شده توسط فرستنده، شناسایی و اجرا می‌گردد.

  • گزارش‌دهی و بازخورد مناسب به فرستنده بازگردانده می‌شود.

نمونه رکورد DMARC

رکوردهای DMARC نوعی رکورد متنی (TXT) در DNS می‌باشند. شکل آنها به صورت زیر است:

v=DMARC1;p=reject;pct=100;rua=mailto:postmaster@example.com

توضیحات:

  • V – نسخه پروتکل. در مثال فوق نسخه ۱ می‌باشد.

  • Pct – درصد پیام‌هایی که تحت فیلترینگ قرار می‌گیرند.

  • Ruf – آدرس گزارش‌های تحلیلی (ruf=mailto:authfail@example.com).

  • Rua – آدرس گزارش‌های تجمیعی (rua=mailto:aggrep@example.com).

  • P – سیاست برای دامنه سازمانی (p=quarantine).

  • Sp – سیاست برای زیردامنه های دامنه سازمانی (sp=reject).

  • Adkim – هماهنگی رکورد DKIM: برای مثال adkim=s.

  • Aspf – هماهنگی رکورد SPF: برای مثال aspf=r.

جلوگیری از حملات فیشینگ و جعل دامنه با تنظیمات DMARC

تصویر(3)

چرا باید از پروتکل DMARC برای احراز هویت ایمیل استفاده شود؟

DMARC پروتکلی برای جلوگیری از کلاهبرداری‌های ایمیلی و حملات فیشینگ محسوب می‌شود. اهمیت آن و دلایلی که باید مورد استفاده قرار گیرد عبارتند از:

  • جلوگیری از جعل ایمیل: این پروتکل از جعل دامنه جلوگیری می‌کند که یکی از روش‌های رایج در حملات فیشینگ می‌باشد. با احراز هویت ایمیل های ارسال‌شده از دامنه شما، پروتکل امنیتی DMARC اطمینان حاصل می‌کند که تنها فرستندگان مجاز می‌توانند از نام دامنه شما استفاده کنند.

  • بهبود تحویل‌پذیری ایمیل: پیاده‌سازی این پروتکل می‌تواند شانس اسپم یا رد شدن ایمیل‌های معتبر توسط سرورهای ایمیل را کاهش دهد. زمانی که دریافت‌کنندگان مشاهده می‌کنند دامنه شما تحت حفاظت DMARC قرار دارد، احتمال تحویل ایمیل به Inbox افزایش می‌یابد.

  • حفاظت از اعتبار برند: حملات فیشینگ مبتنی بر دامنه شما، اعتبار و اعتماد سازمان را مستقیما تخریب می‌نمایند. DMARC با مسدود کردن هرگونه استفاده غیرمجاز از دامنه در پیام‌های فیشینگ، ثبات و اعتبار برند را حفظ می‌کند.

  • امکان بررسی و کنترل وضعیت ایمیل: پروتکل امنیتی DMARC توسط مکانیسم‌های گزارش‌دهی، بازخورد کاملی نسبت به ترافیک ایمیل ارسال‌شده از دامنه ارائه می‌دهد. شما می‌توانید نتایج احراز هویت ایمیل ها را مشاهده کنید و گزارش‌هایی درباره فعالیت ایمیلی (اعم از ارسال‌کنندگان معتبر و جعلی) دریافت نموده و اقدامات پیشگیرانه برای حفاظت از دامنه و زیرساخت ایمیل انجام دهید.

نتیجه‌گیری

پروتکل امنیتی DMARC می‌تواند به‌طور قابل توجهی تعداد ایمیل‌های جعلی و اسپم را کاهش دهد. این پروتکل کاملاً بی‌نقص نیست اما در مقایسه با دو راهکار دیگر یعنی SPF و DKIM، سطح امنیت بسیار بالاتری فراهم می‌کند. قابلیت گزارش‌دهی آن نیز مزیت مهم و ارزشمندی محسوب می‌شود.

برچسب‌ها:
اشتراک گذاری:

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *