DMARC e-posta kimlik doğrulaması ve güvenlik standardının durumu, 2024’ün başında oldukça umut verici görünüyordu.
Google ve Yahoo, toplu e-posta gönderenlerin Alan Adı Tabanlı Mesaj Kimlik Doğrulaması, Raporlama ve Uygunluk (DMARC) politikasını benimsemeleri için Şubat 2024 olarak bir son tarih belirlemişti ve şirketler bu son tarihe uymak için çabalarken, geçerli bir DMARC kaydına sahip e-posta alan adlarının sayısı da arttı. İki ayda yüzde 60 arttı. Eylül ayı itibarıyla, yaklaşık 6,8 milyon alan adında e-posta gönderen kimlik doğrulaması yapılandırılmış durumda.
Yılın başındaki bu artışa rağmen gerçek şu ki işletmeler, etki alanlarında e-posta kimlik doğrulamasını ayarlama konusunda yavaş olmaya devam ediyor. Benimseme gecikmesi özellikle DMARC’nin minimum temel politikası olan ‘p=yok‘ daha sıkı politikalara. Yaptırım, kimliği doğrulanmamış e-postaların karantinaya alınması veya reddedilmesi anlamına gelir. Zorunlu bir politikaya sahip DMARC özellikli alan adlarının payı aslında bir yıl önce %18 gibi yüksek bir seviyeden bugün %14’ün altına düştü.
E-posta güvenlik hizmetleri sağlayıcısı Valimail’in baş teknoloji sorumlusu Seth Blank, Google ve Yahoo’nun eylemleri birçok şirketi DMARC’yi benimsemeye zorlarken, meşru mesajların engellenmesiyle ilgili endişelerden etkilenen şirketlerin çoğunun karantina veya reddetme politikalarını benimsemediğini söylüyor. .
Blank, “Google ve Yahoo gereklilikleri ortaya koydu, ekosistem zor durumda kaldı ve mesaj ağırlıklı olarak güvenlikle ilgiliydi; dolayısıyla güvenliği önemseyen insanlar bir şeyler yaptı” diyor. “Bu pazarın büyük bir kısmı hâlâ hareket etmemiş, herhangi bir adım atmamış, burada gördüğümüz bu asgari düzeyde bile hareket etmemiş.”
DMARC protokolü, e-posta gönderenlerin iki doğrulama teknolojisini benimsemesini gerektirerek İnternet’in e-posta altyapısına kimlik doğrulama eklemeyi amaçlamaktadır: Gönderen Politikası Çerçevesi (SPF) ve Etki Alanı Anahtarları Tanımlı Posta (DKIM) — ve diğer sunucuların, yetkili bir alanın parçası olmayan bir gönderenden gelen postaları nasıl işlemesi gerektiğine ilişkin bir politika belirtin. Ekim 2023’te Google ve Yahoo, e-posta pazarlamacılarından (hizmetler aracılığıyla günde 5.000’den fazla e-posta gönderen herkes) – DMARC’yi ayarla. Bu hareket, kimliği doğrulanmamış e-postalarda önemli bir azalmaya neden oldu; Google, bu yıl şu ana kadar Gmail kullanıcılarına gönderilen üçte iki oranında (%65) kimliği doğrulanmamış ileti ve 265 milyar daha az kimliği doğrulanmamış ileti gönderildi. geçen hafta açıklanan şirket verilerine göre.
Korku, Belirsizlik ve DMARC
Valimail verilerine göre, DMARC’nin benimsenme oranı geçen yıl kabaca iki katına çıktı; 2023’te her ay yeni DMARC kayıtları ekleyen yaklaşık 55.000 alan adından, 2024’ün 3. çeyreğinde ayda 110.000 alan adına çıktı. Ancak bu hızda bile ilk 25 milyon alan adının devreye girmesi yaklaşık 15 yıl daha alacak.
Kaynak: Yazar, Valimail’den alınan verilerle
Üstelik DMARC’ın benimsenmesi düzensizdi. İmalat ve sağlık gibi bazı sektörlerdeki kuruluşların %60’ından fazlası DMARC’yi benimsemiş olsa da, yalnızca beşte biri aslında en düşük güvenlik politikasından geçmiştir (‘p=yok‘) en yükseğe (‘p=reddet,’) bir e-posta kimlik doğrulama hizmetleri firması olan EasyDMARC’ın verilerine göre. Kâr amacı gütmeyen kuruluşlar ve yardım kuruluşları gibi bazı sektörler yıl içinde benimsenmeyi artırdı ancak alan adlarının %8’inden azı DMARC kullanıyor.
Bir internet istihbarat firması olan DomainTools’un ağ geliştirme direktörü Kelly Molloy, e-postanın iş operasyonları için kritik öneme sahip olması nedeniyle, kuruluşların, özellikle DMARC’nin uygulanması ve bakımı kolay bir teknoloji olmaması nedeniyle, daha katı yaptırımların mesajların kaybolmasıyla sonuçlanacağından endişe ettiğini söylüyor.
“Korku şu ki, özellikle de e-posta yoluyla potansiyel müşterilere bağımlı bir şirketseniz, bunu yapmaya başlarsanız ilgili taraflardan (müşterilerden ve potansiyel müşterilerden) gelen mesajları kaçıracaksınız. [strict enforcement]” diyor ve ekliyor: “Birçok şirket muhafazakar davranıyor ve gerçekten ihtiyaç duyduklarından daha ileri gitmiyor… çünkü bu kaynak gerektiriyor.”
Diğer Ayakkabının Düşmesini Bekliyorum
EasyDMARC teknik hizmetler ekibi lideri Hagop Khatchoian, durmuş benimseme döngüsünün muhtemelen Google, Yahoo ve diğer büyük tüketici e-posta hizmetlerinin bir başka büyük hamlesini çekeceğini söylüyor.
“Onlar [Google and Yahoo] herkesi en azından ‘ sahip olmaya zorluyoruzp=yok‘ … herhangi bir yaptırım olmadan sadece temel bir politikaya sahip olmak – bunun önümüzdeki birkaç yıl içinde değişeceğini öngörüyoruz” diyor ve şöyle devam ediyor: “Fakat öylece devam edip herkese ‘Hey, buna ihtiyacın var’ diyemezsin.p=reddet,‘ … çünkü e-posta ekosisteminizde küçük bir yanlış yapılandırma varsa ve zorunlu bir politikanız varsa, o zaman kendi meşru e-postalarınız da engellenecektir.”
Valimail’s Blank da aynı fikirde ve büyük e-posta hizmetlerinin (Google, Microsoft ve Yahoo’nun yanı sıra diğer ülkelerdeki büyük e-posta sağlayıcılarının) kimliği doğrulanmamış e-postanın vidalarını tekrar sıkmadan önce uzun süre beklemelerinin muhtemel olmadığını belirtiyor.
“Gönderen topluluk veya alıcı topluluk sonraki adımları belirleyecektir çünkü biliyorlar [authentication] sistemlerine giren en önemli girdi; kimin e-posta gönderdiğini çok daha kesin bir şekilde bilmek” diyor ve şöyle devam ediyor: “Orada daha fazla eylem göreceğiz… ve bu yıllar alacak ama gitmiyor beş ila on yıl olacak. Muhtemelen iki, üç, belki de dört.”
Hiçbiri Hiçbir Şey Değildir Ama Ona Yakındır
Büyük e-posta hizmetlerinden gelen yeni bir DMARC desteğiyle kuruluşlar, DMARC politikalarını ‘yok’tan daha yüksek bir yaptırım düzeyine geçirmeyi planlamalıdır.
Uygulamanın üç düzeyi şunlardır:
-
p=yok — Kimlik doğrulama kontrollerini geçemeyen postalar teslim edilmeye devam ediyor.
-
p=karantina — Herhangi bir kimlik doğrulama hatası, e-postanın karantinaya alınmasına ve muhtemelen kullanıcının spam klasörüne veya bir kuruluşun karantina deposuna teslim edilmesine neden olur.
-
p=reddet — Kimlik doğrulama hatası e-postanın silinmesine neden olur, ancak bazı servis sağlayıcılar bunun yerine e-postayı ayrı bir klasörde karantinaya alabilir.
Valimail’den Blank, her uygulama düzeyinde rapor üretilebileceğini ve şirketlerin sorunları ve anormallikleri kontrol etmek için raporları izlemesi gerektiğini söylüyor.
“DMARC saat:’p=yok‘ raporlamasının olmaması, sözdizimsel olarak hiç DMARC’ye sahip olmamakla eşdeğerdir” diyor. “DMARC’nin değeri, raporlamaktan ve ‘yok’ olmayan bir politikaya yönelik çalışmaktan gelir. Eğer varsa’p=yok‘ ve rapor alamıyorsunuz, yapabileceğiniz hiçbir şey yok, görebileceğiniz hiçbir şey yok, düzeltebileceğiniz hiçbir şey yok.”
Daha iyi e-posta güvenliği arayışında olan şirketler için DMARC altyapısından rapor almak önemli düzeyde görünürlük sağlar. Büyük şirketler, e-postanın ciddi şekilde kötüye kullanıldığını gören tek kuruluş değil; bu nedenle, e-posta gönderen tüm firmaların DMARC raporlarını izlemesi gerektiğini söylüyor.