Şubat 2024 itibarıyla, Google veya Yahoo üzerinden 5.000’den fazla e-posta mesajı gönderen herhangi bir şirketin, Alan Adı Tabanlı Mesaj Kimlik Doğrulaması Raporlaması ve Uygunluğu (DMARC) olarak bilinen bir kimlik doğrulama teknolojisini kullanmaya başlaması gerekecek.
Google ve Yahoo tarafından bu hafta açıklanan gereksinimler, pazarlamacıların çok daha ötesine ulaşacak ve güvenlik teknolojileri üçlüsünü benimseme konusunda geride kalan tüm şirketleri yetişmeye zorlayacak. Sender Policy Framework (SPF) ve DomainKeys Identified Mail (DKIM) kullanan kuruluşlar, daha iyi kimlik doğrulama yoluyla kimliğe bürünmeye karşı koruma elde ederken, DMARC, e-postalarının sahte olup olmadığına ilişkin bilgi toplamak için alan adı sahibine geri dönen bir bildirim kanalı oluşturur.
Google’ın Gmail Güvenlik ve Güven grubunun grup ürün müdürü Neil Kumaran, iki büyük sağlayıcının gereksinimlerinin, benimseme daha etkili güvenlik önlemlerinin mümkün olacağı bir seviyeye ulaşana kadar daha fazla şirketi DMARC’yi benimsemeye itmesi gerektiğini söylüyor.
“DMARC’yi bizim istediğimiz şekillerde benimseyen gönderenler, yapılandırmalarıyla ilgili sorunları belirlemelerine yardımcı olacak çok sayıda bilgi geri almaya başlıyor [and] değiştirmek isteyebilecekleri şeyler” diyor. “Dolayısıyla, gönderenin DMARC’yi benimsemesinin ve bu şeyler hakkında toplu olarak düşünmesinin maddi faydası var.”
E-posta güvenlik teknolojileri üçlüsü, son yıllarda, özellikle de şirketlerin uzaktan operasyonlara zorlandığı korona virüs salgını sırasında hızla benimsenmeye başladı. Sonuç olarak, e-posta gönderenlerin yaklaşık yarısı bir DMARC kaydına sahip, ancak yalnızca %14’ü DMARC’yi katı bir karantina veya reddetme politikası uygulayacak şekilde ayarladı; bir DMARC hizmet sağlayıcısı olan Valimail’den alınan verilere göre, bu genel olarak nihai hedef olarak kabul ediliyor. Tüm şirketlerin yaklaşık yarısı, katı bir politika uygulamak için DMARC kayıtlarını belirledi. Ancak kâr amacı gütmeyen alanların yalnızca %1’inde DMARC kuruludur.
Google ve Yahoo’nun gereksinimleri iyi bir başlangıç ve pazar daha sıkı gereksinimlere hazır değil, ancak Valimail’in teknolojiden sorumlu başkanı Seth Blank, büyük e-posta sağlayıcılarının çıtayı hızla yükselteceğini umuyor.
“Bunun kesinlikle harika olduğunu düşünüyorum, ancak yeterince ileri gitmediğini düşünüyorum” diyor. “Çıtayı yükseltmeleri beni heyecanlandırıyor, ancak şu anda elimizde tutarsız bir şekilde uygulanan bir dizi en iyi endüstri uygulaması var. Büyük hacimli göndericilerden birkaçı bunu iyi bir şekilde yapıyor ve sonra da bunu başarıyorsunuz. Herkesi yakaladı, bu yüzden ekosistemde suiistimal bu kadar yaygın.”
E-posta Güvenliğinin Yaygınlaştırılması
Google, blog yayınında, e-posta gönderen alanların kimliğini doğrulamak için hem SPF hem de DKIM kayıtları, alan adı için bir DMARC kaydı ve “hizalama” olarak bilinen SPF veya DMARC kaydıyla eşleşen bir ‘Kimden’ başlığı dahil olmak üzere gereksinimlerini özetledi. ” Ayrıca pazarlamacıların spam oranlarının %0,3’ün altında olması ve tek tıklamayla abonelikten çıkma olanağı sunması gerekiyor.
Google, yeni kuralları belirli bir günde Gmail adreslerine 5.000’den fazla mesaj gönderen kişilere uygulayacak. Yahoo, gereklilikleri “toplu gönderenlere” uygulayacak, ancak blog yazısında toplu gönderenin ne olduğu tanımlanmıyor. Gereksinimlerin Google için Şubat 2024’e kadar, Yahoo için ise “2024’ün ilk çeyreğinde” karşılanması gerekecek.
Bir e-posta pazarlama hizmeti olan Twilio SendGrid’in endüstri ilişkilerinden sorumlu başkan yardımcısı Len Shneyder, haberle ilgili bir blogda, Google duyurusunun ve Yahoo!’nun eşleştirme hamlesinin DMARC’nin benimsenmesinin artık bir öneri olmadığı anlamına geldiğini yazdı.
“[W]Yahoo’nun haberleriyle birlikte bunu yeni normal olarak değerlendirebilirsiniz” diye yazdı. “Yeni gereksinimler, sektörün e-posta kimlik doğrulamasına ve en iyi uygulamalara bakış açısında bir değişikliğe işaret ediyor: Bir zamanlar bir öneri dizisi olan şey, artık uygulanabilir bir dizi tavsiye haline geliyor. Gereksinimler.”
Google, gereksinimlerin kendi platformunda e-posta kimlik doğrulamasının neredeyse tamamen benimsenmesine yol açmasını bekliyor. Şu anda şirket her gün yaklaşık 15 milyar e-posta işliyor ve şirket her mesajın doğrulanmasını gerektirdiğinden, kimliği doğrulanmamış mesajların sayısı %75 azaldı. bazı şekilde kimlik doğrulama.
Kimlik Doğrulama Sadece Başlangıçtır
DMARC gereksinimlerinin amacı, tüm meşru e-postaların DNS hizmetlerinde DMARC kayıtları oluşturmasını sağlamak ve alınan e-posta iletilerinin başlıklarını kontrol etmek için kimlik doğrulama bilgileri sağlamaktır. Hemen hemen her e-posta sağlayıcısı, DMARC uyumuyla ilgili bilgileri bir alanın yetkili sahibine geri bildirecektir.
Google’dan Kumaran, bu nedenle kaynakların daha iyi tanımlanmasının ve mesajların daha güçlü tanımlanmasının e-posta teknolojisini geliştirmenin anahtarı olduğunu söylüyor.
“Kimlik doğrulamanın kendisi, spam’i durdurmak için sihirli bir değnek değildir ancak yaptığı şey, herkesin akan e-postayı daha iyi anlamasını sağlamaktır” diyor. “Filtrelerin bu kalıpları yakalamaya başlayacağını, kimlik doğrulamanın avantajlarından yararlanacağını ve daha iyi bir iş çıkaracağını umuyorum; etkileri genel olarak görmeliyiz.”
Blank, gönderenin kimlik doğrulaması tamamlandıktan sonra güvenlik satıcıları ve e-posta sağlayıcılarının kötü trafiği daha iyi filtreleyebileceğini söylüyor.
“Kimin sizin adınıza gönderme yetkisine sahip olduğunun kontrolü sizdedir; bu, mesaj dünyanın her yerindeki herhangi bir posta kutusu sağlayıcısına gittiğinde kimlik doğrulamanın mevcut olduğu ve DMARC’den yararlanabilecekleri anlamına gelir.” diyor. “Sahtekarlık veya kimliği doğrulanmış mesajlar hiçbir zaman kullanıcıların gelen kutularına ulaşmıyor ve bu nedenle bu sürü bağışıklığını ve korumayı, gereksinimlerin bulunduğu Google ve Yahoo’nun çok dışında geniş ölçekte elde ediyoruz.”
Geçici Çözümler Bekleyin
Güvenlik danışmanlığı şirketi Bishop Fox’un kıdemli danışmanı Raf Marconi, gereksinimler muhtemelen tüm meşru pazarlama firmalarının e-posta güvenlik yapılandırmalarını ayarlamasını gerektirecek olsa da, şirketlerin kötü aktörlerin spam, kimlik avı ve kötü amaçlı yazılım göndermeye devam edecek yollar bulmasını beklemesi gerektiğini söylüyor.
“Kötü niyetli bir aktör, gereksinimlerden etkilenmemek için ya eşiklerin altında kalabilir ya da meşru hizmetleri kullanabilir” diyor ve ekliyor: “Bu yeni gereksinimlerin spam ve kimlik avı düzeyi üzerinde bir miktar etkisi olmalı, ancak bunun nasıl olacağını ölçmek zor. Gereksinimler uygulamaya konulmadan çok öncedir ve aynı zamanda DKIM, SPF ve DMARC’nin doğru şekilde uygulanmasına da bağlıdır.”
Yakın tarihli bir raporda, internet hizmetleri firması Cloudflare, spam olarak engellenen mesajların %89’unun doğru SPF, DKIM veya DMARC bilgilerine sahip olduğunu tespit etti; bu da teknolojilerin denklemin bir parçası olduğunu ancak tüm çözümün olmadığının altını çiziyor, diyor saha CSO’su Oren Falkowitz Cloudflare için.
“Bu nedenle, kampanyaları tespit etmek ve durdurmak için yalnızca gönderen bilgilerini izleyen standartlara güvenmek boşunadır” diyor. “Gerçek zararları çözmek için, güvenlik ekiplerinin kimlik avı içeren ve hasara neden olan yükleri, dosyaları, bağlantıları ve kötü niyetli istekleri tanımlaması ve bunlar üzerinde kontrol sahibi olması gerekir.”
Valimail’den Blank bu noktayı vurguladı.
“Kötü oyuncular genellikle en iyi uygulamaları takip eden ilk kişiler olur” diyor. “SPF, DKIM veya DMARC’ye sahip olmanın postanın iyi olduğu anlamına geldiği varsayımı yanlıştır. Bunların anlamı, postanın kimden geldiğini bildiğimizdir ve bu, itibarla ilgili kararlar vermede kritik öneme sahiptir.”