幾個科技巨頭包括 Google、Facebook、Microsoft、Yahoo 及另外11家企業或機構,共組 DMARC 聯盟,主要解決兩個問題:大量的垃圾電子郵件和釣魚式攻擊的詐騙。DMARC 聯盟在美國時間1月30日正式宣告成立。
DMARC 的全名是「Domain-based Message Authentication, Reporting & Conformance」,它本身就是一個新的技術規範的名字,用來解決與電子郵件認証協定相關的運作、部署和報告的問題,從而降低電子郵件的濫用。而小編也拿來稱呼這個聯盟。
舉例來說,Gmail、Hotmail、Yahoo Mail、AOL 的用戶會收到許多各式各樣服務業者寄來的訊息,這個技術標準提出一套通用的驗証方法,便於發信服務者來快速驗証郵件的合法性,在發現有問題的郵件時,也有統一的回報方式,同時也告訴收信服務者,信件已經過驗証,讓收信方能夠確認電子郵件的確來自合法的寄件人,以過濾想要偽裝成某個受信任網站或服務商的騙子。
其實相關的安全機制早就有了(例如 SFP),不過 DMARC 以既有的機制為基礎,讓電子郵件的驗証更快速、方便,也讓發信方、收信方之間的合作更緊密。而且還有一個重點,讓發信方、收信方在發現有問題的郵件時,有個統一的回報機制,讓成員可以持續了解電子郵件濫用的手法。
早在去年11月時,Google、Microsoft、Yahoo、AOL 就已經跟 Agari 合作,提供資料給 Agari 研究電子郵件釣魚式攻擊的模式,當時的 Agari 每天會收集到大約15億封的訊息。然後把研究結果提供給包括 Facebook 在內的數十家電子商務網站或社群網站,而這些合作者也可以進入 Agari 的後台去看看電子郵件詐騙的活動狀況。也就是說,因為電子商務網站或是社群網站是詐騙者喜歡偽裝的對象,用來騙取網站會員的個人資料或是財務資料,所以 Google 等等數家電子郵件服務商,就自發性的來協助這些網站,降低各網站會員們受害的狀況。
▲ DMARC 聯盟一開始的15個成員。
接下來的發展就是這些公司或機構乾脆讓彼此的關係更進一步,組成了 DMARC。初始的成員如下:
- 電子郵件接收方:AOL、Gmail、Hotmail、Yahoo Mail
- 電子郵件發送方:American Greetings、Bank of America、Facebook、Fidelity、LinkedIn、Paypal
- 中介機構或其他服務供應商:Agari、Cloudmark、eCert、ReturnPath、Trusted Domain Project
嚴格來說,DMARC 已經實質運作了好一段時間,不過1月30日算是正式向世人宣告它的存在。接下來的重點任務是把它所提出的規範草案送交到 IETF(網際網路工程任務組),希望可以成為網際網路的標準,讓更多的服務商或企業可以採用。小編當然也樂見因為大廠的合作,讓電子郵件濫用的問題有效得到解決,至少可以讓問題變少。
資料來源:theNextWeb、Cnet
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!