W całej historii poczty e-mail ludzie wymyślili wiele technologii, których zadaniem ma być ochrona odbiorców przed oszukańczymi (głównie phishingowymi) wiadomościami e-mail. Niestety technologie DomainKeys Identified Mail (DKIM) i Sender Policy Framework (SPF) mają spore wady, dlatego powstał mechanizm autoryzacji poczty oparty na domenie, Message Authentication Reporting and Conformance (DMARC). Jego celem jest rozpoznawanie wiadomości z fałszywą nazwą domeny. Ostatecznie okazało się, że i on jest daleki od ideału, więc nasi badacze przygotowali dodatkową technologię, która eliminuje minusy tego podejścia.
Jak działa DMARC
Firma, która chce uniemożliwić osobom z zewnątrz wysyłanie e-maili z użyciem imion i nazwisk jej pracowników, może skonfigurować w swoim rekordzie zasobów DNS mechanizm DMARC. Dzięki temu odbiorcy wiadomości mają pewność, że nazwa domeny w nagłówku „Od:” jest taki sam jak w DKIM i SPF. Ponadto rekord wskazuje adres, na który serwery pocztowe mają wysyłać raporty związane z otrzymanymi wiadomościami, które nie przeszły pomyślnie weryfikacji (jeśli na przykład wystąpi błąd lub wykryta zostanie próba podszywania się pod nadawcę).
W tym samym rekordzie zasobu również można skonfigurować politykę DMARC, tak aby określała ona, co dzieje się z wiadomością, jeśli nie przejdzie ona pomyślnie kontroli. Takie przypadki obejmują trzy typy polityk DMARC:
- Reject to najbardziej surowa polityka. Wybierz ją, aby zablokować wszystkie e-maile, które nie przeszły kontroli DMARC.
- W polityce Quarantine, w zależności od dokładnych ustawień dostawcy poczty wiadomość trafi do folderu spam lub zostanie dostarczona, ale oznaczona jako podejrzana.
- None to tryb, który umożliwia na dostarczenie wiadomości do skrzynki pocztowej odbiorcy, jednak do nadawcy zostanie wysłany raport.
Niedoskonałości mechanizmu DMARC
Ogólnie mechanizm DMARC jest przydatny, gdyż znacznie utrudnia phishing. Jednak rozwiązanie jednego problemu sprawia, że pojawia się inny: fałszywe alarmy. Wiadomości oryginalne mogą być blokowane lub oznaczane jako spam w dwóch przypadkach:
- Wiadomość przekazana. Niektóre systemy poczty psują podpisy SPF i DKIM w wiadomościach przekazanych, bez względu na to, czy wiadomości są przekazane z różnych skrzynek pocztowych, czy przekazane zostały miedzy pośrednimi węzłami poczty (przekaźnikami).
- Niepoprawne ustawienia. Zdarza się, że podczas konfigurowania DKIM i SPF administratorzy serwerów pocztowych popełniają błędy.
Jeśli chodzi o firmową pocztę e-mail, trudno powiedzieć, który scenariusz jest gorszy: przepuszczenie wiadomości phishingowej czy zablokowanie tej oryginalnej.
Nasze podejście do wyeliminowania wad mechanizmu DMARC
Według nas technologia ta bezsprzecznie jest przydatna, dlatego postanowiliśmy wzmocnić ją poprzez dodanie technologii uczenia maszynowego do procesu weryfikacji, aby zminimalizować fałszywe alarmy przy jednoczesnym zachowaniu zalet mechanizmu DMARC. A działa to następująco.
Gdy użytkownicy tworzą wiadomości e-mail, używają klienta pocztowego (ang. Mail User Agent, MUA), np. Microsoft Outlook. Jest on odpowiedzialny za utworzenie wiadomości i wysłanie jej do agenta przesyłania wiadomości (ang. Mail Transfer Agent, MTA) w celu dalszego przekazania. MUA dodaje do treści wiadomości, tematu i adresu odbiorcy (które wypełnia użytkownik) niezbędne nagłówki techniczne.
Aby ominąć systemy zabezpieczające, atakujący często używają własnych klientów MUA. Co do zasady, są to domowej roboty silniki pocztowe, które tworzą i wypełniają wiadomości zgodnie z danym szablonem. Na przykład tworzą nagłówki techniczne dla wiadomości i ich treść. Każdy klient ma własny „charakter”.
Jeśli otrzymana wiadomość nie przejdzie pomyślnie kontroli DMARC, w akcję wkracza nasza technologia. Działa ona w usłudze chmurowej, która łączy się z rozwiązaniem zabezpieczającym na urządzeniu. Rozpoczyna się dalsza analiza sekwencji nagłówków, w także zawartości nagłówków X-Mailer i Message-ID przy użyciu sieci neuronowej, co umożliwia rozwiązaniu odróżnienie legalnej wiadomości e-mail od phishingowej. Technologia ta została wytrenowana na ogromnym zbiorze e-maili (około 140 milionów wiadomości, z których 40% było spamem).
Połączenie technologii DMARC i uczenia maszynowego zapewnia użytkownikowi ochronę przed atakami phishingowymi, a jednocześnie minimalizuje liczbę fałszywych alarmów. Technologię tę zaimplementowaliśmy już we wszystkich naszych produktach, które mają komponent chroniący przed spamem: Kaspersky Security for Microsoft Exchange Server, Kaspersky Security for Linux Mail Server, Kaspersky Secure Mail Gateway (element rozwiązania Kaspersky Total Security for Business) i Kaspersky Security for Microsoft Office 365.