抗击网络钓鱼的关键:电子邮件认证方式

日期: 2010-03-29 作者:Marcia SavageEditor翻译:陈运栋 来源:TechTarget中国 英文

在旧金山召开的2010 RSA会议中,安全专家们在周三的一次小组讨论中提到,越来越多的公司需要采取电子邮件认证方式来有效阻截越发频繁和复杂的网络钓鱼及垃圾邮件问题。

   “以前拼写和语法错误曾是垃圾邮件的特征之一,现在这种情况正在渐渐消失。” Todd Inskeep这样说道,他是美国银行的资深副总裁,他的工作内容专注于认证,客户保护和社会空间方面。

    “由于现在坏人们变得越来越老练,我们真的需要技术解决方案来保护我们所有的客户,这个问题非常紧迫。”他在一个关于如何通过对抗网络钓鱼和欺诈以保护电子邮件安全的小组上这样说道。
 
    “很多用户的电脑系统受网络钓鱼的攻击感染病毒,这使得降低非法邮件数量这个问题变得非常紧迫。”Paul Smocer这样说道,他是BITS的安全副总裁,BITS是金融服务业论坛的一个部门,是一个关注最佳实践和技术基础结构的金融服务领导人的论坛。他另外补充道,由于网络钓鱼现象的存在,金融产业由于品牌信誉受损而遭到沉重打击。从声誉的角度来看,存在这样的情况对我们的产业一点好处也没有。

    小组成员说,电子邮件认证方式和协议在对抗网络钓鱼问题上还有很长的路要走,去年,BITS发表了一篇用于实施DKIM和SPF(通过域钥鉴别的邮件和发送者策略框架)的指导性文章。SPF的目标是通过提供一个可供邮件发送者认证的框架来防止邮件的滥发,DKIM允许组织对外发的邮件的邮件头上增加上一个加密的签名,以证明这封邮件是从这个域中发送出来的。

    从小组讨论中所给出的统计数据来看,从18个月前只有20%的邮件带有SPF记录,到现在已经有51%的邮件带有SPF记录。在相同时期,通过DKIM认证的邮件比例从2%上升到16%。

    雅虎邮件的资深产品管理总监Mark Risher说:“我们希望鼓励更多的公司来认证他们的邮件,那样他们就不会成为薄弱环节。”

    Smocer说,如果将电子邮件认证和信任推进到一个更高的阶段,那将允许金融机构使用电子邮件来为客户提供更多的服务,而不只是提供警报。如果我们可以保证安全问题,那么将有很多机会可以用来加强金融机构通过电子邮件可以提供的服务。

    但是小组成员说,电子邮件认证方式和技术是有限制的。Smocer说,拥有多种业务的大机构经常会有超过几十个并没有通过中央管理的域。同时,小机构可能缺乏擅长电子邮件认证的人员。还存在制定机构和多家ISP在他们所创建的关于SPF和DKIM的规则集上达成一致的问题。

    Smocer说,“我们正在尝试创建一个核心服务,它可以提供一个流程,通过这个流程金融机构可以创建他们自己的规则集,而且ISP们可以对它们进行检查。”
 
    Inskeep说,“同样,问题也存在于发送邮件的商业合伙人上,美国银行有很多合伙人,他们会以美国银行的名义发送电子邮件,所以很紧迫的一点是,要和你的商业合伙人建立一个联盟,并把他们包括进来。”

    Steve Jones是美国银行的副总裁兼架构师/战略家,他说:“实施电子邮件认证的第一步是建立从所有业务线上买进的策略,你需要全组织的支持。”

    小组成员注意到电子邮件认证并不是最终的解决方案,而只是一层安全保护。CISCO公司的首席安全研究员,讨论会的主持人Patrick Peterson表示:“即使它通过了认证,也并不意味着它是可信赖的。”但随着行业推进电子邮件认证进程的深入,以及大公司越来越多地鼓励厂商去支持这样的协议,那么对于小公司来说,就更容易采取这样的解决方案。

    Smocer说:“你可以从对你来说最重要的区域开始着手。”另外他补充道:“欺骗性电子邮件问题将会随着电子邮件认证在整个行业的采用而得到解决。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐