שמעתם על SPF, DKIM ו-DMARC? אלה שלושת שכבות ההגנה הטכניות שאמורות לוודא שמייל שמגיע "מהבנק שלכם" - אכן נשלח מהבנק שלכם ולא ממישהו שמתחזה אליו. הבנת הטכנולוגיות האלה תעזור לכם להבין למה חלק מהפישינג עובר את הסינון.
SPF - אימות כתובת השרת
SPF (Sender Policy Framework) בודק: האם השרת שממנו נשלח המייל מורשה לשלוח בשם הדומיין הזה?
לדוגמה - bank.com יכול להגדיר ש"רק שרתים 1.2.3.4 ו-5.6.7.8 רשאים לשלוח מיילים בשמנו". אם מייל מגיע משרת אחר ומתיימר להיות מ-bank.com - SPF יכשל.
DKIM - חתימה דיגיטלית
DKIM (DomainKeys Identified Mail) מוסיף חתימה דיגיטלית מוצפנת לכל מייל. שרת המייל של הנמען יכול לאמת שהמייל לא שונה בדרך ושנשלח באמת על ידי הדומיין הנטען.
אם מישהו ינסה לשנות את תוכן המייל אחרי שנשלח (מניפולציה בדרך) - ה-DKIM יכשל.
DMARC - מדיניות אכיפה
DMARC (Domain-based Message Authentication) מגדיר מה לעשות כשמייל נכשל ב-SPF או DKIM. בעל הדומיין יכול לומר: "אם מייל לא עובר SPF/DKIM - דחה אותו לחלוטין" (p=reject) או "שלח לספאם" (p=quarantine).
למה זה לא מספיק לבד?
- לא כל הדומיינים מגדירים DMARC כראוי - מיילים בלי DMARC עוברים בלי בעיה
- תוקף יכול לרשום דומיין חדש (paypa1.com) עם SPF/DKIM/DMARC תקינים לגמרי
- הטכנולוגיות בודקות את הטכניקה - לא את הכוונה של המייל
זו בדיוק הסיבה שצריך שכבת ניתוח נוספת - בינה מלאכותית שמבינה את ההקשר והכוונה של המייל, לא רק את הפרמטרים הטכניים.