Как мы уже рассказывали, за время существования электронной почты люди придумали немало технологий, которые должны были защищать получателей электронных писем от подделок (преимущественно фишинговых писем). DomainKeys Identified Mail (DKIM) и Sender Policy Framework (SPF) имели существенные недостатки, поэтому была создана надстройка над ними — механизм почтовой аутентификации Domain-based Message Authentication Reporting and Conformance (DMARC), предназначенный для выявления писем с поддельным доменом отправителя. Но и DMARC оказался далек от идеала. Поэтому наши исследователи разработали дополнительную технологию, позволяющую устранить его недостатки.
Как работает DMARC
Механизм DMARC настраивается в ресурсной записи DNS домена компании, которая не хочет, чтобы кто-либо посылал письма от имени ее сотрудников. По сути это позволяет получателю писем удостовериться, что домен в адресе отправителя, указанного в поле «From:» соответствует домену в DKIM и SPF. Кроме того, в записи указывается адрес, по которому почтовые серверы отправляют отчеты о получении писем, которые не прошли проверку (например, произошла ошибка или была выявлена попытка подделки отправителя).
В той же ресурсной записи можно настроить и политику DMARC, которая позволит указать, что происходит с письмом, если оно не прошло проверку. Политика DMARC бывает трех видов:
- Reject — самая строгая политика, при выставлении которой все письма, не прошедшие DMARC-проверку, блокируются.
- Quarantine — политика карантина. При данной политике, в зависимости от настроек почтового провайдера, письмо либо попадет в папку «Спам», либо будет доставлено, но с пометкой «подозрительное».
- None — режим, в котором письмо доходит до почтового ящика получателя, но отправителю все равно отправляется отчет.
Недостатки DMARC
По большому счету, со своей задачей DMARC справляется — подсунуть фишинговое письмо становится гораздо сложнее. Но решая одну проблему, этот механизм порождает другую: иногда происходят ложные срабатывания, из-за которых легитимные письма блокируются или помечаются как «подозрительные». Происходит это по двум причинам:
- Пересылка писем. При пересылке писем некоторые почтовые системы ломают SPF- и DKIM-подпись. Причем это может происходить как при переадресации писем с разных почтовых ящиков на один, так и при пересылке писем между промежуточными почтовыми узлами (релеями).
- Некорректная настройка. Нередки случаи, когда администраторы почтовых серверов ошибаются в настройке DKIM и SPF.
Когда дело касается рабочей почты, неизвестно, что хуже — получить фишинговое письмо или же не получить легитимное деловое сообщение.
Наш подход к устранению недостатка DMARC
Поскольку мы считаем эту технологию однозначно полезной, то решили усилить ее, добавив к процессу проверки дополнительную технологию машинного обучения. Это позволяет сохранить эффективность DMARC, при этом минимизировав количество ложных срабатываний.
Когда пользователь создает письмо, он использует Mail User Agent (MUA), например Microsoft Outlook. MUA отвечает за формирование письма и его отправку на Mail Transfer Agent (MTA) для дальнейшей маршрутизации. К телу сообщения, теме и адресу получателя (которые заполняет сам пользователь) MUA добавляет необходимые технические заголовки.
Для того чтобы обойти системы защиты, злоумышленники зачастую используют «собственные» MUA. Как правило, они представляют собой самодельные почтовые движки, используемые для формирования и заполнения «болванки» письма по заданному шаблону, в том числе технических заголовков письма и их содержимого. Можно сказать, что каждый MUA имеет свой почерк.
Если полученное письмо проваливает проверку DMARC, то в дело вступает наша технология, работающая в облачном сервисе, который подключается вместе с установкой защитного решения на устройство. Она начинает дополнительно анализировать заголовки — их последовательность, а также содержимое заголовков X-Mailer и Message-ID — с помощью глубокой нейронной сети и позволяет отличать легитимное письмо от фишинговой рассылки. Технология обучена на огромной коллекции почтовых сообщений — около 140 миллионов писем при 40% спама.
Такое совмещение технологии DMARC и машинного обучения позволяет обеспечить надлежащую защиту пользователя от фишинговых атак и минимизировать количество ложных срабатываний. Технология уже внедрена во все наши продукты, использующие компонент «Анти-Спам». В том числе в компоненты Kaspersky Total Security для бизнеса (Kaspersky Security для Microsoft Exchange Servers, Kaspersky Security для Linux Mail Server, Kaspersky Secure Mail Gateway) и в Kaspersky Security для Microsoft Office 365.