технологии аутентификации отправителя: пока безупречного решения нет
Ведущие интернет-провайдеры и компании, занимающиеся интернет-безопасностью, обсудили проблему технологии аутентификации отправителя почтовых сообщений на встрече в Чикаго.
две технологии
На сегодняшний день рассматриваются как основные две технологии аутентификации отправителя. Задача обеих технологий – подтверждение подлинности отправителя, но подтверждают они ее разными способами.
Sender ID, основанная на решении Microsoft Caller ID и Sender Policy Framework (SPF) Мена Вонга, требует публикации так называемых SPF-записей (списка IP- адресов, используемых сервером при отправке почты) и позволяет выявлять сообщения с поддельными IP-адресами.
DomainKeys Identified Mail (DKIM) объединяет разработанную Yahoo технологию DomainKeys и систему Internet Identified Mail от Cisco Systems. Технология требует создания пары криптографических ключей, публичного и личного, и публикации публичного ключа в записях DNS. Личный ключ хранится на почтовом сервере. DKIM присоединяет к каждому исходящему сообщению специальную цифровую подпись, а почтовый сервер на стороне получателя с помощью публичного ключа проверяет, действительно ли цифровая подпись была сгенерирована доменом, указанным в адресе отправителя. Полтора года назад IETF - международная группа по разработке стандартов Интернета - рассматривала возможность принять Sender ID в качестве стандарта аутентификации отправителя, однако тогда из-за проблем с патентованием, вызванных позицией Microsoft, для Sender ID история закончилась провалом. DKIM также предложена на рассмотрение IETF в качестве стандарта.
Несмотря на то, что стандарт пока не принят, обе технологии уже активно используются. По данным Microsoft, в целом более 35% электронных сообщений в настоящее время аутентифицируются тем или иным способом.
Компания Yahoo сообщила, что на почтовые серверы Yahoo! Mail ежедневно приходят около миллиарда сообщений, содержащих цифровую подпись. Microsoft рапортовала об успехах Sender ID. По данным Microsoft, более 2,4 миллионов доменов опубликовали SPF-записи. Из двух миллиардов писем, рассылаемых ежедневно, 3,3 миллиона соответствуют требованиям SPF.
70% ведущих компаний, входящих в список Fortune 100, начали использовать Sender ID для аутентификации своих сообщений. Менее чем за год в три раза увеличилось число компаний из списка Fortune 500, опубликовавших SPF-записи: в июле 2005 года таких компаний было 7%, в марте 2006 - 21%. Sender ID, судя по всему, опережает DKIM. Она предполагает публикацию SPF-записей ISP компаниями и владельцами доменов, как утверждается, проста в использовании и не требует дополнительного оборудования и дополнительных затрат. Компании, заинтересованные в подтверждении подлинности своей корреспонденции, охотно выбирают эту технологию аутентификации.
не все так гладко
С проблемами в использовании Sender ID столкнулся Bank of America. По словам представителя банка Эрика Джонсона (Erik Johnson), использовать технологию надо с умом. Внедрение технологии требует постоянного внимания и активности, в противном случае компанию могут ожидать неприятные сюрпризы.
«На самом деле правильно использовать аутентификацию отправителя не так легко. Если вы работаете в большой организации, вы не отделаетесь простым нажатием кнопки», - заявил Джонсон.
Джонсона поддержал Дэвид Крокер (David Crocker) из Brandenburg InternetWorking. По его словам, Sender ID обходится вовсе не так дешево, как утверждается, и затраты на техническую поддержку могут быть весьма значительными.
Проблема для больших международных компаний состоит в том, что письма могут приходить от разных отправителей из разных стран, и не все легитимные корреспонденты поддерживают SPF. При этом необходимо настроить все почтовые системы компании так, чтобы не было сбоев. Система должна быть достаточно гибкой.
«Проблема становится особенно острой, если почтовый провайдер удаляет все письма, не прошедшие проверку на подлинность отправителя», - сказал Джонсон.
Поэтому, по данным CipherTrust, больше половины компаний, опубликовавших SPF-записи, не удаляет те письма, подлинность которых невозможно подтвердить, что оставляет лазейку для спамеров и фишеров.
«Мы являемся сторонниками SPF, и все наши серверы поддерживают технологию, однако мы не рекомендуем пользователям фильтровать сообщения на основе проверки подлинности отправителя, поскольку это приводит к большому числу ложных срабатываний», - сказал исполнительный директор Barracuda Networks Дин Драко (Dean Drako).
Однако не все считают это серьезной проблемой. «Это действительно ограничивает эффективность технологии, но я считаю, что это просто переходный период», - заявил вице-президент компании IronPort Патрик Петерсон (Patrick Peterson).
аутентификация – это не более чем аутентификация
Как бы то ни было, если технологии аутентификации будут использоваться широко, пользователи получат возможность точно знать, что письмо пришло действительно из их банка, а не отправлено мошенниками. Как уже не раз подчеркивали эксперты, проблему спама аутентификация отправителя не решит, но поможет справиться с подделкой адресов отправителей сообщений.
«Аутентификация – это аутентификация, и ничего более», - сказал представитель Sendmail. – «Спамеры тоже могут использовать аутентификацию». Что, собственно, подтверждают исследования 2004 года, когда выяснилось, что спамеры активно используют Sender Policy Framework, предшественника Sender ID.
Поэтому эксперты считают необходимым развивать системы репутации доменов, которые позволят отделить овец от волков, то есть легитимных отправителей от спамеров.
Хотя в настоящее время крупные ISP, через которых проходит более половины всего почтового трафика, используют технологии аутентификации, успокаиваться рано.
По словам представителя Microsoft, безупречного решения сейчас нет. Но о какой бы технологии не шла речь, надо смотреть вперед, а не оглядываться назад, потому что злоумышленники будут искать новые способы атак.
По материалам «Спамтест», The Register и CNET News.com.
две технологии
На сегодняшний день рассматриваются как основные две технологии аутентификации отправителя. Задача обеих технологий – подтверждение подлинности отправителя, но подтверждают они ее разными способами.
Sender ID, основанная на решении Microsoft Caller ID и Sender Policy Framework (SPF) Мена Вонга, требует публикации так называемых SPF-записей (списка IP- адресов, используемых сервером при отправке почты) и позволяет выявлять сообщения с поддельными IP-адресами.
DomainKeys Identified Mail (DKIM) объединяет разработанную Yahoo технологию DomainKeys и систему Internet Identified Mail от Cisco Systems. Технология требует создания пары криптографических ключей, публичного и личного, и публикации публичного ключа в записях DNS. Личный ключ хранится на почтовом сервере. DKIM присоединяет к каждому исходящему сообщению специальную цифровую подпись, а почтовый сервер на стороне получателя с помощью публичного ключа проверяет, действительно ли цифровая подпись была сгенерирована доменом, указанным в адресе отправителя. Полтора года назад IETF - международная группа по разработке стандартов Интернета - рассматривала возможность принять Sender ID в качестве стандарта аутентификации отправителя, однако тогда из-за проблем с патентованием, вызванных позицией Microsoft, для Sender ID история закончилась провалом. DKIM также предложена на рассмотрение IETF в качестве стандарта.
Несмотря на то, что стандарт пока не принят, обе технологии уже активно используются. По данным Microsoft, в целом более 35% электронных сообщений в настоящее время аутентифицируются тем или иным способом.
Компания Yahoo сообщила, что на почтовые серверы Yahoo! Mail ежедневно приходят около миллиарда сообщений, содержащих цифровую подпись. Microsoft рапортовала об успехах Sender ID. По данным Microsoft, более 2,4 миллионов доменов опубликовали SPF-записи. Из двух миллиардов писем, рассылаемых ежедневно, 3,3 миллиона соответствуют требованиям SPF.
70% ведущих компаний, входящих в список Fortune 100, начали использовать Sender ID для аутентификации своих сообщений. Менее чем за год в три раза увеличилось число компаний из списка Fortune 500, опубликовавших SPF-записи: в июле 2005 года таких компаний было 7%, в марте 2006 - 21%. Sender ID, судя по всему, опережает DKIM. Она предполагает публикацию SPF-записей ISP компаниями и владельцами доменов, как утверждается, проста в использовании и не требует дополнительного оборудования и дополнительных затрат. Компании, заинтересованные в подтверждении подлинности своей корреспонденции, охотно выбирают эту технологию аутентификации.
не все так гладко
С проблемами в использовании Sender ID столкнулся Bank of America. По словам представителя банка Эрика Джонсона (Erik Johnson), использовать технологию надо с умом. Внедрение технологии требует постоянного внимания и активности, в противном случае компанию могут ожидать неприятные сюрпризы.
«На самом деле правильно использовать аутентификацию отправителя не так легко. Если вы работаете в большой организации, вы не отделаетесь простым нажатием кнопки», - заявил Джонсон.
Джонсона поддержал Дэвид Крокер (David Crocker) из Brandenburg InternetWorking. По его словам, Sender ID обходится вовсе не так дешево, как утверждается, и затраты на техническую поддержку могут быть весьма значительными.
Проблема для больших международных компаний состоит в том, что письма могут приходить от разных отправителей из разных стран, и не все легитимные корреспонденты поддерживают SPF. При этом необходимо настроить все почтовые системы компании так, чтобы не было сбоев. Система должна быть достаточно гибкой.
«Проблема становится особенно острой, если почтовый провайдер удаляет все письма, не прошедшие проверку на подлинность отправителя», - сказал Джонсон.
Поэтому, по данным CipherTrust, больше половины компаний, опубликовавших SPF-записи, не удаляет те письма, подлинность которых невозможно подтвердить, что оставляет лазейку для спамеров и фишеров.
«Мы являемся сторонниками SPF, и все наши серверы поддерживают технологию, однако мы не рекомендуем пользователям фильтровать сообщения на основе проверки подлинности отправителя, поскольку это приводит к большому числу ложных срабатываний», - сказал исполнительный директор Barracuda Networks Дин Драко (Dean Drako).
Однако не все считают это серьезной проблемой. «Это действительно ограничивает эффективность технологии, но я считаю, что это просто переходный период», - заявил вице-президент компании IronPort Патрик Петерсон (Patrick Peterson).
аутентификация – это не более чем аутентификация
Как бы то ни было, если технологии аутентификации будут использоваться широко, пользователи получат возможность точно знать, что письмо пришло действительно из их банка, а не отправлено мошенниками. Как уже не раз подчеркивали эксперты, проблему спама аутентификация отправителя не решит, но поможет справиться с подделкой адресов отправителей сообщений.
«Аутентификация – это аутентификация, и ничего более», - сказал представитель Sendmail. – «Спамеры тоже могут использовать аутентификацию». Что, собственно, подтверждают исследования 2004 года, когда выяснилось, что спамеры активно используют Sender Policy Framework, предшественника Sender ID.
Поэтому эксперты считают необходимым развивать системы репутации доменов, которые позволят отделить овец от волков, то есть легитимных отправителей от спамеров.
Хотя в настоящее время крупные ISP, через которых проходит более половины всего почтового трафика, используют технологии аутентификации, успокаиваться рано.
По словам представителя Microsoft, безупречного решения сейчас нет. Но о какой бы технологии не шла речь, надо смотреть вперед, а не оглядываться назад, потому что злоумышленники будут искать новые способы атак.
По материалам «Спамтест», The Register и CNET News.com.
Сетевые решения. Статья была опубликована в номере 05 за 2006 год в рубрике технологии