מה זה DMARC ולמה הוא יכול למנוע פריצה

בימים הראשונים של הפישינג, הסימנים היו קלים יותר לזיהוי: שגיאות כתיב, ניסוח מוזר ועיצוב מסורבל שגרם לאימיילים להרגיש מוזרים. אבל הזמנים השתנו. בינה מלאכותית הורידה את מחסום הכניסה עבור פושעי סייבר, והפכה את כתיבת האימיילים בקלות עם דקדוק וטון מושלמים.

זה גם אפשר לתוקפים להיות חכמים יותר, באמצעות טקטיקות הנדסה חברתית המחקות את השפה וההתנהגות של אנשים אמיתיים, ומטעות אפילו את הנמענים הערניים ביותר. רק בחודש שעבר, דווח כי M&S נפלה קורבן להונאת הנדסה חברתית כה משכנעת עד שהיא עלולה למחוק עד 300 מיליון ליש"ט מהרווח התפעולי שלה השנה.

 

על רקע זה, EasyDMARC ניתחה לאחרונה 1.8 מיליון מדומיינים מובילים בעולם בתחום הדוא"ל. באופן מדאיג, מצאנו שרק 7.7% מהם מחזיקים ברמת ההגנה הגבוהה ביותר מפני פישינג. בנוסף לכך, יותר ממחציתם אפילו לא נקטו בצעד הראשון בפריסת רמת אבטחת הדוא"ל הבסיסית ביותר.

משמעות הדבר היא שרוב הארגונים עדיין משאירים את הדלת פתוחה לרווחה להתקפות התחזות, בתקופה שבה קשה יותר מאי פעם לזהות פישינג.

 

למה אימייל הוא החוליה החלשה ביותר

איבדתי את הספירה של כמה פעמים שמעתי חברות אומרות, "עשינו את ההכשרה, אז אנחנו מכוסים". אבל האמת היא שאימון הצוות שלכם לזהות מיילים זדוניים לא יפסיק את הפישינג. לא כשהמייל נראה כאילו הגיע מהדומיין שלכם, חתום על ידי המנכ"ל שלכם ונשלח בדיוק בזמן הנכון.

דוא"ל הוא עדיין עמוד השדרה של התקשורת העסקית. זהו הערוץ שדרכו מידע רגיש זורם ותהליכים מרכזיים מתחילים ומאושרים. נוכחותו בכל מקום והאמון שניתן בו הופכים אותו למטרה אידיאלית לתוקפים.

הבעיה היא שדוא"ל מעולם לא תוכנן עם אימות זהות מובנה.

 

מה DMARC באמת עושה

DMARC (אימות, דיווח ותאימות של הודעות מבוססות דומיין) הוא פרוטוקול אימות שנועד למנוע מתוקפים לשלוח הודעות דוא"ל שנראות כאילו מגיעות מהדומיין שלך. הוא פועל על ידי אימות האם השולח מורשה, באמצעות סטנדרטים בסיסיים כמו SPF ו-DKIM, ולאחר מכן מורה לשרתי הדוא"ל המקבלים כיצד לטפל בהודעות שנכשלות בבדיקות אלה.

דרך מועילה לחשוב על DMARC היא כמו בקרת גבולות עבור הדוא"ל של הארגון שלך. SPF ו-DKIM בודקים את האישורים; DMARC היא המדיניות שמחליטה מה יקרה הלאה. האם אתה מאפשר להודעה לעבור, מעכב אותה לבדיקה או דוחה אותה לחלוטין?

 

פער האכיפה של DMARC

הבעיה היא שרוב הארגונים מתייחסים ל-DMARC כאל משהו שצריך רק להגדיר, לא לתחזק. הם מגדירים אותו פעם אחת, משאירים אותו על הגדרת המדיניות החלשה ביותר, 'p=none', שפשוט רושמת פעילות חשודה מבלי לנקוט פעולה, ומניחים שזה מספיק. אבל בלי אכיפה נאותה, DMARC לא עוצר את הפישינג; הוא פשוט צופה בזה קורה.

המחקר האחרון שלנו מראה עד כמה פער האכיפה הזה נפוץ באמת. מתוך 1.8 מיליון הדומיינים המובילים בעולם, רק 7.7% הגדירו את מדיניות ה-DMARC שלהם ל-'p=reject', רמת האכיפה החזקה ביותר שחוסמת באופן פעיל מסירת דוא"ל לא מורשה.

ראינו את ההבדל שאכיפה עושה. במדינות כמו ארצות הברית, שבהן רגולציה ומדיניות ספקים דחפו לאכיפה חזקה יותר של DMARC, ההשפעה הייתה דרמטית. קבלת דוא"ל פישינג ירדה מ-68.8% בשנת 2023 ל-14.2% בלבד בשנת 2025.

עד שיותר ארגונים ינקטו בצעד הסופי לאכיפת DMARC כראוי, דוא"ל יישאר אחד מוקטורי התקיפה הקלים ביותר עבור פושעי סייבר.

 

הנוף משתנה

מהלכים אחרונים של ספקי דוא"ל גדולים כמו גוגל, יאהו ומיקרוסופט לאכוף פרוטוקולי DMARC, SPF ו-DKIM עבור שולחים בכמויות גדולות מסמנים רגע מכונן באבטחת הדוא"ל. חשוב לציין, שינויים אלה אינם תוצאה של צווים ממשלתיים או חקיקה חדשה; הם מונעים אך ורק על ידי ספקי הדוא"ל עצמם.

רמה זו של אכיפה חד-צדדית משקפת רמה גבוהה של אמון בפרוטוקולים אלה, ובמיוחד DMARC, כצורת ההגנה הטובה ביותר מפני פישינג.

אבל בעוד שספקי דוא"ל משלבים אימות בלב התקשורת, ארגונים רבים מפגרים מאחור. עבור רובם, התגובה הייתה מונעת תאימות; התמקדה במניעת בעיות מסירה במקום בחיזוק מצב האבטחה הכולל.

ככל שנוף האיומים מתפתח, הניתוק בין חוסר מעש רגולטורי, סטנדרטים המונחים על ידי ספקים ומוכנות ארגונית הופך בולט יותר.

 

סגירת הפער: מציות למחויבות

בחודש מאי, תוקפים שהתחזו ל-HMRC גנבו 47 מיליון ליש"ט. התוקפים לא עקפו הגנות מורכבות של יום אפס. הם פשוט פרצו דרך הדלת הקדמית על ידי זיוף דומיינים מהימנים.

אכיפה היא מה שהופך את הנראות לפעולה. כאשר ספקי הדוא"ל מובילים את המהלך, הגיע הזמן שעסקים יתעדכנו, לא מתוך מחויבות, אלא מתוך שמירה עצמית. כי בעולם שבו פושעי סייבר מצוידים במשאבים טובים יותר מאי פעם, עשיית המינימום ההכרחי כבר אינה מספיקה.