报告:只有6%的企业使用DMARC电子邮件身份验证,灰鸽子下载,远程控制软件
报告:只有6%的企业使用DMARC电子邮件身份验证,灰鸽子下载,远程控制软件报告:只有6%的企业使用DMARC电子邮件身份验证,只有1.5%的用户强制执行,组织要么忽略,要么不能实施DMARC
http://images.techhive.com/images/article/2015/08/thinkstockphotos-481053665-100606513-large.jpg
在一项关于100万个企业域的研究中,只有60,000个企业使用了DMARC电子邮件身份验证,其中只有四分之一实施了强制执行机制,根据ValiMail今天发布的一份报告。
DMARC - 基于域的消息认证,报告和一致性 - 是一个开放标准,有助于保护域免受模拟。
这保护客户和员工免受假冒来自官方公司电子邮件帐户的钓鱼电子邮件。
它不保护类似的域名,或从受到危害的公司电子邮件帐户发送的电子邮件,但仍然是一个重要的安全措施。
然而,DMARC可能难以设置,特别是当公司使用外部提供商进行营销,人力资源,工资单和其他服务时,供应商代表公司发送电子邮件。
“DMARC标准有多种模式,最简单的只是报告,”ValiMail首席技术官Peter Goldstein说。
域管理员接收报告,这些报告聚集关于使用域名的发件人的IP地址的数据。
“但没有执法,”他说。 “不要求接收者停止或阻止网络钓鱼电子邮件。报告本身不保护客户,员工或业务伙伴。
公司还可以选择拒绝网络钓鱼电子邮件或自动发送到垃圾邮件文件夹。
“但是,尝试做DMARC身份验证的人中有75%没有得到执法,”他说。
较大的公司更有可能使用DMARC。在纳斯达克100中,43%的企业尝试身份验证,25%的FTSE 100,24%的标准普尔500和16%的财富1000。
获取您的日常安全新闻:注册CSO的安全通讯
“你看到更多的DMARC在更大的公司使用,但你仍然看到一个小的成功率,”戈尔茨坦说。
在拥有DMARC的Nasdaq 100公司中,72%的公司未能执行它,80%的FTS 100,74%的标准普尔500和77%的财富1000。
采用率不断提高,他说,但除了第三方供应商的问题,还有其他问题涉及。
自2012年以来,该标准仅以现有形式存在,使得标准相对年轻。在电子邮件客户端中的支持,其中用户以某种方式被通知特定电子邮件是危险的,已经不一致。并且缺乏关于如何实现DMARC的良好信息。
“许多公司都在看DMARC,看到它是一个开放的标准,并说,”我可以自己这样做,“”Goldstein说,他的公司提供DMARC管理服务。 “但坦率地说,这是很棘手的。
一些供应商开始加紧 - 或者至少计划这样做。
Goldstein说,雅虎和AOL两年前开始为他们的消费电子邮件服务实施DMARC。 Google和Microsoft一直在讨论如何在其Gmail和Office 365平台的消费者端实施DMARC拒绝。
所有四家公司都在内部使用DMARC执行,用于他们自己的企业通信。
在企业方面,Google Apps,Office 365和Yahoo Business支持DMARC,域所有者可以设置其DNS记录,将未授权的电子邮件推送到实施。
“但是虽然他们可以很容易地验证来自他们的电子邮件,他们不一定告诉你如何验证营销系统或其他系统,如人力资源,工资单和会计,也可能代表您发送电子邮件, 他说。
Google和Microsoft都没有公开宣布任何计划帮助将他们的业务客户转移到完全DMARC执行,他说。
“他们鼓励它,但没有提供很多服务的形式到达那里,”他说。
页:
[1]