bencede
New member
Çoğu e-posta Basit Posta Aktarım Protokolü (SMTP) aracılığıyla gönderilir. 1980'lerde geliştirildiğinde, bir mesajın gerçekliğini doğrulamaya yönelik yöntemler henüz bir güvenlik hedefi değildi. Dolandırıcılar bunu iyi biliyor. Federal Bilgi Güvenliği Ofisi (BSI), şimdi yayınlanan e-posta kimlik doğrulaması teknik kılavuzunda (TR-03182) “Bu güvenlik açığından aktif olarak yararlanıyor ve potansiyel kurbanlarla iletişim kurarken güvenilir bir kişi gibi davranıyorsunuz” diye yazıyor.
Duyuru
Amaç, e-posta sağlayıcılarına kimlik avı ve kimlik sahtekarlığıyla nasıl mücadele edileceğine ilişkin yönergeler sağlamaktır. Etkilenen kişileri soymak için gönderenin adının tahrif edilmesini içerir. BSI, “Bir e-postanın orijinalliği, yani belirli bir göndericiden gelen bir mesajın kaynağının izlenebilirliği, güvenilirlik açısından temel öneme sahiptir”, diye altını çiziyor. Bunların yanlış elde edilmesi durumunda kişisel verilerin iletilmesi veya ödemelerin güvenilen kişi adına yapılması riski bulunmaktadır.
Bu tür kimlik istismarını önlemek için son yıllarda e-posta kimlik doğrulaması olarak bilinen çeşitli yöntemler geliştirilmiştir. Direktifin teknik özellikleri bunları özetlemekte ve “alıcıların kimlik istismarına karşı etkili bir şekilde korunabilmesi için uygulama için yerine getirilmesi gereken” gereklilikleri ortaya koymaktadır.
Belgede BSI, üç İnternet standardı biçiminde ortak kimlik doğrulama önlemlerini kullanıyor. SPF (Gönderen Politikası Çerçevesi), belirli bir alan adına e-posta göndermek için temel yetkilendirmeyi doğrulamak için kullanılır. TR'de de gerekli olan DKIM (Domain Key Identified Mail) standardı, alana gönderilen her e-postayı kriptografik olarak bağlar. Üçüncü spesifikasyon DMARC'dir (Etki Alanı Tabanlı Mesaj Kimlik Doğrulaması, Raporlama ve Uyumluluk). Bunlar, meşruiyet ve doğrulama ihlallerinin nasıl ele alınması gerektiği ve raporların nereye gönderilmesi gerektiği ile ilgili kurallardır.
BSI Başkanı: Siber güvenliği pragmatik bir şekilde modelleyin
Yeni TR'ye göre, e-posta kimlik doğrulaması, gönderen alan adına mesaj iletmesine izin verilen Mesaj İşleme Hizmetlerini (MHS) meşrulaştırmaktadır. Yetkili bir MHS, gönderen etki alanı adına e-posta gönderdiğinde, alıcı karşı taraf, gönderen sunucunun IP adresinin SPF politikasının bir parçası olduğunu ve gönderen sunucu tarafından giden mesaja eklenen DKIM dijital imzasının sağlam olduğunu doğrulayabilir.
Ayrıca gönderen sistemin gerekli izinlere sahip olduğu, mesajın alan adından geldiği ve taşıma sırasında herhangi bir değişikliğe uğramadığı da kontrol edilir. Bonn yetkilisi, bu şekilde posta sağlayıcılarının müşterilerini ve kendilerini yetkisiz okuma ve manipülasyona (ortadaki adam saldırıları) karşı koruyabileceğini açıklıyor. Tedbirlerin uygulanması aynı zamanda SMTP kaçakçılığı gibi yeni keşfedilen saldırı yöntemlerini de daha zor hale getiriyor. Bu, belirli durumlarda SPF, DKIM ve DMARC'yi sürpriz bir şekilde yakalamanıza olanak tanır.
BSI'ya göre önde gelen e-posta sağlayıcıları, gelecekte toplu e-posta göndermek için kimlik doğrulama mekanizmalarına ihtiyaç duyacaklarını zaten duyurdular. Bazıları zaten “kaçakçılık saldırısına” yanıt verdi. Aynı zamanda açık SMTP aktarma sunucularını kullanmak da giderek zorlaşıyor. BSI Başkanı Claudia Plattner, genel hedefin siber güvenliği dijital tüketicinin korunması adına “pragmatik” şekilde tasarlamak olduğunu vurguladı. Yeni TR “tam olarak burada” başlıyor.
(Orada)
Haberin Sonu
Duyuru
Amaç, e-posta sağlayıcılarına kimlik avı ve kimlik sahtekarlığıyla nasıl mücadele edileceğine ilişkin yönergeler sağlamaktır. Etkilenen kişileri soymak için gönderenin adının tahrif edilmesini içerir. BSI, “Bir e-postanın orijinalliği, yani belirli bir göndericiden gelen bir mesajın kaynağının izlenebilirliği, güvenilirlik açısından temel öneme sahiptir”, diye altını çiziyor. Bunların yanlış elde edilmesi durumunda kişisel verilerin iletilmesi veya ödemelerin güvenilen kişi adına yapılması riski bulunmaktadır.
Bu tür kimlik istismarını önlemek için son yıllarda e-posta kimlik doğrulaması olarak bilinen çeşitli yöntemler geliştirilmiştir. Direktifin teknik özellikleri bunları özetlemekte ve “alıcıların kimlik istismarına karşı etkili bir şekilde korunabilmesi için uygulama için yerine getirilmesi gereken” gereklilikleri ortaya koymaktadır.
Belgede BSI, üç İnternet standardı biçiminde ortak kimlik doğrulama önlemlerini kullanıyor. SPF (Gönderen Politikası Çerçevesi), belirli bir alan adına e-posta göndermek için temel yetkilendirmeyi doğrulamak için kullanılır. TR'de de gerekli olan DKIM (Domain Key Identified Mail) standardı, alana gönderilen her e-postayı kriptografik olarak bağlar. Üçüncü spesifikasyon DMARC'dir (Etki Alanı Tabanlı Mesaj Kimlik Doğrulaması, Raporlama ve Uyumluluk). Bunlar, meşruiyet ve doğrulama ihlallerinin nasıl ele alınması gerektiği ve raporların nereye gönderilmesi gerektiği ile ilgili kurallardır.
BSI Başkanı: Siber güvenliği pragmatik bir şekilde modelleyin
Yeni TR'ye göre, e-posta kimlik doğrulaması, gönderen alan adına mesaj iletmesine izin verilen Mesaj İşleme Hizmetlerini (MHS) meşrulaştırmaktadır. Yetkili bir MHS, gönderen etki alanı adına e-posta gönderdiğinde, alıcı karşı taraf, gönderen sunucunun IP adresinin SPF politikasının bir parçası olduğunu ve gönderen sunucu tarafından giden mesaja eklenen DKIM dijital imzasının sağlam olduğunu doğrulayabilir.
Ayrıca gönderen sistemin gerekli izinlere sahip olduğu, mesajın alan adından geldiği ve taşıma sırasında herhangi bir değişikliğe uğramadığı da kontrol edilir. Bonn yetkilisi, bu şekilde posta sağlayıcılarının müşterilerini ve kendilerini yetkisiz okuma ve manipülasyona (ortadaki adam saldırıları) karşı koruyabileceğini açıklıyor. Tedbirlerin uygulanması aynı zamanda SMTP kaçakçılığı gibi yeni keşfedilen saldırı yöntemlerini de daha zor hale getiriyor. Bu, belirli durumlarda SPF, DKIM ve DMARC'yi sürpriz bir şekilde yakalamanıza olanak tanır.
BSI'ya göre önde gelen e-posta sağlayıcıları, gelecekte toplu e-posta göndermek için kimlik doğrulama mekanizmalarına ihtiyaç duyacaklarını zaten duyurdular. Bazıları zaten “kaçakçılık saldırısına” yanıt verdi. Aynı zamanda açık SMTP aktarma sunucularını kullanmak da giderek zorlaşıyor. BSI Başkanı Claudia Plattner, genel hedefin siber güvenliği dijital tüketicinin korunması adına “pragmatik” şekilde tasarlamak olduğunu vurguladı. Yeni TR “tam olarak burada” başlıyor.
(Orada)
Haberin Sonu