Güvenli e-posta hareketine öncülük eden popüler posta kutusu sağlayıcıları Google ve Yahoo, yakın zamanda e-posta gönderenlere yönelik yeni e-posta kimlik doğrulama talimatlarını ortaya koydu.
En son gereksinimler, yalnızca kullanıcılarına spam içermeyen bir gelen kutusu sağlamayı amaçlamıyor, aynı zamanda doğrudan alan adı sahtekarlığı ve e-posta kimlik avı saldırıları risklerini de önemli ölçüde azaltmayı amaçlıyor.
Saldırıların sürekli gelişen ve karmaşık doğası nedeniyle posta kutusu sağlayıcıları tarafından uygulanan çeşitli kontrollere rağmen, e-posta tabanlı siber saldırılar, gelen kutularını acımasızca rahatsız ediyor.
Siber suçlular genellikle spam filtrelerini aşmakta ve kullanıcının gelen kutusuna sızmak konusunda başarılı olmakta ve çoğunlukla meşru kuruluşların ve bireylerin kimliğine bürünmektedir.
Bu, yalnızca bu kötü niyetli e-postaların alıcısı için yakın bir tehdit oluşturmakla kalmaz, aynı zamanda kimliğine bürünülen şirketin itibarına ve güvenilirliğine de ciddi zarar verir.
Gelecek yılın başlarından (2024) itibaren, toplu mesaj gönderenlerin aşağıdaki gereksinimlere uyması bekleniyor:
Mesaj gönderenler genellikle kimlik doğrulaması yapılmamış e-postalar gönderirler; bu da saldırganların markalarını taklit etmelerini veya aktarım sırasında mesajlarını değiştirmelerini çok kolaylaştırır.
Tanınmış posta kutusu sağlayıcıları, e-posta kaynaklarını doğrulamanın, yetkisiz mesajların kullanıcılarına ulaşmasını ve ardından onları dolandırmasını kısıtlayacak e-posta güvenliğinin çok önemli bir yönü olduğunun bilincindedir.
Google ve Yahoo, toplu gönderenlerin iletilerin kimliğini SPF, DKIM ve gibi standart e-posta kimlik doğrulama protokollerini kullanarak doğrulaması gerektiğini duyurdu.
Sektör tarafından beğenilen bu en iyi uygulamalar, mesajın kaynağını ve içeriğini doğrulayarak gerçek mesajlar ile sahte olanları ayırt etmede uzun bir yol kat ediyor.
Kimlik avı kampanyalarında genellikle işletmeler taklit edilir ve meşru alan adları, onlar adına e-posta göndermek üzere taklit edilir. Bu saldırganlar, yüksek başarı oranına sahip, yüksek hedefli saldırılar başlatmak için sosyal mühendisliği kullanır.
E-posta kimlik doğrulamasının, diğer güvenlik önlemleriyle birlikte, çok çeşitli e-posta tabanlı tehditleri azaltmada ve hafifletmede etkili stratejiler olduğu kanıtlanmıştır.
Google ve Yahoo, en son gereksinimlerinde, e-postaların aboneliğinden çıkmayı kolaylaştırmanın, tercihen alıcılar için tek tıklamayla abonelikten çıkma seçeneği sunmanın önemini vurguladı. Bu, kullanıcılarının yalnızca ilgilendikleri e-postaları okumasını sağlar ve spam ya da gereksiz olarak değerlendirilebilecek e-postaları filtreler.
E-posta gönderenler ticari amaçlarla toplu mesaj göndermekte özgür olsa da, aboneliği iptal etme düğmesi alıcılara hangi e-postaları almaya devam etmek isteyip hangilerini istemeyeceklerini seçme olanağı verir.
Bu duruşun temel amacı, Gmail ve Yahoo kullanıcıları için en iyi e-posta deneyimini sağlamak ve onları gelen kutularını spam'den uzak ve düzenli tutmaya teşvik etmektir. Kullanıcılara değer katan e-postaların bulunduğu temiz ve düzenli bir gelen kutusu, müşteri memnuniyetine yönelik aktif bir bağlılığı teşvik eder.
Son olarak, son gereksinimle ilgili olarak, gönderenler göndermek istedikleri e-postaları seçerken alıcılarının çıkarlarını göz önünde bulundurmalıdır.
Spam azaltımına yönelik iki yönlü bir yaklaşım; burada bir yandan alıcı, e-posta aboneliğinizi kolayca iptal ederken, siz de okuyucularınız için gerçekten değerli olabilecek e-postaları seçersiniz - birlikte çalışarak gelişmiş bir iletişim deneyimi sağlar. Ayrıca her iki taraf için de etkili ve faydalıdır.
Spam, herkesin kurtulmak istediği bir gelen kutusu kötü adamıdır. Spam bazı rahatsızlıklara ve rahatsızlıklara neden olsa da kimlik avı e-postaları o kadar da merhametli değildir. Bu kötü amaçlı e-postalar genellikle gerçek bir şirket kılığında posta kutularına sızar ve kötü amaçlı yazılım, fidye yazılımı yayar veya banka havalelerini başlatır.
Mağdurlara maddi zarar verirken aynı zamanda habersiz kuruluşların itibarına da zarar veriyorlar.
Bu nedenle, e-posta kimlik doğrulaması, büyük e-posta servis sağlayıcılarının desteklerini genişletmesi ve hemen yürürlüğe girecek şekilde benimsenmeyi teşvik etmesi nedeniyle gerçekten çağın ihtiyacı haline geldi.
PCI Güvenlik Standartları Konseyi yakın zamanda DMARC'yi sürüm 4 uyumluluğu için bir zorunluluk olarak duyurduğundan, E-posta Kimlik Doğrulaması diğer sektörlerde de öncelik kazanıyor. Buna uymak için kuruluşların bir uygulama yapması gerekir.
Bu ileri tarihli bir gereklilik olsa da kuruluşların Mart 2025'e kadar bu son gereksinimlere uyması bekleniyor.
Google ve Yahoo'nun yaklaşan e-posta gönderen gereksinimlerini özetlemek için, başvurabileceğiniz hızlı bir kontrol listesini burada bulabilirsiniz:
Google ve Yahoo'nun da belirttiği gibi, uygulamanın Şubat 2024'te başlaması bekleniyor. Google ve Yahoo e-posta politikası değişiklikleri, Gmail ve/veya Yahoo kullanıcılarına mesaj gönderen toplu mesaj gönderenlere uygulanacaktır.
Günde 5000'den fazla e-posta gönderiyorsanız "toplu mesaj gönderen" kategorisine girmeye hak kazanırsınız.
Bu, sıklıkla satış veya pazarlama e-postaları gönderen kuruluşlar için yaygın bir uygulamadır ve yeni gereksinimler, bu kuruluşların alıcıların gelen kutularına istenmeyen iletiler göndermesini kısıtlamayı ve aynı zamanda onları kimlik avı saldırılarına karşı korumayı amaçlamaktadır.
En üst seviyeden bakıldığında, e-postalarınız için DMARC'yi ve e-posta kimlik doğrulamasını yapılandırmak çocuk oyuncağı gibi görünebilir, çünkü yalnızca bir DNS TXT kaydı yayınlamanızı gerektirir. Ancak bu buzdağının sadece görünen kısmı. Bunun gibi teknik protokoller, ayrıntılı teknoloji bilgisi gerektirir ve yanlış anlaşılması kolaydır; bu da yapılandırma, sözdizimsel veya diğer hatalara yol açar.
Önde gelen kuruluşların PowerDMARC'lara başvurmalarının nedeni budur
Otomatik kayıt oluşturma ve kurulumla Google ve Yahoo'nun e-posta güvenliği gereksinimlerini daha hızlı karşılayın
Yapılandırmalarınızı merkezi bir kontrol panelinde izleyin ve optimize edin.
Teslim edilebilirlikten ödün vermeden, DMARC izlemeden uygulamaya sorunsuz bir geçiş yapın ve e-postalarınızı ve alan adınızı sahtekarlık saldırılarına karşı koruyun.
Hataları gidermek için basitleştirilmiş raporların yardımıyla e-postanızın davranışına ve etki alanı etkinliğine ilişkin ayrıntılı bilgileri inceleyin.
SPF hatalarını 10 kat daha etkili bir şekilde azaltın
Deneyimli bir alan adı ve e-posta güvenliği uzmanından 24 saat özel yardım alın.
PowerDMARC, binlerce müşterinin Google ve Yahoo uyumluluk gereksinimlerini karşılamasına yardımcı oldu. Kontrol listenizi 2024'ten önce tamamlayın - kayıt olun