Google、Yahoo!、Microsoft、Linkedin、Facebook、PayPal等,共15家大型網路服務業者、金融服務業等 (如下圖),不久前一同成立了DMARC.org,一起推動該項標準,服務供應商需經過DKIM(註1)或SPF(註2)標準才能符合DMARC認證,DMARC(Domain-based Message Authentication, Reporting & Conformance)此項認證標準,簡單的來說就是電子郵件的認證系統。
Openfind線上服務部協理李孟秋說,這些聯盟內的網路服務供應商各自有各自的標準來防堵網路釣魚郵件,例如Yahoo!採用的是DomainKeys、Google則是使用SPF,因此聯盟成立的目的便是要建立一個統一的標準,不僅可以彼此分享黑名單資料庫讓大家取用,也可以截長補短、統一陣線。例如各ISP業者擁有許多釣魚郵件的Sample可參考,而一些電子郵件資安廠商可能擁有強力的研發團隊。
Yahoo!的網域認證鑰匙:DomainKeys
Google的SPF:建立SPF記錄
李孟秋認為,國內目前還沒有這樣的聯盟,但如果有一個中立的第三方單位發起,提供一些誘因,例如舉辦活動或提供經費,對於整體資安(尤其是在防堵釣魚信件)當然會有幫助,但這也是與各競爭對手合作、跨公司的合作,因此是否會成功,還需要諸多的溝通與協調,DMARC.org也仍有待時間考驗。
目前DMARC.org正打算將此規格的草案交與網際網路工程任務(IETF, Internet Engineering Task Force),希望可以變成標準化。李孟秋說,如果屆時真的可以變成標準化,各國廠商也可引用該標準,只是網路釣魚郵件會有區域性,可能會比較缺乏台灣區域的Sample,因此台灣若能也有這樣的標準共享,業界也會相當期待,更有助於台灣資安提升。
註1:根據維基百科的解釋「DKIM是由DomainKeys所改進的協定,大多數的運作方式與DomainKeys相同。在2007年2月時,DKIM被列入互聯網工程工作小組(IETF)的標準提案(Proposed Standard),並於同年5月成為正式標準(Standards Track)。」
註2:SPF(Sender Policy Framework),可以在域名裡的DNS建立SPF記錄,來告知這個域名只會透過某些主機來發送郵件,可以避免被垃圾郵件發送者冒充發送。