Google 今天宣佈一項數據:大家對抗釣魚郵件的戰爭經過近十年的努力之後,終於有一些成果了,現在從網路上傳送給 Gmail 使用者的已認證(非垃圾)郵件中,有 91.4% 的郵件認證是來自於 DomainKey Identified Email(DKIM)或 Sender Policy Framework(SPF)這兩種標準。

網路上許多 Email 相關的產業長年來都致力於這樣的郵件認證標準,希望可以藉由郵件的寄送網域單位與接收網域單位確認使用者的身份,避免冒名的電子郵件產生,而這樣的措施可以幫助類似 Gmail 這類的電子郵件服務提供者一年過濾數十億封的釣魚郵件,確保這些釣魚郵件不會進入到使用者的信箱裡。


這張圖是 Google 所提供的,它顯示了現在這個機制運作的狀況。

gmail-how-emails-are-authenticated

以下是 Google 公佈的一些統計資料:

  • 有 76.9% 的郵件使用 DKIM 標準,有超過 50 萬個網域使用這個認證標準。
  • 有 89.1% 的郵件使用 SPF 標準,而有超過 350 萬個網域使用這個認證標準。
  • 有 74.7% 的郵件同時使用了 DKIM 與 SPF 兩個標準。
  • 有超過 8 萬個網域已經使用網域相關的準則(domain-wide policies),讓 Gmail 可以透過 DMARC 標準每週篩選掉數億封的郵件。

雖然這是個好消息,但是這個對抗釣魚郵件的戰爭還是會持續進行,縱使大部分的網域單位都有使用這樣的認證機制,但是釣魚信件發布者還是可以鎖定那些少數沒有使用認證的網域單位,甚至再這樣的認證機制下,攻擊者還可以嘗試去破解一些比較弱的加密金鑰,而 Google 也建議像 DKIM 這類認證機制,應該使用長度在 1024 位元以上的金鑰。

另外還有一些擁有網域但卻從來不發送郵件的單位,也可以透過 Domain-based Message Authentication, Reporting & Conformance(DMARC)來描述該網域不是發送郵件的網域,這樣也有助於對抗這類的釣魚郵件。

參考資料:TNW