虽然在反击网络钓鱼时,公司往往显得各自为战,但是为了缓解这种威胁,唯一的方法还是让公司给客户发送重要的电子邮件,并同网络邮件提供商进行合作,这样可以通过邮件信誉服务来过滤这些邮件。在2011年度的RSA会议上,专家小组对此表示认同。
美国银行公司高级设计师Steve Jones说:“当这一情况发生时,我们都通知我们的客户,如果他们不信任任何消息,他们不会查看我们发送的合法的警报消息。”
该小组由Paul Smocer领导,他是BITS金融服务圆桌项目管理办公室执行副总裁,他主要关注两种对防止网络钓鱼信息至关重要的电子邮件身份验证技术:防止地址欺骗的SPF技术以及DKIM技术(在该技术中加密密钥签名需要同DNS中相应的密钥进行对比验证)。eCert公司的董事长兼首席执行官Kelly Wanser说:“当SPF和DKIM连接在一起使用时,它们有助于减少网络边缘案件”,但这种情况下,合法的电子邮件会被阻碍。
SPF,即发件方策略框架(Sender Policy Framework,),能防止发信人地址被篡改。该标准允许电子邮件发送人阐明他们的政策,并在DNS区发布域的信息。然后,收件人的服务器会验证该信息是否符合发布政策,如果不符合就对其进行阻止。SPF也允许对发信人地址附上信誉情况。DKIM,即域名密钥识别邮件(DomainKeys Identified Mail),使用密码验证来证实密匙签名。
但不幸的是,实施的过程都不容易。谷歌公司的产品经理Adam Dawes解释道,“很难系统地签署并使所有电子邮件都有效”。这个过程需要花费一年中的大部分时间去完成。
然而,谷歌处在一个独特的位置去理解这项技术,因为其Gmail网络邮件提供商的身份,使得它既是大量电子邮件的发送者,也是接收者。这使得他们更容易追踪声称是来自谷歌的电子邮件。Dawes说:“如果我们不是邮件的接收者,在工作中有效地实施这些技术将不会那么容易。”
为此,在打击网络钓鱼技术中,需要鼓励发送者和接收者互相之间进行沟通。AG Interactive (AGI)是美国贺卡生产商American Greetings的在线部门,其网络运营安全负责人Michael Hammer解释道,在2007年利用电子贺卡进行钓鱼非常猖獗的时候,AGI就已经“在所有贺卡领域全面实施有力的SPF和DKIM了。”该公司还告诉大型邮箱提供商:“如果‘一张来自AGI的电子贺卡’未被认证,请扔掉它。不过贺卡发送者不需要认证。”
从那时起,邮件的接收者就在进行改进,但Dawes表示,要想更好的进行协调,意味着需要系统地向发送者提供信息,这有助于他们有效利用基础设施。他说:“如果我们知道‘组织’正签署自己所有的电子邮件,一旦我们收到一封没有签署的邮件,我们就会与他们联系。”
另一小组的成员Fidelity Investments公司的安全副总裁Alex Popowycz表示认同,他说:“根据从IPS得到的反馈结果,我们可以列出在那些被阻塞的电子邮件中出现的URL,它们已经被加入到我们的代理服务器中。”
但是,要想完全达到效果,不仅需要各个发送电子邮件的公司和网页邮件提供商之间,也需要用户之间进行合作,因为用户能在第一时间分辨出合法邮件。Hammer说:“我们希望人们了解我们的邮件。”