Eine Analyse der 3.614 Domains, die von den besten akkreditierten Colleges und Universitäten in den USA betrieben werden, hat ergeben, dass 88,8% ihrer Root-Domains keinen Schutz vor Phishing-Angriffen bieten, die die E-Mail-Nomenklatur des Instituts verfälschen.
Ein Bericht des E-Mail-Spezialisten 250ok zeigt, dass die meisten dieser Institutionen keine veröffentlichte SPM- (Sender Policy Framework) oder DMARC-basierte (DMARC - Message Authentication, Reporting and Conformance) -Richtlinie haben. Tatsächlich haben nur 11,2% DMARC, den Industriestandard für die E-Mail-Validierung, vollständig implementiert, was bedeutet, dass sie niedriger indexieren als die führenden Einzelhändler in den USA und der EU (15,8%).
"Da Universitäten mit einer Vielzahl von Wahlkreisen kommunizieren, ist es gefährlich, die E-Mail-Sicherheit dem Zufall zu überlassen", so Matthew Vernhout, director of privacy von 250ok. "Wenn grundlegende Authentifizierungsdatensätze und eine DMARC-Richtlinie nicht veröffentlicht werden, sind Studenten, Lehrkräfte und andere Empfänger unnötigerweise Phishing-Angriffen ausgesetzt."
Auch wenn der Hochschulsektor hinterherhinkt, ist erkennbar, dass Organisationen so langsam ihr Bewusstsein für die Wirksamkeit von DMARC weiter ausbauen. Zum Beispiel hat das Department of Homeland Security (DHS) im vergangenen Jahr eine Richtlinie für alle föderalen Domänen erlassen, um DMARC, TLS und HTTPS zu implementieren. So wird das Spoofing von Domain-Namen verhindert und die E-Mail-Kommunikation abgesichert.
"Wir senden jeden Monat bis zu mehrere Millionen an E-Mails an Studenten und bitten sie, auf Links zu klicken. Die Empfänger gewöhnen sich daran, E-Mails von einer UKY.edu-Domain zu empfangen. Sie klicken daher auf die dort enthaltenen Links, ohne zu überprüfen, woher die E-Mail wirklich stammt.", sagte Alex Mackey, digital strategy manager der University of Kentucky und 250ok-Kunde.