أظهر تقرير حديث لشركة “باور دي مارك” الأمريكية الرائدة في حلول مصادقة البريد ضعفا واضحا في اعتماد بروتوكولات أمان البريد الإلكتروني في غالبية القطاعات بالمغرب، بما فيها البنوك، فيما لا تستخدم جميعها بروتوكول أمان نقل البريد الإلكتروني بين الخوادم، المعروف اختصارا بـ”MTA-STS”، ما يُعدم قدرتها على منع اعتراض وتزوير الرسائل الإلكترونية.
وكشفت المعطيات الواردة ضمن تقرير تبني بروتوكولي “DMARC” و”MTA-STS” في المغرب لعام 2025، المبني على دراسة حلّلت 307 نطاقات في قطاعات رئيسية عدة بالمغرب، ضمنها البنوك والحكومة والرعاية الصحية والتعليم، أن 36.48 في المئة من النطاقات فقط لديها سجلات “DMARC”، أي بروتوكول مصادقة وتقرير رسائل المجال، الهادف إلى مراقبة حماية النطاق من رسائل البريد الإلكتروني الاحتيالية، مضبوطة بشكل صحيح، بينما 62.21 في المئة لا تطبقه إطلاقا.
بخصوص سياسات البروتوكول الأكثر اعتمادا بين النطاقات المطبقة له، بيّنت الدراسة ذاتها، طالعتها هسبريس، أن 22.80 في المئة من الأخيرة تستخدم سياسة لا شيء “none” التي توفر حماية ضعيفة، بينما 6.19 في المئة تستخدم سياسة الحجر الصحي “quarantine” التي توفر حماية متوسطة، مقابل توفر 7.49 في المئة فقط على سياسة الرفض “reject” التي توفر أقصى حماية ضد هجمات البريد الإلكتروني.
في هذا الصدد، سجل قطاع التأمين أعلى معدل لتبني بروتوكول “DMARC” بنسبة 66.67 في المئة، بينما جاء قطاع الأدوية في المرتبة الأخيرة، بنسبة تبني بلغت 12.5 في المئة فقط، وفق المصدر ذاته، مبرزا أن قطاع التأمين تميّز بتطبيق أشد سياسات “DMARC” صرامة، أي وضع الرفض، بنسبة 11.11 في المئة.
أما بشأن تطبيق بروتوكول “SPF” (إطار سياسة المرسل)، المصّمم لمنع انتحال البريد الإلكتروني، فبيّنت نتائج الدراسة نفسها أن 71.34 في المئة من نطاقات القطاعات الرئيسية بالمغرب لديها سجلات “SPF” مضبوطة بشكل صحيح، مقابل 26.06 في المئة من النطاقات تخلو تماما من أي سجل لهذا البروتوكول.
وأشار المصدر ذاته إلى أن قطاع التأمين سجل أعلى معدل تبني بروتوكول “SPF” بنسبة 88.89%، “مما يعكس التزاماً قوياً بممارسات أمان البريد الإلكتروني في هذا القطاع”، مقابل تسجيل قطاع العقارات المعدل الأدنى بنسبة 54.55%، بعد قطاع السيارات بنسبة 55.56%، “مما يشير إلى وجود فجوة أمنية واضحة في هذين القطاعين، تحتاج إلى معالجة عاجلة من خلال تعزيز الوعي الأمني وتحسين السياسات والإجراءات المتعلقة بأمان البريد الإلكتروني”.
تحدّث التقرير، على صعيد آخر، عن وضع “مقلق” فيما يتعلق ببروتوكول أمان نقل البريد بين الخوادم “MTA-STS”؛ إذ إن جميع القطاعات في المغرب لا تعتمد هذا البروتوكول، رغم أنه “يشكل معيارا أمنيا حاسما، يضمن نقل البريد الإلكتروني بشكل آمن عبر اتصالات SMTP مشفرة”.
وفي هذا الصدد، حذّرت الشركة الأمريكية من أن غياب هذا البروتوكول يؤدي إلى “عدم القدرة على منع اعتراض وتزوير رسائل البريد الإلكتروني”، و”مشاكل أمنية خطيرة في بروتوكول SMTP (نقل البريد البسيط)”، فضلا عن تصاعد احتمالية “تعرض النطاقات لخطر هجمات التخفيض الأمني”.
كما شملت الدراسة التي أجريت على 307 نطاقات، تقييم اعتمادها لبروتوكول “DNSSEC”، الذي هو عبارة عن عدد من الإضافات المحسِّنة لأمان نظام أسماء النطاقات، وخلصت إلى أن تطبيقه محدود جدا بالمغرب؛ إذ إن 98.70 في المئة من النطاقات غير مفعلة له.
وفي هذا الإطار، لم تتجاوز أعلى نسبة اعتماد لهذا البروتوكول، وسجلت في قطاع العقارات، 9.09 في المئة، متبوعا بقطاع الرعاية الصحية الذي سجلت به نسبة تبني بلغت 7.41 في المئة.
كما كشفت البيانات الواردة ضمن التقرير نفسه أن 55 في المئة من نطاقات قطاع البنوك لا يوجد بها سجل بروتوكول مصادقة وتقرير رسائل المجال، بينما 5 في المئة من النطاقات تعتمد على هذا البروتوكول، معيّنة على سياسة الحجر الصحي (أي حماية متوسطة)، بينما 40 في المئة من المعتمدة عليه معيّنة على سياسة “لا شيء”، التي توفرّ حماية ضعيفة من الهجمات السيبرانية.
أما بشأن تبني بروتوكول “SPF” المصمم لمنع انتحال البريد الإلكتروني، فتبّين أن 80 في المئة من نطاقات القطاع البنكي لديها سجلات هذا البروتوكول مضبوطة بشكل صحيح، فيما اتضح أن بروتوكول “DNSSEC” معطّل بهذا القطاع.
يشار إلى أن بروتوكول “MTA-STS”، أي الخاص بأمان نقل البريد بين الخوادم، غير معتمد في جميع القطاعات بالمغرب.
وأكدت الشركة الأمريكية معدة التقرير أن “هذه الثغرات الأمنية تشكل تهديداً جسيماً لسلامة الاتصالات الرقمية في المغرب”، مضيفة أنها “تستدعي اتخاذ إجراءات عاجلة لتعزيز البنية التحتية لأمن المعلومات”.
