DMARC: un'alleanza contro il phishing per e-mail sicure

Aziende del calibro di Google, Facebook, Microsoft, Yahoo, PayPal, LinkedIn e AOL sono al lavoro per sviluppare un meccanismo che possa ambire a diventare uno standard utilizzabile per l’individuazione immediata ed il blocco delle e-mail truffaldine veicolate attraverso la rete Internet. Il progetto è stato battezzato DMARC (“Domain-based Message Authentication, Reporting & Conformance“) e sarà presentato nella giornata odierna. Nato per volontà di 15 grandi aziende, tra le quali spiccano anche i nomi di istituti bancari e finanziari, DMARC metterà a disposizione un sistema per verificare automaticamente se i messaggi di posta siano dei tentativi di phishing.

DMARC si prefigge, come obiettivo, quello di proteggere gli utenti dal fenomeno del phishing aiutando sia i provider che inviano e-mail legittime, sia quelli che le ricevono. Non è infatti semplice, per tutti gli attori coinvolti nelle comunicazioni, separare le e-mail truffaldine da quelle assolutamente benigne.
Adottando le specifiche DMARC, il provider usato dal mittente del messaggio indicherà che tutte le sue e-mail sono protette ricorrendo a meccanismi SPF (Sender Policy Framework; un metodo per limitare gli abusi sul nome del mittente nei messaggi di posta elettronica) e DKIM (DomainKeys Identified Mail; meccanismo usato per associare un nome a dominio ad un messaggio di posta usando una firma digitale che può essere validata dai destinatari). Inoltre, usando DMARC, s’indicherà al provider di destinazione il comportamento da tenere qualora tutti i controlli sulla “bontà” dell’e-mail dovessero dare esito negativo.

Adam Dawes, uno dei manager di Google, ha sottolineato l’importanza dell’iniziativa evidenziando come il 15% di tutte le e-mail che ogni giorno arrivano sugli account di posta Gmail provengano da organizzazioni che hanno deciso di aderire a DMARC. “Tali società hanno pubblicato i loro record DMARC, che non possono essere alterati da parte degli aggressori“. Sul sito ufficiale del progetto DMARC, si legge: “DMARC elimina gli sforzi che il destinatario dovrebbe compiere sui singoli messaggi ricevuti (separando quelli legittimi da quelli malevoli, n.d.r.) evitando così che l’utente possa esporsi a rischi“.

I promotori del progetto DMARC prevedono di inviare a breve all’IETF (Internet Engineering Task Force) le specifiche del sistema con l’intento di richiederne approvazione e standardizzazione. Inoltre, dal momento che le policy DMARC sono pubblicate usando i record DNS, queste sono aperte e possono essere utilizzate da chiunque.