Si chiama DMARC la nuova iniziativa messa in piedi da molti grossi nomi del Web che si propone di proteggere gli utenti dal fenomeno del phishing aiutando sia i provider che inviano e-mail legittime, sia quelli che le ricevono.
Aziende del calibro di Google, Facebook, Microsoft, Yahoo, PayPal, LinkedIn e AOL sono al lavoro per sviluppare un meccanismo che possa ambire a diventare uno standard utilizzabile per l’individuazione immediata e il blocco delle e-mail truffaldine veicolate attraverso la rete Internet.
Il progetto è stato battezzato DMARC (Domain-based Message Authentication, Reporting & Conformance) ed è stato presentato ieri.
Nato per volontà di 15 grandi aziende, tra le quali spiccano anche i nomi di istituti bancari e finanziari, DMARC metterà a disposizione un sistema per verificare automaticamente se i messaggi di posta siano dei tentativi di phishing.
DMARC si prefigge, come obiettivo, quello di proteggere gli utenti dal fenomeno del phishing aiutando sia i provider che inviano e-mail legittime, sia quelli che le ricevono. Non è, infatti, semplice, per tutti gli attori coinvolti nelle comunicazioni, separare le e-mail truffaldine da quelle assolutamente benigne.
Adottando le specifiche DMARC, il provider usato dal mittente del messaggio indicherà che tutte le sue e-mail sono protette ricorrendo a meccanismi SPF (Sender Policy Framework, un metodo per limitare gli abusi sul nome del mittente nei messaggi di posta elettronica) e DKIM (DomainKeys Identified Mail, meccanismo usato per associare un nome a dominio ad un messaggio di posta usando una firma digitale che può essere validata dai destinatari).
Inoltre, usando DMARC, si indicherà al provider di destinazione il comportamento da tenere qualora tutti i controlli sulla “bontà” dell’e-mail dovessero dare esito negativo.
Adam Dawes, uno dei manager di Google, ha sottolineato l’importanza dell’iniziativa, evidenziando come il 15% di tutte le e-mail che ogni giorno arrivano sugli account di posta Gmail provengano da organizzazioni che hanno deciso di aderire a DMARC, “tali società hanno pubblicato i loro record DMARC, che non possono essere alterati da parte degli aggressori”.
Sul sito ufficiale del progetto si legge: “DMARC elimina gli sforzi che il destinatario dovrebbe compiere sui singoli messaggi ricevuti (separando quelli legittimi da quelli malevoli – n.d.r.) evitando, così, che l’utente possa esporsi a rischi”.
I promotori del progetto DMARC prevedono di inviare a breve all’IETF (Internet Engineering Task Force) le specifiche del sistema con l’intento di richiederne approvazione e standardizzazione.
Inoltre, dal momento che le policy DMARC sono pubblicate usando i record DNS, queste sono aperte e possono essere utilizzate da chiunque.