Lo standard per bloccare il phishing si chiama DMARC

I grandi del web hanno intenzione di rendere l’email un sistema più sicuro per comunicare online. Vi dice niente DMARC? Questo acronimo indica il “Domain-based Message Authentication, Reporting & Conformance", ossia uno standard tecnologico ideato per debellare il phishing dalle nostre caselle email. La stessa sigla indica anche il consorzio, o meglio il gruppo, di 15 società  che stanno collaborando per la sua messa a punto; tra queste ci sono grossi nomi come Facebook , Google, Microsoft, Yahoo!, AOL, Paypal e Linkedin. Nel gruppo sono presenti anche provider specializzati nella sicurezza delle email, come Agari, Cloudmark, eCert, Return Path, e Trusted Domain Project. (La lista completa di questi partner la potete vedere nel’immagine qui sotto).

Per spiegarlo in modo molto semplice, possiamo dire che il DMARC è un sistema che verifica la provenienza di un’email e stabilisce se arriva da una fonte attendibile o meno. Il suo scopo ultimo è quindi di ridurre al minimo tutti i rischi e i problemi derivanti dal phishing. Siamo di fronte cioè a una procedura comune di autenticazione dei messaggi – basata sui meccanismi SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail) - che permette alle aziende di comunicare in tutta sicurezza con i propri utenti/clienti.

Le policy di DMARC permettono al mittente di indicare che le email che sta inviando sono protette dalle tecnologie SPF e DKIM e ordinano al destinatario di comportarsi in un determinato modo, qualora il messaggio non riuscisse a superare nessuno di questi due metodi di autenticazione. Il server che riceve l’email cioè non ha l’onere di decidere indipendentemente come comportarsi con il messaggio ricevuto - che è sempre potenzialmente fraudolento, in quanto già il messaggio stesso veicola al suo interno il comportamento da intraprendere in caso di mancata autenticazione, come ad esempio il rifiuto o addirittura la sua cancellazione.  Ma non solo. Il DMARC comprende anche un sistema di reportistica che permette al ricevente di mandare un messaggio di resoconto al mittente in cui segnalare le email che non hanno superato il test di controllo.

Anche se se ne parla già da un po’, questa tecnologia è stata annunciata pubblicamente solo ieri - 30 gennaio 2012. Ci sono voluti circa 18 mesi per mettere a punto il DMARC. Le prime specifiche sono state rese pubbliche sul finire dello scorso anno. Al momento comunque ancora non c’è un riconoscimento ufficiale ma il gruppo di lavoro ha intenzione di sottoporre il progetto all’Internet Engineering Task Force al fine di ottenerne la standardizzazione. Se volete approfondire l’argomento, sul sito ufficiale trovate ulteriori informazioni a riguardo.

In questa prima fase le policy di DMARC sono state pubblicate nel DNS (Domain Name System) e rese disponibili a tutti. Difficile dire ora se questa tecnologia avrà successo e quanto tempo ci metterà a diffondersi nel web. Sulla riuscita dell’operazione però si può nutrire qualche speranza, dal momento che tra i soci fondatori ci sono aziende importantissime per lo sviluppo di Internet e soprattutto i principali provider di servizi di email.