DMARC, l'arma definitiva contro il phishing

C’è un nome che è in grado di mettere Google e Facebook dalla stessa parte: trattasi di DMARC, acronimo di Domain-based Message Authentication, Reporting & Conformance. Dietro tale descrizione si cela una nuova iniziativa con cui alcuni gandi gruppi della rete uniscono le forze per fare della lotta al phishing uno sforzo serio, coordinato e più efficiente.

DMARC indica una serie di specifiche tecniche attorno alle quali hanno trovato accordo gruppi ed iniziative quali AOL, Gmail, Hotmail, Yahoo! Mail, Bank of America, Fidelity Investments, PayPal, American Greetings, Facebook, LinkedIn, Agari, Cloudmark, eCert, Return Path e Trusted Domain Project. La collaborazione tra le parti ha portato ad un sistema con il quale risulta più facile ed efficiente l’autenticazione delle email, consentendo così di filtrare la posta in base al mittente per ridurre al minimo l’impatto del phishing e delle truffe.

Grazie a DMARC gran parte della posta fraudolenta inerente uno dei domini interessati viene fermata a priori sulla base di una serie di verifiche incrociate, fermando così ad esempio su Gmail eventuali false notifiche Facebook o false richieste di dati PayPal: il vantaggio relativo, con ogni evidenza, è per tutti i nomi chiamati in causa. Il sistema fa inoltre uso di tecnologie quali Sender Policy Framework (SPF, per il controllo degli indirizzi IP) e DomainKeys Identified Mail (DKIM, per la verifica della struttura della mail).

Ma l’iniziativa non è quella di un circolo chiuso, né nasce fine a sé stessa: DMARC intende anzi rappresentare soltanto la base di un framework più ampio ed evoluto ed a tal fine le specifiche saranno presto proposte alla IETF per la ratifica di un nuovo standard a cui chiunque potrà fare in seguito appello.

Brett McDowell, responsabile PayPal occupatosi del progetto, è chiaro nel proprio giudizio: se tanto il mittente quanto lo strumento di invio fanno parte dell’ecosistema DMARC, la mail inviata non può che essere sicura. I principi base del sistema sono concernenti la minimizzazione dei falsi positivi e della complessità di funzionamento. All’aumentare dei gruppi partecipanti, quindi, aumenterà l’affidabilità del sistema ed il numero dei controlli incrociati. Solo un inizio, insomma, per un futuro nel quale il phishing possa scomparire dalle minacce che da sempre gravano sulla sicurezza del canale email.