Общая проблема электронной почты состоит в том, что исходящий адрес очень легко подделать так, чтобы неопытный пользователь не мог понять, что письмо в действительности исходит не из того домена, который предполагает пользователь.
Существуют технологии, такие как DKIM и SPF, которые позволяют владельцам доменов подтвержать достоверность почты, рассылаемой от их имени, но они не могут распорядиться, что делать с сообщениями, которые не проходят контроль. DMARC опирается на эти системы и позволяет владельцам доменов затребовать от принимающих почтовых серверов игнорировать такие сообщения. В итоге снижается вероятность того, что мошеннические сообщения, выдающие себя за рассылку, таких сайтов, как PayPal, окажутся в почтовом ящике пользователя.
В погоне за прибылью мошенники вскрывают пользовательские аккаунты в социальных сетях или на сайтах электронной коммерции и похищают пароли, банковские счета или информацию по кредитным картам. Для достижения своих целей злоумышленники часто пытаются играть на доверии пользователей к известным брендам, рассылая электронные сообщения, отправителем которых якобы являются популярные сайты.
Спецификация DMARC (Domain-based Message Authentication, Reporting & Conformance) позволяет организациям, рассылающим сообщения по электронной почте, определять, используют ли они одну или несколько технологий защиты для аутентификации отправителя электронных сообщений. В ней определен также механизм создания отчетов, дающий возможность отправителям получать информацию о том, как обрабатываются их сообщения. Располагая такими данными, владельцы доменных имен могут настроить процесс рассылки сообщений, после чего предоставить получателям право отвергать сообщения, исходящие как бы из их домена и не прошедшие проверку.
Одна из технологий аутентификации, DKIM (DomainKeys Identified Mail), предполагает верификацию имени домена, из которого было отослано сообщение, путем анализа криптографической подписи сообщения. Получатели могут в большей степени доверять сообщениям из домена, пользующегося хорошей репутацией.
Другая технология, SPF (Sender Policy Framework), поволяет владельцам доменов определять, каким хостам разрешено рассылать электронную почту для их доменов. Если злоумышленник подделывает адрес отправителя, выявить фальшивое сообщение с помощью этой технологии можно путем проверки записи SPF.
DKIM и SPF используются многими компаниями уже несколько лет. Но они имеют некоторые недостатки. Так, получатели электронной почты не всегда могли провести аутентификацию сообщений, при рассылке которых использовались сервисы независимых провайдеров, как указано в заявлении на сайте DMARC.org. Большинство таких проблем решены в DMARC.
Кроме того, если из какого-то домена рассылаются сообщения, часть из которых поддаются аутентификации, а другие нет, то получателю трудно разделить их на легитимные и мошеннические.
Группа, работающая над спецификацией DMARC, планирует передать проект спецификации в организацию Internet Engineering Task Force для ее возможного последующего оформления в виде стандарта.
Как рассчитывают в компании Google, недавние шаги представителей отрасли, направленные на популяризацию DMARC, будут способствовать активизации усилий по борьбе со спамом. В числе других участников этого движения Bank of America, Fidelity, Microsoft, Yahoo, PayPal, LinkedIn, AOL, American Greetings, Cloudmark и Agari.
«Отраслевые группы приходят и уходят, и поначалу трудно определить, какая способна предложить на самом деле хорошие решения, — отметил Адам Доуз, менеджер Google по продуктам. — Нечто существенное предлагается в том случае, если действительно заинтересованные участники собираются для решения практических проблем».
В ближайшие месяцы должно решиться, как быстро технология получит признание. Об этом сказал Пол Вуд, старший аналитик Symantec.cloud, подразделения Symantec, занимающегося проблемами безопасности Web и электронной почты. Компаниям придется пойти на некоторые накладные расходы по обработке извещений о получении для выявления злоумышленников, маскирующих свои рассылки под их домены.
Сейчас, по словам Вуда, технология еще слишком нова, чтобы для нее уже были выработаны рекомендации по использованию. Но если она будет широко принята, это может означать решение проблемы фальсификации адресов отправителя.