DMARC: come correggere il tiro

Il meccanismo DMARC ha i suoi inconvenienti, ma abbiamo sviluppato una tecnologia per superarli.

Nel corso della storia della posta elettronica, sono state inventate molte tecnologie per proteggere i destinatari dalle e-mail fraudolente (soprattutto dal phishing). Il DomainKeys Identified Mail (DKIM) e il Sender Policy Framework (SPF) presentavano notevoli inconvenienti, per cui è stato progettato il meccanismo di autenticazione della posta basato sul dominio “Message Authentication Reporting and Conformance” (DMARC) per identificare i messaggi con un finto dominio del mittente. Tuttavia, DMARC non si è rivelata essere la soluzione ideale; pertanto, i nostri ricercatori hanno sviluppato una tecnologia aggiuntiva per eliminare gli svantaggi di questo approccio.

Come funziona DMARC

Un’azienda che vuole impedire che altre persone possano inviare e-mail utilizzando i nomi dei suoi dipendenti, può configurare DMARC nel suo record di risorse DNS. In sostanza, ciò consente ai destinatari del messaggio di assicurarsi che il nome di dominio nell’header “da:” sia lo stesso su DKIM e SPF. Inoltre, il record indica l’indirizzo a cui i server di posta inviano i report relativi ai messaggi ricevuti che non hanno superato la verifica (ad esempio, se si è verificato un errore o è stato rilevato un tentativo di farsi passare per un mittente).

Nello stesso record di risorse, si può anche configurare la politica DMARC per specificare cosa succede al messaggio se non supera la verifica. Esistono tre tipi di politiche DMARC che coprono i seguenti casi:

  • La politica più rigorosa è quella di rifiutare i messaggi. Da selezionare per bloccare tutte le e-mail che non superano il controllo DMARC;
  • Con la politica di Quarantena, a seconda delle impostazioni esatte del servizio di posta, il messaggio finirà nella cartella spam o sarà consegnato ma contrassegnato come sospetto;
  • Nessuna è la modalità che consente al messaggio di raggiungere normalmente la casella di posta del destinatario, anche se viene comunque inviato un report al mittente.

Gli svantaggi di DMARC

In generale, DMARC funziona, riuscendo a ostacolare il phishing. Tuttavia,  nel risolvere un problema, ne provoca un altro: i falsi positivi. I messaggi legittimi possono essere bloccati o contrassegnati come spam in due casi:

  • Messaggi inoltrati. Alcuni sistemi di posta rompono le firme SPF e DKIM nei messaggi inoltrati, sia che i messaggi vengano inoltrati da diverse caselle di post, sia che vengano reindirizzati tra nodi postali intermedi (relay);
  • Impostazioni errate. Non è raro che gli amministratori dei servar di posta commettano errori nella configurazione di DKIM e SPF.

Quando si tratta di e-mail commerciali, è difficile dire quale scenario sia peggiore: far passare un’e-mail di phishing o bloccare un messaggio legittimo.

Il nostro approccio per correggere i difetti di DMARC

Troviamo la tecnologia indiscutibilmente utile, così abbiamo deciso di rafforzarla aggiungendo l’apprendimento automatico al processo di convalida, per ridurre al minimo i falsi positivi senza compromettere i benefici di DMARC. Ecco come funziona.

Quando gli utenti scrivono le e-mail, usano un Mail User Agent (MUA) come Microsoft Outlook. Il MUA è responsabile della generazione del messaggio e del suo invio al Mail Transfer Agent (MTA) per l’ulteriore “instradamento”. Il MUA aggiunge gli header tecnici necessari al corpo del messaggio, all’oggetto e all’indirizzo del destinatario (che vengono compilati dall’utente).

Per aggirare i sistemi di sicurezza, i cybercriminali utilizzano spesso i propri MUA. Di regola sono motori di posta elettronica fatti in casa che generano e compilano i messaggi secondo un determinato modello. Ad esempio, generano header tecnici per i messaggi e il loro contenuto. Ogni MUA ha la sua “calligrafia”.

Se il messaggio ricevuto non supera il controllo DMARC, entra in gioco la nostra tecnologia. Si tratta di un servizio su cloud che si connette con la soluzione di sicurezza del dispositivo. Viene avviata un’ulteriore analisi della sequenza degli header e dei contenuti degli header X-Mailer e Message-ID mediante una rete neurale, permettendo così alla soluzione di distinguere un’e-mail legittima da una di phishing. La tecnologia è stata testata su un numero davvero importante di messaggi di posta elettronica (circa 140 milioni di messaggi, di cui il 40% di spam).

L’unione della tecnologia DMARC con l’apprendimento automatico aiuta a garantire la protezione dell’utente dagli attacchi di phishing, riducendo al minimo il numero di falsi positivi. Abbiamo già implementato la tecnologia in tutti i nostri prodotti su cui è presente un componente antispam, ovvero: Kaspersky Security for Microsoft Exchange Server, Kaspersky Security for Linux Mail Server e Kaspersky Security for Mail Gateway (che fanno parte di Kaspersky Total Security for Business e Kaspersky Security for Microsoft Office 365).

Consigli