Quindici servizi di posta elettronica leader e fornitori di tecnologia hanno annunciato DMARC.org, un gruppo di lavoro tecnico che ha portato lo sviluppo di standard per ridurre la minaccia di email ingannevoli, come spam e phishing. DMARC.org, si basa su una storia di collaborazione dell'industria privata con 18 mesi di lavoro dedicato, per delineare una visione migliore dell'autenticazione delle e-mail in grado di scalare fino alle esigenze dell'Internet di oggi.
I lavori del gruppo comprendono una bozza di specifica che aiuta a creare un circuito di feedback tra i mittenti legittimi e ricevitori per rendere la rappresentazione più difficile per i phisher che cercano di inviare e-mail fraudolente. "E-mail di phishing defraudano milioni di persone e aziende ogni anno, con conseguente perdita di fiducia dei consumatori nella posta elettronica e Internet nel suo complesso", ha dichiarato Brett McDowell, presidente del DMARC.org e Senior Manager di iniziative di sicurezza del cliente per PayPal. "La cooperazione dell'Industria - combinata con la tecnologia e l'educazione dei consumatori - è fondamentale per combattere il phishing".
La specifica DMARC si indirizza alle preoccupazioni che hanno tradizionalmente impedito un'ampia diffusione di una autenticato ecosistema di e-mail attendibili. Oggi, i destinatari di e-mail mancano di un metodo affidabile per conoscere la misura in cui un mittente di posta elettronica utilizza standard come SPF e DKIM per autenticare i loro messaggi. Di conseguenza, i fornitori devono fare affidamento su misure complesse ed imperfette per separare i messaggi legittimi autenticati inviati dal proprietario del dominio da messaggi di phishing fraudolenti inviati da un truffatore.
Con l'introduzione di un framework basato su standard, DMARC (Domain-based Message Authentication, reporting e conformità) ha definito un modo più completo e integrato per i mittenti di posta elettronica per introdurre tecnologie di autenticazione e-mail nelle proprie infrastrutture. Ad esempio, un mittente può impostare le politiche di richiedere facilmente un fornitore di scartare e-mail non autenticate in modo da bloccare gli attacchi di phishing. La specifica crea anche un meccanismo per i fornitori di posta elettronica per inviare rapporti dettagliati ai mittenti di posta elettronica per individuare eventuali lacune nel sistema di autenticazione.
Questo ciclo di feedback alza il livello di fiducia all'interno dell'ecosistema e-mail e rende più facile la rilevazione e il blocco dei tentativi di phishing. "BITS è stato impegnato a definire e migliorare gli standard e le pratiche di autenticazione e-mail per soddisfare le esigenze del settore dei servizi finanziari. L'approccio evolutivo DMARC è fondamentale nel garantire che queste esigenze vengano soddisfatte per gli anni a venire", ha affermato Paul Smocer, Presidente del BITS, la politica tecnologica The Financial Services Roundtable.
Dopo aver raccolto i dati di input e dall'uso campo della tecnologia, DMARC.org intende presentare le sue specifiche DMARC per la standardizzazione dell'IETF (Internet Engineering Task Force). Le organizzazioni interessate sono invitati a leggere le specifiche, di unirsi al dmarc-discuss mailing list www.dmarc.org, e iniziare i test e la distribuzione di e-mail di autenticazione standard di SPF, DKIM e DMARC. I membri DMARC.org, tra i quali vi è pure Facebook, parteciperanno alle discussioni sulle specifiche conferenze MAAWG e RSA nel mese di febbraio. Vedete www.dmarc.org per i dettagli.
"E-mail di phishing, in cui qualcuno cerca di ingannare l'utente a rivelare informazioni personali con l'invio di falsi messaggi di posta elettronica che sembrano legittimi, rimane una delle maggiori minacce online. Uno dei metodi più diffusi che i truffatori utilizzano è lo spoofing del dominio. Ecco perché siamo particolarmente ottimisti riguardo l'annuncio di oggi di DMARC.org", ha dichiarato il team di Gmail.
DMARC.org è un gruppo di personalità giuridiche di lavoro composto da molti dei provider di posta elettronica leader a livello mondiale (AOL, Gmail, Hotmail, Yahoo! Mail), istituzioni finanziarie e fornitori di servizi (Bank of America, Fidelity Investments, PayPal), proprietà sociale dei media (American Greetings, Facebook, LinkedIn) ed e-mail provider di soluzioni per la sicurezza (Agari, Cloudmark, eCert, Return Path, Progetto dominio trusted). Il gruppo è dedicato allo sviluppo di standard di Internet per ridurre la minaccia del phishing e-mail e migliorare il coordinamento tra i provider di posta elettronica e posta i proprietari del dominio del mittente. Il progetto di specifica ed ulteriori informazioni sono disponibili all'indirizzo www.dmarc.org. Foto: Flickr
Nessun commento:
Posta un commento