Il meccanismo DMARC controlla il dominio del vero mittente di un'e-mail e può quindi smascherare le e-mail false. Gli esperti di Kaspersky hanno risolto gli svantaggi del DMARC (Domain-based Message Authentication Reporting and Conformance) attraverso una tecnologia di nuovo sviluppo.
Nel corso della storia della posta elettronica, le persone hanno escogitato molte tecnologie per proteggere i destinatari da e-mail fraudolente (principalmente phishing). DomainKeys Identified Mail (DKIM) e Sender Policy Framework (SPF) presentavano svantaggi significativi, quindi il meccanismo di autenticazione della posta DMARC (Domain-based Message Authentication Reporting and Conformance) è stato sviluppato per identificare i messaggi con un dominio del mittente contraffatto. Tuttavia, DMARC non si è rivelato una panacea. Pertanto, i ricercatori di Kaspersky hanno sviluppato una tecnologia aggiuntiva per eliminare gli svantaggi di DMARC.
Come funziona DMARC
Un'azienda che desidera impedire ad altri di inviare e-mail per conto dei propri dipendenti può configurare DMARC nel proprio record di risorse DNS. Ciò consente essenzialmente ai destinatari del messaggio di garantire che il nome di dominio nell'intestazione "Da:" sia lo stesso di DKIM e SPF. Inoltre, il record di risorsa specifica l'indirizzo a cui i server di posta inviano i report dei messaggi ricevuti che non superano la verifica (ad esempio, quando si è verificato un errore o è stato rilevato un tentativo di impersonare in modo fraudolento il mittente).
Nello stesso record di risorse è anche possibile configurare la politica DMARC per determinare cosa succede al messaggio se fallisce la verifica. Tre tipi di politiche DMARC coprono tali casi:
- Il rifiuto è la politica più severa. Se selezioni questa opzione, tutte le email che non superano il controllo DMARC verranno bloccate.
- Con il criterio di quarantena, a seconda del provider di posta, il messaggio finisce nella cartella spam o viene recapitato ma contrassegnato come sospetto.
- Con Nessuno, il messaggio raggiunge la posta in arrivo del destinatario, anche se viene comunque inviato un rapporto al mittente.
Svantaggi di DMARC
Svantaggi di DMARC
Nel complesso, DMARC è abbastanza capace. La tecnologia rende il phishing molto più difficile. Ma quando si risolve un problema, questo meccanismo ne provoca un altro: i falsi positivi. I messaggi innocenti possono essere bloccati o contrassegnati come spam in due tipi di casi.
- Messaggi inoltrati: alcuni sistemi di posta interrompono le firme SPF e DKIM nei messaggi inoltrati, indipendentemente dal fatto che i messaggi vengano inoltrati da caselle di posta diverse o che vengano reindirizzati attraverso nodi di posta intermedi (relay).
- Impostazioni errate: non è raro che gli amministratori del server di posta commettano errori durante la configurazione di DKIM e SPF.
Quando si tratta di e-mail aziendali, è difficile dire quale sia lo scenario peggiore: lasciar passare un'e-mail di phishing o bloccare un messaggio legittimo.
L'approccio di Kaspersky per risolvere i difetti di DMARC
Questa tecnologia è indubbiamente utile, quindi Kaspersky ha deciso di rafforzarla aggiungendo l'apprendimento automatico al processo di convalida, riducendo così al minimo i falsi positivi senza intaccare i vantaggi di DMARC. Ed è così che funziona:
Quando gli utenti compongono le e-mail, utilizzano un Mail User Agent (MUA), un programma di posta elettronica come Microsoft Outlook. Il programma è responsabile della generazione del messaggio e dell'invio al Mail Transfer Agent (MTA) per l'ulteriore instradamento. Il programma di posta elettronica aggiunge le necessarie intestazioni tecniche al corpo del messaggio, all'oggetto e all'indirizzo del destinatario (che vengono compilati dall'utente).
Gli aggressori utilizzano spesso i propri programmi di posta elettronica per aggirare i sistemi di sicurezza. Di norma, si tratta di motori di posta fatti in casa che generano e compilano messaggi secondo un determinato modello. Ad esempio, generano intestazioni tecniche per i messaggi e il loro contenuto. Ogni programma di posta elettronica ha la sua "calligrafia".
Distinguere un'e-mail legittima da un'e-mail di phishing
Se il messaggio ricevuto non supera il controllo DMARC, entra in gioco la nostra tecnologia. Funziona su un servizio cloud che si connette alla soluzione di sicurezza sul dispositivo. Inizia analizzando ulteriormente la sequenza delle intestazioni e il contenuto delle intestazioni di X-Mailer e Message-ID utilizzando una rete neurale, consentendo alla soluzione di distinguere un'e-mail legittima da un'e-mail di phishing. La tecnologia è stata addestrata su un'enorme raccolta di messaggi di posta elettronica (circa 140 milioni di messaggi, il 40% dei quali erano spam).
La combinazione della tecnologia DMARC e dell'apprendimento automatico aiuta a garantire la protezione degli utenti dagli attacchi di phishing riducendo al contempo il numero di falsi positivi. Abbiamo già implementato la tecnologia in ciascuno dei nostri prodotti che dispongono di un componente antispam: Kaspersky Security for Microsoft Exchange Server, Kaspersky Security for Linux Mail Server, Kaspersky Security for Mail Gateway (in parte in Kaspersky Total Security for Business) e Kaspersky Security for Microsoft Ufficio 365.
Maggiori informazioni sul blog su Kaspersky.com
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/