Крупнейшие сервисы электронной почты, поддерживаемые компаниями
Google, Microsoft и Yahoo, при участии PayPal, Facebook и LinkedIn, объявили о создании чернового варианта новой системы аутентификации почтовых сообщений DMARC
(Domain-based Message Authentication, Reporting & Conformance),
которая должна существенно повысить эффективность борьбы со спуфингом и
спамом. Новая система основана на существующих технологиях, но расширяет
их новыми идеями.
Уже на протяжении нескольких лет многие почтовые сервисы используют технологии аутентификации почтовых сообщений SPF (Sender Policy Framework) и DKIM
(DomainKeys Identified Mail), позволяющие SMTP-серверу определить факт
подделки домена отправителя с помощью специальных DNS-записей на стороне
отправляющего домена и цифровых подписей. При получении письма
принимающий сервер может запросить специальную DNS-запись
домена-отправителя с информацией о доменах, которые могут отправлять
письма от его имени и на основе этих данных принять решение о принятии
или отвержении письма.
Проблема этих технологий только в том, что они не обеспечивают обратной
связи. Для крупных почтовых сервисов, которые включают в себя множество
почтовых серверов, а также сторонних сервисов, полноценное внедрение SPF
и DKIM может оказаться очень трудоемкой и даже неразрешимой задачей,
так как все действия по изменению правил придется проводить вслепую и
постоянно контактировать с сотрудниками других почтовых сервисов чтобы
получать информацию о качестве работы системы.
Система DMARC решает эту проблему, позволяя наладить связь между
сервисами приема и отправки почты. Почтовый сервис может использовать
специальные флаги в DNS-записях SPF чтобы информировать принимающую
сторону о том, как должны обрабатываться письма. Например, на время
тестирования, почтовый сервис может «потребовать» от SMTP-серверов
пропускать всю почту со своего домена, но извещать его обо всей
подозрительной корреспонденции, результатах работы правил фильтрации и
посылать другую информацию. Например, если в результате взлома аккаунта
пользователя, от его имени через использующий DMARC почтовый сервис
рассылается спам, то получив уведомление о таком спаме, будет видно, что
спам отправлен именно через данный сервис, а не напрямую со сторонней
затрояненной машины, и можно временно блокировать аккаунт конкретного
пользователя. На время сбоев в работе почтовый сервис может
проинформировать SMTP-серверы о помещений всей корреспонденции во
временный карантин с последующей обработкой. Возможны и другие варианты
взаимодействия.
PayPal начала применять эту систему совместно с Yahoo и Google еще в
2007 году, добившись очень существенного сокращения нежелательной
корреспонденции и спама. Сегодня к инициативе подключились и многие
другие онлайн-сервисы, включая Facebook и LinkedIn, а в Gmail даже
появилась функция пометки заведомо безопасных писем с проверенных
DMARC-доменов с помощью графического знака (опция «Authentication icon
for verified senders»).