Google, Facebook и ещё 13 компаний и организаций совместно разработали и опубликовали черновик спецификаций для нового стандарта аутентификации электронной почты DMARC (Domain-based Message Authentication, Reporting and Conformance). Как и прежние стандарты, он призван бороться с подделкой адресов электронной почты (domain spoofing), но реализует для этого новаторские методы.
Новая технология построена на базе прошлых стандартов аутентификации, таких как SPF (Sender Policy Framework) и DKIM (DomainKeys Identified Mail), но при этом DMARC представляет собой универсальный фреймворк с расширенным функционалом, внутри которого могут использоваться и SPF, и DKIM, и другие технологии.
DMARC предусматривает механизмы для обмена информацией между отправителем и получателем о качестве фильтрации спама и фишинговых атаках. Например, если вы представляете домен-отправитель почты и публикуете DMARC-запись с запросом информации, то вы будете получать от всех доменов-получателей, которые тоже поддерживают DMARC, статистику обо всех почтовых письмах, которые приходят с обратным адресом от вашего домена. Статистика приходит в XML и будет содержит IP-адрес каждого отправителя, который подписывается вашим доменом, количество сообщений с каждого IP-адреса, результат обработки этих сообщений в соответствии с правилами DMARC, результаты SPF и результаты DKIM.
Технология DMARC уже де-факто поддерживается и используется почтовым сервисом Gmail, а также другими крупными почтовыми провайдерами и генераторами массовых рассылок, такими как Facebook, LinkedIn и PayPal. Последняя статистика с Gmail показывает, что сейчас примерно 15% всей легитимной почты (не спама) идёт с доменов, подписанных DMARC.
Например, в настройках сервиса Gmail можно установить, чтобы почтовые сообщения от «сертифицированного домена» (который поддерживает DMARC) помечались особым значком (золотым ключиком). Настройка называется «Authentication icon for verified senders».
В ближайшее время черновик спецификаций DMARC будет направлен на рассмотрение в IETF для принятия в качестве официального стандарта.
Источник информации: Хакер