Protocollo DMARC: cos’è e come implementarlo per proteggere la posta elettronica aziendale

Il DMARC, Domain-based Message Authentication, Reporting and Conformance, è un protocollo creato per migliorare l’integrità del sistema di email. Viene adoperato da corporation ed enti governativi in tutto il mondo, come mezzo per proteggere il proprio business, la propria reputazione e i propri clienti, anche alla luce di quanto previsto dal GDPR.

Tuttavia, questo strumento è ancora poco diffuso. Approfondiamo di seguito la tematica, spiegando di cosa si tratta e quali sono i suoi vantaggi e criticità.

Il contesto di utilizzo del protocollo DMARC

Il GDPR, all’art. 5, indica che un livello appropriato di protezione della sicurezza deve essere requisito fondamentale per il trattamento dei dati personali anche via email, oltre a individuare all’articolo 32 l’adozione di misure tecniche e organizzative adeguate a garantire la riservatezza e l’integrità di sistemi e servizi di elaborazione.

Tanto c’è ancora da fare: sono necessarie ulteriori ricerche per migliorare l’attuale interfaccia utente, oltre che educare ed avvisare in modo proattivo l’utilizzatore.

L’attenuazione effettiva dei rischi per la sicurezza e la privacy nelle comunicazioni e-mail è di fondamentale importanza, per il ruolo che svolgono nell’attuale società digitale.

SMTP: uno standard poco sicuro

Il sistema di posta elettronica che conosciamo oggi è stato formalizzato nel 1982, con la standardizzazione del protocollo SMTP, Simple Mail Transfert Protocol^[1], ideato per essere utilizzato a metà degli anni Novanta, con la diffusione di Internet.

Questo standard, originariamente, era stato progettato seguendo un principio ben preciso: tanto gli utenti fruitori del sevizio, quanto i canali di comunicazione venivano classificati trusted, affidabili.

Nella progettazione iniziale del protocollo principale del servizio di posta elettronica, pertanto, non si ritenne necessario prendere decisioni per proteggere i messaggi o convalidare l’identità di mittenti e destinatari.

SPF, DKIM e protocollo DMARC

Per rilevare e prevenire l’individuazione dei messaggi di posta elettronica da parte di malintenzionati, successivamente, l’Internet Engineering Task Force (IETF)^[2] standardizzava dei protocolli anti spoofing, per essere implementati con un impatto minimo su sistemi e servizi già esistenti, quali SMTP:

1. Sender Policy Framework (SPF: proposto nel 2000, standardizzato nel 2014);
2. Domain Keys Identified Mail (DKIM, redatto nel 2004, standardizzato nel 2011);
3. Domain-based Message Authentication, Reporting and Conformance (DMARC redatto nel 2011, pubblicato nel 2015). Ricordiamo che questo protocollo necessita di essere allineato con SPF e DKIM.

Cosa è SPF e come funziona

Sender Policy Framework^[3], SPF è un meccanismo di autenticazione della posta elettronica che consente di definire gli hosts autorizzati a spedire messaggi da un dominio ben preciso, impedendo agli utenti non autorizzati di fare altrettanto.

Schema di funzionamento del Sender Policy Framework (SPF).

Il servizio di ricezione della posta elettronica (nella figura precedente) verifica che il servizio di posta elettronica del mittente presenti un indirizzo IP valido. Se l’indirizzo IP è valido, il servizio e-mail di ricezione inoltrerà l’e-mail alla casella di posta in arrivo del destinatario.

Qualora il servizio e-mail di ricezione non fosse in grado di confermare l’indirizzo IP come valido, contrassegnerà l’e-mail come spam.

Come vedremo successivamente, il protocollo SPF, attraverso il suo meccanismo di autenticazione della posta elettronica, riveste parte integrante nella realizzazione di DMARC.

Cosa è DKIM e come funziona

Un altro aspetto importante della sicurezza della posta elettronica è, inoltre, l’autenticità del messaggio. Un messaggio e-mail, generalmente, passa attraverso svariati server prima di raggiungere la destinazione: quale certezza abbiamo che il messaggio e-mail ricevuto non sia stato manomesso da qualcuno durante il suo passaggio?

DKIM^[4], che sta per DomainKeys Identified Mail, utilizza la crittografia a chiave pubblica per controllare la posta elettronica e per consentire al destinatario di verificare se le intestazioni e il contenuto delle email sono stati modificati durante il transito.

Più precisamente, DKIM si basa, infatti, sulla crittografia asimmetrica, conosciuta anche come “crittografia a coppie di chiavi”, in cui abbiamo una chiave privata nota solo al proprietario ed una chiave pubblica che può essere ampiamente distribuita^[5].

Si potrebbe, per una migliore comprensione, accostare, per analogia, la firma DKIM ad un sigillo di ceralacca posto su di una busta postale ed adoperato, tanto tempo fa, per garantire l’autenticità del contenuto della busta.

Schema di funzionamento del Domain-keys Identified Mail (DKIM).

L’autenticazione DKIM è caratterizzata da 2 fasi:

1. la firma: il servizio email di invio, abilitato DKIM, genera una stringa di caratteri, nota come hash^[6]. Il servizio di invio, inoltre, crittografa l’hash con la sua chiave privata e lo aggiunge all’intestazione dell’e-mail;
2. la verifica: il servizio di posta elettronica ricevente cerca la chiave pubblica DKIM del mittente nel record DNS, contemporaneamente, utilizza la chiave pubblica per decrittografare la firma DKIM sull’e-mail e, per ultimo, genera anch’essa un hash dell’email (allo stesso modo in cui ha fatto il servizio di posta elettronica di invio).

Se l’hash generato corrisponde alla firma DKIM decrittografata, l’e-mail passa il controllo DKIM. Ciò significa che l’email proviene dal mittente dichiarato nell’header e che non è stata modificata durante il trasporto.

La maggior parte dei servizi di posta elettronica controllano automaticamente DKIM sui messaggi di posta in arrivo, ma è importante verificare che detto filtro sia abilitato. In questa sede ricordiamo, inoltre, che sono necessarie una chiave DKIM e una voce DNS distinte per ogni servizio di posta elettronica inviato: oltre ai propri server di posta, potrebbe anche essere opportuno considerare le applicazioni ed i servizi di terzi che inviano posta per conto dell’utente.

Come già visto con SPF, anche DKIM, attraverso la crittografia asimmetrica che garantisce l’integrità (ma anche l’autenticità) del messaggio, riveste parte integrante nell’implementazione di DMARC.

Cos’è il protocollo DMARC e come funziona

DMARC^[7], che sta per Domain-based Message Authentication, Reporting and Conformance, è uno standard di posta elettronica che:

1. conferma l’identità del mittente, utilizzando SPF e DKIM, già esposti;
2. indica al servizio di posta elettronica del destinatario che cosa fare con le e-mail che non hanno superato il controllo;
3. chiede ai servizi di posta elettronica dei destinatari di fornire report su dove proviene l’email.

Schema di funzionamento del Domain-based Message Authentication (DMARC).

Il servizio di posta elettronica del destinatario utilizza gli standard SPF e DKIM per confermare l’identità del mittente. Se il servizio e-mail di ricezione conferma l’identità del mittente, inoltrerà l’e-mail alla casella di posta in arrivo del destinatario. Qualora, invece, il servizio di posta elettronica ricevente non fosse in grado di confermare l’identità del mittente, contrassegnerà l’e-mail come spam.

Le specifiche più importanti, pertanto, presenti nel protocollo DMARC, tali da renderlo allo stesso tempo utile, sono:

• l’allineamento identificativo (Identifier Alignment)^[8] con gli standard DKIM e SPF: la modalità di allineamento (aspf/adkim), infatti, si riferisce alla precisione con cui i record dei mittenti vengono confrontati con le firme SPF e DKIM. I valori possibili sono:

1. “relaxed” (rappresentato da “r”), che consente corrispondenze parziali, come i sottodomini di un dato dominio;
2. “strict” (rappresentato da “s”), che richiede una corrispondenza esatta.

• il reporting, segnalazione. Nella fattispecie abbiamo due attività di reporting:

1. gli aggregate reports, in cui ogni fornitore di account e-mail include informazioni di riepilogo su tutti i messaggi che hanno visto utilizzando il proprio dominio^[9]. Il rapporto viene generato utilizzando il formato XML e sebbene non contengano molte informazioni sui singoli messaggi di posta elettronica, questa tipologia di report fornisce una valutazione preziosa sullo stato del programma di posta elettronica, consentendo di identificare potenziali problemi di autenticazione e/o di attività dannose.
2. i failure reports che, a differenza dell’aggregate reports, non vengono inviati da tutti i provider di account di posta elettronica. I rapporti di errore, infatti, vengono generati in formato ARFR da parte dei provider dei servizi di posta elettronica, e sono realizzati con uno scarto temporale pressoché minimo nel caso in cui il messaggio di posta elettronica non dovesse superare l’autenticazione DMARC. Precisiamo, inoltre, che il failure report prende anche il nome di rapporto forense, in quanto contiene diversi campi dell’intestazione del messaggio (tra cui l’IP di origine, i risultati di autenticazione, gli indirizzi e-mail “To” e “From” e il corpo del messaggio) tipiche delle attività di analisi forense.

• le DMARC Policies, la tecnologia DMARC permette tre possibili impostazioni (o criteri) per la gestione dei messaggi ricevuti:

1. none policy (p=none): quando si desidera solo monitorare i risultati DMARC e non si desidera intraprendere azioni specifiche su tutte le e-mail in errore;
2. quarantine policy (p=quarantine): quando si decide di inserire le e-mail che non superano i controlli in quarantena. La maggior parte di queste e-mail finirà nella cartella spazzatura del destinatario;
3. reject policy (p=reject): quando si decide di rifiutare tutte le email che non superano il controllo DMARC. I ricevitori di e-mail dovrebbero fare questo “a livello SMTP”. Le e-mail rimbalzeranno direttamente nel processo di invio.

Per una corretta gestione delle procedure, si raccomanda vivamente di aumentare gradualmente l’uso di DMARC impiegandole nell’ordine appena elencato.

Vantaggi e criticità di DMARC

I vantaggi che l’implementazione del protocollo DMARC offre sono molteplici. Difatti, aiuta a proteggere il proprio business e la reputazione da attacchi fraudolenti, riduce i costi di assistenza ai clienti relativi alle frodi via email, migliora la fiducia nelle e-mail inviate dal proprio indirizzo di posta elettronica e permette di monitorare l’uso legittimo e/o fraudolento dei tuoi domini, tramite l’attività di reporting.

Nonostante siano evidenti le opportunità insite nell’utilizzo di questo standard, ancora oggi è poco conosciuto e, di conseguenza, utilizzato. Secondo uno studio pubblicato lo scorso novembre^[10], DMARC presenterebbe alcune criticità, tali da impedirgli un utilizzo massivo. Tra queste ricordiamo:

1. essere poco intuitivo nella sua configurazione e, pertanto, non essere abbastanza user-friendly;
2. come conseguenza del punto precedente, non ci troviamo in presenza di una esternalità di rete (il beneficio che un individuo trae dall’utilizzo di un bene cresce al crescere del numero di utilizzatori di quel bene);
3. visto che pubblicazione di record SPF/DKIM/DMARC comporta costi aggiuntivi da coordinare con i loro provider DNS, non tutti i servizi di posta elettronica presentano tale capacità controllo. Come molti protocolli di rete, i protocolli anti-spoofing sono in grado di fornire i principali vantaggi solo dopo che un numero sufficiente di domini inizi a pubblicare i propri record SPF, DKIM o DMARC.

Conclusione

In estrema sintesi, è possibile affermare che DMARC affronta l’annoso problema della posta elettronica malevola, mediante l’autenticazione di email provenienti da domini conosciuti, scartando e segnalando quei messaggi fraudolenti o falsi.

La sua implementazione, in particolare, aiuta a ridurre i rischi per l’organizzazione bloccando le e-mail malevoli prima che raggiungano gli utenti, protegge le altre organizzazioni riducendo il rischio di ricevere e-mail compromesse, che utilizzano in modo improprio i domini altrui, conoscere, in tempo reale, le nuove campagne di e-mail truffa, sempre più pervasive.

Nel Regno Unito, la rapida adozione di DMARC da parte di diverse agenzie governative ha dimostrato come sia possibile eliminare svariate migliaia di e-mail contraffatte prima che raggiungano le loro vittime.

DMARC è stato adottato come standard obbligatorio per le comunicazioni e-mail governative negli Stati Uniti, nel Regno Unito, nei Paesi Bassi e in Nuova Zelanda. Lo scorso aprile, DMARC, inoltre, è stato introdotto come controllo di protezione della posta elettronica da parte del CIS – Center for Internet Security Controls^[11] – con l’aggiornamento dei CIS Controls versione 7.1.

È una soluzione affidabile e gratuita che permette, a sua volta, di essere conformi anche al GDPR. Sebbene manchi, ad oggi, un forte consenso per l’implementazione di questo standard anti-spoofing, una direzione per migliorare il suo utilizzo potrebbe essere quella di rendere più intuitive le operazioni di implementazione e di configurazione del DMARC, oltre che promuovere ulteriori campagne di sensibilizzazione concernenti l’importanza dell’integrità delle comunicazioni, come già avviate dalla Global Cyber Alliance^[12].

NOTE

1. IETF RFC 821, Simple Mail Transfer Protocol SMTP, 1982. ↑
2. L’Internet Engineering Task Force (IETF) è una grande comunità internazionale libera, composta da tecnici, ricercatori e specialisti interessati all’evoluzione dell’architettura e al buon funzionamento del protocollo Internet. Si occupa di sviluppare e promuovere standard Internet. ↑
3. IETF RFC 7208, Sender Policy framework (SPF) for Authorizing Use of Domains in Email, version 1, April 2014. ↑
4. IETF RFC 6376, DomainKeys Identified Mail (DKIM) Signatures, September 2011. ↑
5. Uno degli usi più noti della crittografia asimmetrica sono le firme digitali, in cui un messaggio è firmato con la chiave privata del mittente e può essere verificato da chiunque abbia accesso alla chiave pubblica del mittente. Ciò garantisce che il messaggio non sia stato manomesso, in quanto la firma è associata al messaggio e la verifica fallirà praticamente per qualsiasi altro messaggio, indipendentemente dal fatto che sia simile al messaggio originale. ↑
6. Nel linguaggio tecnico-informatico, la funzione hash è una funzione non iniettiva, e quindi non invertibile, che mappa una stringa di lunghezza arbitraria in una stringa di lunghezza predefinita. Nell’Informatica forense, al fine di verificare l’autenticità e l’integrità dei dati, si utilizzano i digest, successine di bit, ottenute tramite apposite funzioni hash. ↑
7. IETF RFC 7489, Domain-based Message Authentication, Reporting, and Conformance (DMARC), 2015. ↑
8. IETF RFC 7489, op. cit., pag. 9. ↑
9. IETF RFC 7489, op. cit., pag. 31. Le informazioni contenute in questi rapporti includono: il numero di messaggi, da quali indirizzi IP provengono, se sono stati autenticati con DKIM o SPF, se è presente un pass DMARC, cosa è stato fatto con il messaggio etc. I report possono essere decine o centinaia di kilobyte. Tutto dipende dalle dimensioni del provider di account di posta elettronica e dalla quantità di fonti di traffico. ↑
10. Hang Hu-Peng Peng-Gang Wang, Towards Understanding the Adoption of Anti-Spoofing Protocols in Email Systems, presentato al simposio“2018 IEEE Cybersecurity Development (SecDev)” del 30/09-/10 2018 in Cambridge, MA, USA, e pubblicato su IEEEXplore il 22 novembre 2018. ↑
11. Center for Internet Security Inc. è un’organizzazione senza scopo di lucro che sfrutta la potenza di una comunità IT globale per proteggere le organizzazioni private e pubbliche dalle minacce informatiche. Detto controllo, inoltre, aiuta a soddisfare i requisiti di protezione delle informazioni all’interno degli standard di sicurezza delle informazioni ISO e NIST. ↑
12. Partnership di organizzazioni di polizia e di ricerca il cui scopo è combattere contro il cyber risk sistemico in modi reali e misurabili.. ↑