Наиболее крупные сервисы электронной почты, работающие через веб-интерфейс, объединили свои усилия с крупными финансовыми компаниями с целью совместной борьбы с фишинговыми письмами. Напомним, фишинг — разновидность кибер-атаки, которая подразумевает заманивание пользователя на поддельные сайты с целью кражи данных его учетной записи (логина и пароля).
Группа компаний разработала техническую спецификацию DMARC (Domain-based Message Authentication, Reporting & Conformance аутентификация, отчет и согласование подлинности сообщения на основе домена), призванную обеспечить эффективную борьбу с фишинговыми электронными письмами. Разработкой этой спецификации занималась группа компаний, также получившая название DMARC. В группу DMARC вошли 15 компаний, среди них называются Yahoo, Google, Microsoft, AOL, Facebook, LinkedIn, Bank of America, PayPal.
Разработанная спецификация основана на стандартах SPF и DKIM. Они позволяют осуществлять проверку подлинности домена отправителя, а также прикреплять цифровую подпись к сообщениям. Таким образом, спецификация позволяет отфильтровывать электронные письма, действительно отправленные от указанного в качестве отправителя домена, от поддельных электронных писем. Фильтрация осуществляется с помощью доменных ключей (DomainKeys). Этот механизм призван значительно усложнить отправку фишинговых сообщений. Однако те компании, которые на законных основаниях рассылают большое количество электронных сообщений, например, Facebook или PayPal, могут не переживать, что их сообщения будут заблокированы.
Отмечается, что ранее благодаря сотрудничеству PayPal, Google и Yahoo ежедневно блокировалось около 200 тыс поддельных электронных писем, якобы отправляемых компанией PayPal. Однако теперь, после внедрения DMARC это количество может быть многократно увеличено. Если окажется, что новая техническая спецификация позволяет достаточно эффективно бороться с фишингом, она может быть принята в качестве общего стандарта. При этом, конечным пользователям Yahoo, Hotmail, Gmail и AOL не предстоит менять какие-либо настройки, но провайдерам ISP и сервисам электронной почты потребуется внедрить средства аутентификации, подразумеваемые стандартом DMARC.
В заявлении группы DMARC указано, что она открыта для вступления новых участников.