DMARC: quando il machine learning può fare la differenza
Nel corso della storia della posta elettronica, sono state inventate molte tecnologie per proteggere i destinatari dalle e-mail fraudolente (soprattutto dal phishing). Il DomainKeys Identified Mail (DKIM) e il Sender Policy Framework (SPF) presentavano notevoli inconvenienti, per cui è stato progettato il meccanismo di autenticazione della posta basato sul dominio Message Authentication Reporting and Conformance (DMARC) per identificare i messaggi con un finto dominio del mittente. Tuttavia, DMARC non si è rivelata essere la soluzione ideale e per questo ricercatori di Kaspersky hanno sviluppato una tecnologia aggiuntiva per eliminare gli svantaggi di questo approccio.
Come funziona DMARC
Un’azienda che vuole impedire che altre persone possano inviare e-mail utilizzando i nomi dei suoi dipendenti, può configurare DMARC nel suo record di risorse DNS. In sostanza, ciò consente ai destinatari del messaggio di assicurarsi che il nome di dominio nell’header “da:” sia lo stesso su DKIM e SPF. Inoltre, il record indica l’indirizzo a cui i server di posta inviano i report relativi ai messaggi ricevuti che non hanno superato la verifica (ad esempio, se si è verificato un errore o è stato rilevato un tentativo di farsi passare per un mittente).
Nello stesso record di risorse, si può anche configurare la politica DMARC per specificare cosa succede al messaggio se non supera la verifica. Esistono tre tipi di politiche DMARC che coprono i seguenti casi:
- La politica più rigorosa è quella di rifiutare i messaggi. Da selezionare per bloccare tutte le e-mail che non superano il controllo DMARC
- Con la politica di Quarantena, a seconda delle impostazioni esatte del servizio di posta, il messaggio finirà nella cartella spam o sarà consegnato ma contrassegnato come sospetto
- Nessuna è la modalità che consente al messaggio di raggiungere normalmente la casella di posta del destinatario, anche se viene comunque inviato un report al mittente
Gli svantaggi di DMARC
In generale, DMARC funziona, riuscendo a ostacolare il phishing. Tuttavia, nel risolvere un problema, ne provoca un altro: i falsi positivi. I messaggi legittimi possono essere bloccati o contrassegnati come spam in due casi:
- Messaggi inoltrati. Alcuni sistemi di posta rompono le firme SPF e DKIM nei messaggi inoltrati, sia che i messaggi vengano inoltrati da diverse caselle di post, sia che vengano reindirizzati tra nodi postali intermedi (relay)
- Impostazioni errate. Non è raro che gli amministratori dei servar di posta commettano errori nella configurazione di DKIM e SPF
Quando si tratta di e-mail commerciali, è difficile dire quale scenario sia peggiore: far passare un’e-mail di phishing o bloccare un messaggio legittimo.
Un nuovo approccio per correggere i difetti di DMARC
Kaspersky ha così deciso di rafforzare DMARC aggiungendo il machine learning al processo di convalida, in modo da ridurre al minimo i falsi positivi senza compromettere i benefici di DMARC. Ma esattamente come? Quando gli utenti scrivono le e-mail, usano un Mail User Agent (MUA) come Microsoft Outlook. Il MUA è responsabile della generazione del messaggio e del suo invio al Mail Transfer Agent (MTA) per l’ulteriore “instradamento”. Il MUA aggiunge gli header tecnici necessari al corpo del messaggio, all’oggetto e all’indirizzo del destinatario (che vengono compilati dall’utente).
Per aggirare i sistemi di sicurezza, i cybercriminali utilizzano spesso i propri MUA. Di regola sono motori di posta elettronica fatti in casa che generano e compilano i messaggi secondo un determinato modello. Ad esempio, generano header tecnici per i messaggi e il loro contenuto. Ogni MUA ha la sua “calligrafia”.
Se il messaggio ricevuto non supera il controllo DMARC, entra in gioco la tecnologia di Kaspersky. Si tratta di un servizio su cloud che si connette con la soluzione di sicurezza del dispositivo. Viene avviata un’ulteriore analisi della sequenza degli header e dei contenuti degli header X-Mailer e Message-ID mediante una rete neurale, permettendo così alla soluzione di distinguere un’e-mail legittima da una di phishing. La tecnologia è stata testata su un numero davvero importante di messaggi di posta elettronica (circa 140 milioni di messaggi, di cui il 40% di spam).
L’unione della tecnologia DMARC con il machine learning aiuta a garantire la protezione dell’utente dagli attacchi di phishing, riducendo al minimo il numero di falsi positivi. Kaspersky ha già implementato questa tecnologia in tutti i prodotti su cui è presente un componente antispam, ovvero Kaspersky Security for Microsoft Exchange Server, Kaspersky Security for Linux Mail Server e Kaspersky Security for Mail Gateway (che fanno parte di Kaspersky Total Security for Business e Kaspersky Security for Microsoft Office 365).