De här företagen har intresse av problemets båda sidor: att skydda sina kunder från informationsstöld och att skydda sina varumärken så att kunderna inte tappar förtroendet för dem.
Dmarc är för närvarande ett utkast som behandlas av standardiseringsorganet IETF, men med tanke på uppbackningen lär den inte stöta på några hinder. Och enstaka mjukvaror har stöd för protokollet redan nu.
Dmarc är inte någon helt ny teknologi, utan det kan snarare beskrivas som ett bättre sätt att dra nytta av redan befintliga protokoll.
Grundfunktionen baseras på två andra protokoll som definierades för sex-sju år sedan: spf och dkim.
Spf, sender policy framework, är ett system för att ange exakt vilka servrar som får användas för att skicka e-post från en viss domän.
En mottagande e-postserver med stöd för spf validerar alltså att informationen som den får från den sändande e-postservern, det som kallas för envelope i smtp, inte har förfalskats.
Det är dns-systemet som används för att publicera den här informationen till omvärlden, genom att man lägger upp särskilda spf-regler i domänens zonfiler.
Sådana regler kan till exempel säga att ”om e-post från example.com inte kommer från ip-adressen 203.0.113.44 – släng det!”. E-postservrar som har stöd för spf söker efter sådana här regler när de tar emot inkommande e-postmeddelanden, och kan på så sätt filtrera bort oönskade mejl.
Strikta regler är svårt
Men eftersom e-post på internet ofta skickas via mellanliggande servrar så går det inte alltid att definiera så strikta regler. Mottagaren kan ju inte vara säker på varifrån ”utom synhåll” mejlet ursprungligen har kommit, och då kan den inte heller fatta rätt beslut.
Om spf-policyn är inställd på ”fail”, alltså att kasta bort meddelandet, kan det leda till att ingen e-post kommer fram. På grund av det här problemet väljer många avsändare att ange ”softfail”-regler, som enbart är en rekommendation och inte ett krav på att kasta bort meddelanden som inte kommer in från rätt server.
Undvik reläservrar
Det här lämnar åt mottagaren att gissa sig till om han eller hon får legitim e-post eller inte, alltså samma situation som utan dmarc eller spf.
Det är bättre om avsändaren undviker att skicka ut e-post via andras reläservrar. Om man vet exakt vilka servrar som sänder vidare utgående e-post till alla externa mottagare kan man lugnt använda fail-regler. Och för mottagaren gäller det att kontrollera inkommande e-post mot spf-reglerna vid den yttersta gränsen mot internet, alltså på de e-postservrar som allra först tar hand om inkommande e-post.
Dkim, domainkeys identified mail, är en annan teknik för att avslöja förfalskad e-post. Men medan spf auktoriserar e-postservrar säkrar dkim upp innehållet i ett mejl genom kryptografiska signaturer. Framför allt är det fält i meddelandets header som signeras, till exempel avsändare och ämnesrubrik, men även meddelandets brödtext (body) kan signeras så att mottagaren vet att inget har förvanskats på vägen.
Både spf och dkim är helt självständiga funktioner som fungerar mellan avsändaren och mottagaren på internets befintliga infrastruktur utan att någon tredje part behöver ge stöd för det.
Innehållsförteckning
Dmarc är ett nytt protokoll, en ännu inte helt färdig standard och med mindre än två år på nacken. Trots det har redan många av de allra största tjänsteleverantörerna på internet anammat tekniken, ett bevis så gott som något på att det fungerar. Google, Hotmail, Office 365, Linkedin, Facebook och Yahoo har alla stöd för dmarc, därtill en stor mängd andra företag och organisationer.
Redan i början av 2013 uppskattade intresseorganisationen Dmarc.org att 60 procent av världens e-postkonton var skyddade med dmarc för inkommande mejl. Gott och väl en tredjedel av de tjugo största e-postutsändarna hade lagt upp dmarc-regler för utgående mejl, som tvingade mottagare att kasta bort fejkad e-post skickad i deras namn.
Man kan alltså lugnt påstå att dmarc är en succé när det gäller att skydda konsumenter. På företagssidan finns det däremot fortfarande mycket kvar att göra. Men eftersom det redan finns många dmarc-kompatibla e-postsystem installerad där ute får man fördelar direkt om man inför dmarc själv, speciellt de företag och myndigheter som ofta sänder e-post till privatpersoner.
