15 führende Anbieter von E-Mail-Diensten und –Technologien gaben gestern bekannt, dass die gemeinsame Arbeitsgruppe DMARC.org Standards zur Verringerung der Bedrohung durch betrügerische Spam- und Phishing-E-Mails entwickelt hat.
DMARC.org (Domain-based Message Authentication, Reporting and Conformance) stützt sich auf eine lange Zusammenarbeit in der Industrie und auf 18 Monate intensive Arbeit an der Entwicklung neuer Maßnahmen zur E-Mail-Authentifizierung, die den Ansprüchen moderner Internetnutzung gerecht werden. Die Arbeit der Allianz umfasst die Einrichtung einer Rückkoppelungsschleife zwischen E-Mail-Versendern und Empfängern, um Phishing-Versendern das Vortäuschen einer Absenderadresse zu erschweren.
„Millionen Privatpersonen und Unternehmen werden jährlich durch E-Mail-Phishing betrogen. Dadurch verlieren die Verbraucher das Vertrauen in E-Mails und in das gesamte Internet,“ erklärt der DMARC-Vorsitzende Brett McDowell, Senior Manager für Kundensicherheit bei PayPal. „Die Zusammenarbeit in der Branche ist – zusammen mit Technologie und Verbraucheraufklärung – entscheidend im Kampf gegen Phishing.“
Die DMARC-Kooperation geht Probleme an, die bisher die breite Entwicklung eines authentifizierten, gesicherten E-Mail-Ökosystems behindert haben. E-Mail-Empfängern fehlt heute eine zuverlässige Möglichkeit, zu erkennen, inwiefern ein E-Mail-Versender Standards wie SPF und DKIM zur Authentifizierung seiner Nachrichten verwendet. Deshalb müssen Provider auf komplizierte und häufig fehlerhafte Verfahren zurückgreifen, um legitime, vom tatsächlichen Domaininhaber gesendete Nachrichten von betrügerischen Phishing-Mails zu unterscheiden.
Mit der Einführung eines standardisierten Rahmens bietet DMARC den angeschlossenen Versendern von E-Mails eine umfassendere Möglichkeit, Technologien zur E-Mail-Authentifizierung in ihre Infrastruktur einzubinden. So können sie zum Beispiel einfache Richtlinien festlegen, nach denen ein Provider unauthentifizierte E-Mails ablehnen soll, um Phishing-Angriffe zu blockieren. Außerdem wird mit DMARC ein Mechanismus geschaffen, mit dem E-Mail-Provider den Versendern ausführliche Berichte übermitteln können, um das Auffinden von Lücken im Authentifizierungssystem zu unterstützen. Diese Rückkopplung stärkt das Vertrauen in das E-Mail-Ökosystem und erleichtert das Erkennen und Unterbinden von Phishing-Versuchen.
„BITS hat sich für das Festlegen und die Weiterentwicklung von Standards und Verfahren zur E-Mail-Authentifizierung engagiert, die den Bedürfnissen der Finanzdienstleistungsbranche gerecht werden. Der evolutionäre Ansatz von DMARC trägt entscheidend dazu bei, diesen Bedürfnissen noch viele Jahre lang gerecht zu werden,“ sagt Paul Smocer, Präsident von BITS, dem Bereich für Technologierichtlinien des Financial Services Roundtable.
Nach der Erfassung von Daten und den Rückmeldungen aus dem Einsatz der Technologie wird DMARC.org seine Spezifikation der Internet Engineering Task Force (IETF) zur Standardisierung vorlegen. Interessierte Organisationen sind willkommen, die Spezifikation zu lesen, auf
www.dmarc.org der Mailingliste dmarc-discuss beizutreten und die E-Mail-Authentifizierungs-Standards SPF, DKIM und DMARC zu testen und einzusetzen. Bei den MAAWG- und RSA-Konferenzen im Februar werden Mitglieder von DMARC.org an Diskussionen über die Spezifikation teilnehmen. Einzelheiten dazu finden Sie auf www.dmarc.org.
Über DMARC.org
DMARC.org (Domain-based Message Authentication, Reporting and Conformance) ist eine Arbeitsgruppe, in der sich einige der weltweit führenden E-Mail-Provider (AOL, Gmail, Hotmail, Yahoo! Mail), Finanzinstitute und Finanzdienstleister (PayPal, Bank of America, Fidelity Investments, ), Social-Media-Provider (American Greetings, Facebook, LinkedIn) und Anbieter von E-Mail-Sicherheitslösungen (Agari, Cloudmark, eCert, Return Path, Trusted Domain Project) zusammengeschlossen haben. Die Gruppe arbeitet an der Entwicklung von Internetstandards zur Verringerung der Bedrohung durch E-Mail-Phishing und zur Verbesserung der Koordination zwischen E-Mail-Providern und Domaininhabern.
Den Spezifikationsentwurf und weitere Informationen finden Sie unter
www.dmarc.org.