Bezpečnost e-mailové komunikace je prioritou

Konference M3AAWG, neboli celým jménem Messaging, Malware and Mobile Anti-Abuse Working Group není klasickou konferencí, ale uzavřeným odborným setkáním. Scházejí se zde zástupci společností, které si jinak často konkurují. Potkávají se, aby se podělili o své zkušenosti a řešení v boji proti spamu, phishingu, virům a dalším nekalým aktivitám, které se na internetu vyskytují, a společně hledali cesty, jak s těmito problémy bojovat. M3AAWG je totiž, jak samotný název napovídá, především pracovní skupinou, která hledá řešení a v minulosti pomáhala nebo přímo stála za vznikem mnoha best-practice či standardů, se kterými se dnes běžně setkáváme. Mezi takové standardy a best-practice, jejichž kolébkou bylo M3AAWG, patří např. DKIM, SPF, pravidla pro ochranu sítí proti zneužití ze strany spammerů a mnoha dalších, které M3AAWG dále aktivně propaguje a šíří.

Jedním z témat aktuálního setkání bylo rozšiřování využití technologie DMARC, která staví na technologiích SPF a DKIM a poskytuje nadstavbu, která umožňuje tyto dvě technologie provázat za účelem ochrany domén a značek proti jejich zneužití třetími stranami. Nejde však jen o technologii pro ochranu, ale především o monitoring, který společnostem používajícím DMARC umožní poprvé nahlédnout i do informací o tom, jak a kým je jejich doména zneužívána. DMARC je navíc technologií, kterou již adoptovali všichni velcí američtí poskytovatelé e-mailových schránek (Gmail, Hotmail, Yahoo i AOL), ale i mnozí zákazníci, kteří mohli hovořit o svých zkušenostech s implementací i použitím a přínosech ve vztahu k ochraně značky před zneužitím.

DMARC je v zásadě určena pro každého, ale určité společnosti by měly na její implementaci klást větší důraz - zejména banky, dodavatelé služeb a energií, instituce státu a samosprávy a také společnosti, které investovaly do své značky a chtějí si ji chránit. Všichni ti, u kterých je zvýšené riziko jejich zneužití a potřeba co nejvyšší míry ochrany, by měli co nejdříve začít s implementací DMARCu pro svou ochranu a především ochranu svých zákazníků. Příjemci tak u zpráv autorizovaných technologií DMARC, u nichž je zcela jasný původ, mohou důvěřovat, že odesílatelem je opravdu ten, za koho se zpráva vydává. Právě důvěryhodnost, na níž je kladen důraz, je zásadním důvodem k nasazení u subjektů, které se mohou potýkat se záměnou. Velký důraz pak na důvěryhodnost kladou především banky, jež jsou častým terčem útoků podvodníků a je pro ně proto důležité umožnit příjemcům jasně identifikovat zprávy, které jsou autentické. Podporu pro DMARC již deklarovalo i několik zemí, které ho prohlásily za povinný pro všechny domény státní správy, samosprávy a státních institucí (Velká Británie, Nizozemsko), nebo doporučily jeho implementaci u federálních úřadů (Německo).

Nové technologie v provozu ukážou některé nedostatky, a tak i široké použití DMARCu poukázalo na několik problémů, které souvisí s implementací. Největším z nich je ztráta autorizace u přeposílaných zpráv a diskuzních seznamů. I přesto, že tyto nedostatky mají jen minimální nebo nulový vliv na e-mail marketingové zprávy a většinu problémů s autorizací přeposílaných zpráv se podařilo vyřešit, komunita okolo DMARC již pracuje na standardu ARC, který umožní autorizaci přenést přes prostředníky při zpracování zpráv a zachovat tak původní autorizaci.

Tento specifický problém však oblast e-mail marketingu a přímé komunikace zasahuje okrajově a to pouze tam, kde na straně serveru příjemce nebyl DMARC implementován správně. Můžeme proto konstatovat, že na nasazení DMARCu právě nadešel čas. Má významný vliv na zakotvení vaší reputace, a proto by měl letos být prioritou pro každého marketéra.