DMARC ci protegge dagli attacchi di phishing – Ma cosa succede con la privacy?

Molti di noi hanno già fatto questa esperienza: e-mail ingannevoli appaiono improvvisamente nella casella di posta elettronica: apparentemente derivanti da banche, grandi aziende commerciali o imprese di logistica, che – con pretesti di tutti i tipi – vogliono avere i nostri dati personali. Siamo diventati vittime di un attacco di phishing, e non siamo gli unici: Nel 2017, sui computer degli utenti Kaspersky Lab nel sistema Anti-Phishing ci sono stati 246.231.645 allarmi – un incremento del quasi 60 per cento rispetto all’anno precedente. E un tale attacco di phishing, non danneggia solo il destinatario che rivela i suoi dati personali, ma danneggia anche la reputazione e quindi la deliverability del marchio copiato. Con DMARC vi potete proteggere efficacemente contro l’abuso del vostro marchio. Ma è permesso usarlo?

DMARC (Domain-based Message Authentication, Reporting e Conformance) è una specifica con la quale le imprese possono evitare l’uso abusivo del loro indirizzo mittente. La specifica completa due tecnologie già consolidate da tempo: il Sender Policy Framework (SPF) e il DomainKeys Identified Mail (DKIM) e quindi chiude una lacuna sulla strada dal mittente al destinatario. SPF regola chi può inviare un’e-mail; DKIM può dimostrare che il messaggio non è stato modificato sulla sua strada al destinatario e che in realtà viene dal mittente; e DMARC ora specifica anche cosa deve succedere con le e-mail arrivate che non sono conformi alle specifiche SPF o DKIM.

DMARC è rivolto a tutti coloro che inviano e ricevono e-mail. Da parte del mittente, da un lato, è il proprietario del dominio che dovrebbe pubblicare DMARC come criterio nel DNS. Dall’altro lato, i mittenti tecnici, ad esempio gli ESP (e-mail service provider), dovrebbero aver implementato gli standard di DomainKeys Identified Mail (DKIM). Sul lato del ricevitore, è l’ISP (Internet Service Provider) quello che deve valutare la politica DMARC e, quindi, a seconda delle esigenze, deve semplicemente evitare una consegna. In questo modo, il mittente determina quali indirizzi IP e quali firme inviano o visualizzano delle e-mail originali.

DMARC non è una tecnologia completamente nuova. Già dal 2012 le aziende possono lavorare con le specifiche DMARC. Tuttavia, la distribuzione è lontana dalla copertura completa. C’è soprattutto una indubitabile ragione per questo: Anche durante lo sviluppo della nuova specifica non era chiaro in che misura i dati personali sono stati coinvolti nell’uso di DMARC. E anche dopo l’entrata in vigore della nuova normativa sulla privacy (GDPR) nel maggio di quest’anno, questa incertezza è ancora presente per molti partecipanti. Quindi, se utilizziamo DMARC stiamo trattando delle informazioni personali in modo illegale?

In linea di principio, DMARC funziona così: innanzitutto il mittente o il proprietario del dominio definisce i record SPF e la chiave pubblica per DKIM per tutti i domini di spedizione da considerare. Il provider di servizi Internet (ISP) verifica la presenza di e-mail in arrivo, indipendentemente dal fatto che l’indirizzo IP del mittente corrisponda a un indirizzo IP inserito nel record SPF per questo dominio. DKIM controlla se la firma crittografica della posta ricevuta corrisponde alla chiave pubblica. Con DMARC, il proprietario del dominio può ora specificare come gestire le e-mail che solo parzialmente oppure quelle che non hanno “superato” il controllo utilizzando SPF e DKIM. Inoltre, il proprietario del dominio utilizza il Domain Name System (DNS) per specificare a quale indirizzo e-mail di feedback i destinatari che partecipano a DMARC dovrebbero inviare le informazioni sui domini della “DMARC-policy” e sui risultati dell’autenticazione della posta elettronica. Questo viene fatto tramite i cosiddetti “rapporti”. Viene fatta una distinzione tra “Rapporti aggregati” e “Rapporti di guasto”. Questi rapporti inviano, a seconda della natura del rapporto, tra l’altro:

  • Gli indirizzi IP che hanno inviato la posta per il dominio della politica DMARC
    • l’indirizzo e-mail in uscita
    • l’indirizzo e-mail del destinatario
    • l’oggetto della posta
    • l’email body

E qui il tutto inizia a diventare discutibile dal punto di vista della protezione dei dati. Secondo l’Art. 4 n. 1 del GDPR, i dati personali sono “tutte le informazioni relative a una persona identificata o identificabile”. Ciò è rilevante sia per gli indirizzi IP statici e dinamici che per i domini. Inoltre, il GDPR dichiara che il trattamento dei dati personali è consentito solo se consentito dalla legge o da altre disposizioni legali e / o dalla persona interessata.

Prescindendo da ulteriori ostacoli di natura giuridica, come la legge sulle telecomunicazioni (TKG), nel GDPR troviamo nell’articolo 6, 1. Comma, pag. 1, un passaggio che giustifica la raccolta e l’utilizzo dei dati personali. Di conseguenza, la trasmissione o l’uso sono consentiti se sono necessari per tutelare gli interessi legittimi del soggetto responsabile e a condizione che gli interessi o i diritti fondamentali e le libertà della persona interessata, che richiedono protezione dei dati personali, non prevalgano.

In una valutazione sulla compatibilità di DMARC e del GDPR dell’UE, il gruppo di competenza “E-mail” dell’Associazione tedesca dell’Internet Economy “eco e.V.” arriva quindi alla conclusione che i rapporti DMARC sono generalmente consentiti e giustificati, ma solo tenendo in considerazione il principio della proporzionalità. L’implementazione di DMARC è, secondo il parere degli esperti delle e-mail, quindi – con delle restrizioni – abbastanza compatibile con il GDPR dell’UE. Tuttavia, le informazioni personali dovrebbero essere rese anonime o rimosse il più possibile in entrambi i rapporti, negli “aggregati” e “guasti”.

Conclusione: DMARC può proteggere i mittenti in modo affidabile dagli attacchi di phishing e quindi i mittenti non perdono la loro buona reputazione. Tuttavia, per quanto riguarda il nuovo regolamento generale sulla protezione dei dati dell’UE, è importante considerare alcuni aspetti dell’attuazione. Tuttavia, con Certified Senders Alliance (CSA), il progetto di miglioramento della qualità della posta elettronica lanciato congiuntamente da “eco” (l’Associazione dell’Internet Industry) e dal DDV (Deutscher Dialogmarketing Verband), esiste un partner esperto in materia complessa. La CSA offre supporto per DMARC e in riguardo al GDPR dell’Unione Europea, come anche discussioni con esperti e utenti internazionali e workshop tecnici.

Ufficio stampa:

Katja Schönafinger
TEMA Technologie Marketing AG
Communications to Success
Aachener-und-Münchener Allee 9 – 52074 Aachen
Germany
Tel.: +49 241 88970-595
E-Mail: schoenafinger@tema.de
www.tema.de