Grazie al protocollo DMARC è possibile “autenticare” le fonti di spedizione della posta elettronica aziendale. Fino ad oggi (fine anno 2022) Microsoft ha avuto un approccio al protocollo molto personale e chiuso, oserei dire quasi miope. Ma qualcosa sta cambiando dato che qualche giorno fa è uscito in roadmap un annuncio che potrebbe cambiare le sorti del DMARC a livello planetario. Analizzaremo la visione del colosso di Redmond avuta fino ad oggi e le possibili evoluzioni dell’anno 2023 per favorire la diffusione culturale dell’unico protocollo di sicurezza veramente sociale ed inclusivo.
Il protocollo DMARC ed il suo funzionamento
Grazie ad un semplice record DNS ed un sito di reportistica adeguato è possibile sapere chi esegue invii di email usando il nostro dominio di posta elettronica. Questi invii possono essere legittimi, nascosti o illegittimi. I primi sono gestiti a dovere da noi sistemisti e sappiamo che il server o il servizio è opportunamente configurato. Parliamo di invii nascosti quando un ufficio aziendale, in autonomia, ha deciso di interagire con clienti o fornitori tramite posta elettronica (campagne di marketing, invio fatture, notifiche di vario tipo). In mezzo a questi due casi si intrufolano i malintenzionati che, sfruttando l’assenza dell’implimentazione del protocollo DMARC, possono inviare email malevole usando il dominio di posta elettronica aziendale. Il funzionamento del protocollo e della sua implementazione è già stato spiegato qui ed invitiamo ad un breve ripasso prima di continuare la lettura.
Microsoft ed il DMARC negli ultimi anni
Il cuore del funzionamento del protocollo DMARC risiede nelle notifiche di ricezione che il provider di posta elettronica invia al proprietario del dominio mittente. In questi anni Google ha giocato un ruolo fondamentale nel notificare ad ogni dominio mittente tutte le email che sono state recapitate agli utenti gmail. Metaforicamente potremmo paragonare le notifiche DMARC ad un ipotetico servizio che ti avvisa su tutti gli usi, legittimi o fraudolenti, del tuo marchio aziendale nel mondo. I server di posta Google, come di Yahoo ed altri provider, una volta al giorno generano un report aggregato XML che viene spedito al “sedicente” dominio mittente. Questo sforzo informatico di elaborazione e notifica è eseguito già da tutti i maggiori provider tranne Microsoft che solo nell’ultimo anno ha cominciato ad implementare le notifiche DMARC per le sole email ricevute da caselle di posta di domini gratuiti (hotmail, live, msn ecc…). Per i domini di posta aziendali ospitati da Exchange Online in Microsoft 365 non è possibile ricevere alcun tipo di notifica. Questa mancanza di visibilità costringe i clienti Microsoft ad implementare il protocollo con i soli feedback di Google (e pochi altri) e la conoscenza sull’uso fraudolento del proprio dominio di posta non viene elargita da Microsoft. Il tutto nonostante la stessa Microsoft utilizzi attivamente nei suoi sistemi antispam ed antimalware il protocollo DMARC per prendere delle decisioni. Quando parlo di miopia sociale nella visione di Microsoft intendo che non è corretto godere di un protocollo standard che il modo implementa grazie alla buona volontà di Google. Ho scovato un articolo dell’anno scorso dove Microsoft e Valimail dichiaravano “tedioso” il processo di gestione del protocollo DMARC offrendo una soluzione congiunta di finta-automazione che rasenta l’imbarazzo scientifico. Il tutto, perlopiù, nel blog ufficiale della CyberSecurity di Microsoft rimasta l’unica a non inviare i report DMARC. Come si fa a pensare di perfezionare la configurazione del protocollo DMARC senza avere il feedback da tutto il mondo sull’uso fraudolento del proprio dominio? Il DMARC è un protocollo aperto e sociale dove tutti si aiutano a vicenda per il bene comune. Ma qualcosa finalmente sta cambiando…
L’annuncio e le possibili soluzioni
Il 14 dicembre 2022 appare questo annuncio nella roadmap dei servizi Microsoft365:
Non si capisce molto sulla modifica in corso da parte di Microsoft in quanto, in poche righe, non è facile spiegare i dettagli di implementazione. E’ comunque la prima volta che si parla di reportistica DMARC erogata da tenant Microsoft 365. Dal titolo sembra che solo i titolari della licenza Defender for Office365 possano attivare la reportistica DMARC. La licenza Defender for Office365 è inclusa nei soli piani E5 (Plan 2) o Business Premium (Plan 1).
Con sorpresa il giorno 20 dicembre 2022 il messaggio cambia e si completa di un dettaglio importante:
I report verranno elargiti da Exchange Online Protection quindi da qualsiasi tenant indipendentemente dalla licenza in quanto tutte le mailbox possiedono le funzionalità di EOP.
Ora non resta da capire la logica di funzionamento. L’amministratore abiliterà i report sui propri domini di posta gestiti ma solo il proprio tenant spedirà i report oppure il settaggio accenderà i report DMARC da parte di tutti i tenant M365?
L’altra domanda fondamentale è: qualsiasi sito di reportistica potrà ricevere i report oppure ci sarà qualche accordo in cui i report rimangono solo all’interno di Microsoft 365 e/o Valimail (come dall’articolo del settembre 2021)?
Sembra strano farsi tutte queste domande quando il protocollo provede l’invio dei report senza condizioni ma negli anni passati questo argomento è stato ampiamente sottovalutato dal colosso di Redmond ed in più grandi società di filtri antispam hanno deciso di tenere per loro stessi i report DMARC (es: Proofpoint). Incrociando le dita, a marzo 2023 avremo una terza opzione nel portale della Security, in Email & Collaboration sotto l’argomento Email authentication settings, scommetto che sarà qui.
Conclusioni
Dopo anni di tenebra dello standard DMARC in casa Microsoft si vede la luce. Una luce che, se confermata, fa ben sperare per la CyberSecurity mondiale e per tutti gli specialisti dell’argomento. Se tutto va come deve Microsoft rispetterà lo standard e potremo, finalmente, avere la reportistica completa sull’uso del nostro dominio di posta. E’ il primo tassello per l’eliminazione della posta fraudolenta a livello planetario nella speranza che il nuovo protocollo BIMI, che “brandizza” le mail coperte da DMARC, venga implementato anche in Microsoft, è l’unica OverTheTop rimasta fuori. Ma questo è un altro argomento…