La politica anti-spoofing della posta elettronica Yahoo interrompe le mailing list

Nel tentativo di bloccare gli attacchi di spoofing della posta elettronica agli indirizzi di yahoo.com, Yahoo ha iniziato a imporre una politica di convalida della posta elettronica più rigorosa che purtroppo interrompe il normale flusso di lavoro su mailing list legittime.

Il problema è una nuova politica DMARC (autenticazione, reportistica e conformità dei messaggi basata sul dominio) pubblicizzata da Yahoo a server di posta elettronica di terze parti, ha dichiarato John Levine, consulente di infrastruttura di posta elettronica di lunga data e presidente della Coalition Against Unsolicited Commercial Email (CAUCE), in un messaggio inviato alla mailing list di Internet Engineering Task Force (IETF) lunedì.

DMARC è una specifica tecnica per l'implementazione dei meccanismi di convalida e autenticazione e-mail SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail). Queste tecnologie sono state progettate per prevenire lo spoofing degli indirizzi e-mail comunemente utilizzati negli attacchi di spam e phishing.

L'obiettivo di DMARC è quello di realizzare un'implementazione uniforme di SPF e DKIM tra i principali fornitori di servizi di posta elettronica e altre società che desiderano beneficiare della convalida della posta elettronica.

La specifica introduce il concetto di identificatori allineati, che richiede che i domini di convalida SPF o DKIM siano gli stessi o sottodomini del dominio per l'indirizzo e-mail nel campo "da". I proprietari del dominio possono utilizzare un'impostazione del criterio DMARC denominata "p =" per indicare alla ricezione dei server di posta elettronica cosa dovrebbe accadere se il controllo DMARC fallisce. I valori possibili per questa impostazione possono essere "nessuno" o "rifiuta".

Nel fine settimana Yahoo ha pubblicato un record DMARC con "p = rifiutare" essenzialmente dicendo a tutti i server di posta elettronica riceventi di rifiutare le email dagli indirizzi yahoo.com che non provengono dai suoi server, Levine ha detto.

Anche se questa è una buona cosa dal punto di vista anti-spoofing, solleva problemi per le mailing list legittime, secondo l'esperto di email.

"Le liste usano invariabilmente il proprio indirizzo di rimbalzo nel proprio dominio, quindi l'SPF non corrisponde", ha detto Levine. "Gli elenchi in genere modificano i messaggi tramite tag oggetto, piè di pagina, rimozione degli allegati e altre utili funzionalità che interrompono la firma DKIM. Quindi, anche nella posta più legittima dell'elenco come, ad esempio, IETF, la maggior parte della posta non risponde alle affermazioni DMARC, non a causa delle liste che fanno qualcosa di "sbagliato". "

Con la nuova politica, quando un utente Yahoo invia un'email a una mailing list, il server dell'elenco distribuisce tale messaggio a tutti gli abbonati, modificando le intestazioni e interrompendo la convalida DMARC. Elenca gli abbonati con account e-mail su server che eseguono controlli DMARC, come Gmail, Hotmail (Outlook.com), Comcast o Yahoo stesso, rifiuteranno il messaggio originale e risponderanno all'elenco con messaggi di errore DMARC automatizzati.

Ad esempio, Gmail risponderà con un messaggio che recita: "smtp; 550 5.7.1 La posta elettronica non autenticata da yahoo.com non è accettata a causa della politica DMARC del dominio. Contatta l'amministratore del dominio yahoo.com se questa era una posta legittima."

Quindi gli utenti di Gmail, Hotmail e altri provider abilitati DMARC non solo non riceveranno i messaggi inviati alla mailing list dagli utenti di Yahoo, ma inonderanno l'elenco con messaggi di rimbalzo, rischiando di essere rimbalzati fuori dall'elenco, Levine ha detto.

L'esperto di posta elettronica ha raccomandato agli operatori di mailing list di sospendere i diritti di pubblicazione degli elenchi degli utenti di yahoo.com e di chiedere loro di iscriversi nuovamente alle proprie liste con account di diversi provider di posta elettronica.

"Attualmente stiamo sperimentando una tecnologia anti-abuso che ci aiuta a proteggere i nostri utenti da attacchi di phishing e spoofing", ha dichiarato un rappresentante Yahoo via e-mail. "A seguito di questo esperimento, una piccola percentuale dei nostri utenti che utilizzano fornitori di servizi esterni a Yahoo potrebbe riscontrare problemi. Gli utenti interessati possono visitare la nostra pagina di aiuto per saperne di più. Ci scusiamo per gli eventuali disagi che ciò può aver causato."

Yahoo ha pubblicato una pagina di aiuto con informazioni su come la sua nuova politica DMARC influisce sui fornitori di servizi di posta elettronica di terze parti.

Un test sui record DMARC di Yahoo fatto martedì con uno strumento su dmarcian.com ha rivelato che l'impostazione "p = rifiutare" era ancora in atto per il dominio yahoo.com. In confronto, gmail.com ha registrato un record di "p = none", il che significa che non dice agli altri server di posta elettronica come gestire i messaggi dagli indirizzi gmail.com che non superano i controlli DMARC.

Anche Laura Tessmer Atkins, co-fondatrice della società di consulenza e-mail anti-spam Word to the Wise con sede a Palo Alto, in California, ha confermato e documentato il problema in un post sul blog lunedì. Crede che Yahoo abbia iniziato a pubblicizzare una politica di "rifiuto" a causa di un recente attacco contro gli utenti di Yahoo che ha coinvolto aggressori che hanno compromesso gli account e-mail di yahoo.com e inviato e-mail non autorizzate ai loro contatti.

"Gli aggressori hanno modificato i loro attacchi e ora stanno inviando posta dagli utenti Yahoo ai loro contatti attraverso altri server", ha affermato Atkins. "Pubblicando ap = rifiuta il record, Yahoo sta dicendo ad altri sistemi di non accettare la posta dagli utenti di Yahoo se non arriva attraverso i server controllati da Yahoo. Ciò include la posta dagli attaccanti, ma anche la posta di utenti regolari di Yahoo che usano un altro SMTP server, inclusa la posta in blocco inviata tramite ESP [fornitori di servizi di posta elettronica] e posta individuale inviata a mailing list. "

DMARC.org, il gruppo industriale che sovrintende allo sviluppo e all'adozione dello standard DMARC, non ha immediatamente risposto a una richiesta di commento sulla situazione di Yahoo. Tuttavia, la sezione delle domande frequenti del sito Web del gruppo riconosce i problemi di interoperabilità che le mailing list possono avere con DMARC e offre alcuni consigli.

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.