Un problème récurrent avec le courriel, c'est qu'il est très facile d'usurper l'adresse de l'expéditeur, ce qui rend difficile pour un utilisateur de savoir si un email provient réellement de la bonne personne. Plusieurs acteurs de l'Internet, Google, Bank of America, Fidelity, Microsoft, Yahoo, PayPal, LinkedIn, AOL, American Greetings, Cloudmark et Agari ont decidé de se réunir pour promouvoir le protocole Dmarc (Domain-based Message Authentication, Reporting & Conformance) pour lutter contre le spam et le phishing. Dmarc repose sur les solutions DKIM et SPF qui assurent l'authentification des courriels.

Authentification et confiance

DKIM (DomainKeys Identified Mail) vérifie le nom de domaine à travers lequel un message a été envoyé par l'analyse de la signature cryptographique du message. Les destinataires peuvent ainsi choisir d'accepter les messages provenant d'un domaine qui est considéré comme digne de confiance. SPF (Sender Policy Framework) donne aux propriétaires des domaines les moyens de spécifier quels hôtes sont autorisés à envoyer des e-mails depuis leurs domaines. Ces deux outils sont utilisés par beaucoup d'entreprises depuis plusieurs années. Dmarc corrige certaines faiblesses des deux solutions, notamment la non prise en compte de fournisseurs de services tiers. En effet, certains messages échappent au contrôle de DKIM et SPF. L'objectif est d'apprendre des attaques précédentes et de créer une base d'e-réputation des expéditeurs pour améliorer la confiance dans les messages.

Le groupe Dmarc prévoit de soumettre sa solution à l'Internet Engineering Task Force, pour la faire devenir un standard du secteur.