主流电子邮件服务提供商正在联手健康保险公司、金融服务提供商和社交媒体巨头等大型公司制定新标准,该标准将让在让商业电子邮件发件人在“发件人”名称旁边显示其品牌商标以供用户识别。

消息识别品牌标识(BIMI)旨在增强公众对电子邮件的信任,从而增加客户对商业营销信息的参与度。但为此,发件人必须使用符合行业标准的电子邮件验证措施来利用BIMI,并且,这些商标还会显示在发件人的个人邮件中。

BIMI邮件在收件箱的形式

据电子邮件安全机构Agari公司创始人兼执行主席帕特里克·彼得森(Patrick Peterson)表示,BIMI也可帮助打击欺诈和网络钓鱼。该公司也是参与制定这个新标准的公司之一。他称:“我们正在将信任带回到邮件中。”

然而,如果这个标准在互联网执行,那些负责人需要开发一种方法以确保诈骗犯和其他网络罪犯无法滥用这些安全商标。

彼得森和其他BIMI支持者承认,这并不是完美的方法。他们将该新标准与基于域的邮件验证、报告和一致性(DMARC)进行了比较,DMARC可识别电子邮件发件人并确认其消息域的所有权, DMARC可帮助阻止欺诈--当黑客模拟银行或政府机构等可信发件人时,它也可阻止网络钓鱼--当黑客利用这种信任让收件人点击恶意链接或者下载武器化附件时。 

在谈到新标准时,彼得森指出“它就像是DMARC 2.0”,并指出很多制定DMARC标准的个人与公司都是Authindicators工作组的成员,而BIMI也是出自该工作组。

这个Authindicators工作组成员包括AgariComcast、谷歌、LinkedIn、微软、Oath(运营AOL和雅虎的Verizon子公司)、PayPal以及电子邮件安全提供商ReturnpathValimail

彼得森谈到新标准的试点工作时称:“所有艰苦的技术工作、文档开发,还在继续向前推进。但与此同时,必须有人真正去做这件事,看看会带来什么改变。”

他表示试点工作可帮助该工作组发现实际执行该标准可能出现的潜在问题和缺陷,“只有当你将赛车放到赛道上跑几圈,才能了解到这些。”

本周进行的试点工作将在雅虎邮件应用中运行,其中包括桌面和移动应用程序。医疗保险巨头Aetna、专业社交媒体网站LinkedIn和社交折扣提供商Groupon的商标将出现在电子邮件的发件人字段--甚至在邮件尚未打开还位于收件箱队列时。

这个位置很重要,因为这个位置属于收件人的电子邮件提供商,而不是发件人。

彼得森称,金融服务、航空和科技行业的其他大型公司也将很快宣布参与该标准。

DMARC一样,BIMI的实施将是一条漫长的道路

今年美国国土安全局要求联邦机构强制执行DMARC,但很多机构仍未执行。而在私营部门,执行也停滞不前,因为很多人抱怨这个标准太复杂而很难在大型企业部署。

彼得森谈到BIMI时称:“我们会经历这样一个过程,它很罕见-它会很普遍-它无处不在。”

DMARC相同,BIMI采用公共记录作为域名系统(DNS,即互联网的地址簿)的一部分。彼得森称:“每天数十亿人在使用域名系统,所以它用于此目的的完美的全球可扩展架构。”

他指出,商业邮件发件人一直在试图设计一种方法来使用其商标作验证电子邮件的指标。Gmail等电子邮件提供商允许用户(包括公司用户)通过Google+个人资料页面在发件人字段旁指定图片作为标识,但该图像仅对其他Gmail用户可见。

彼得森称:“这是一种定制化的方式。”BIMI则是在互联网层面,任何域名持有者以及任何电子邮件提供商都可以使用它。

挑战:如何验证商标

目前BIMI欠缺的是没有验证有权使用商标的邮件发件人的机制。

发件人的域名以及从其域名发送邮件的权利是通过DMARC公共记录进行验证,而公共BIMI记录会指向商标可用的互联网地址,这样收件人的邮件提供商可以将已验证的商标副本放在发件人字段旁边。

但如何阻止诈骗犯建立合法域名(例如aetnar.com)并从该域名发邮件,然后使用Aetna标识来欺骗消费者呢?

彼得森称:“这里会有标识验证机构,这些机构将收取费用验证你拥有域名以及商标,否则网络罪犯很可能成为第一批采用BIMI的人。”

但他承认电子邮件和其他在线服务提供商不希望充当这样的角色。

互联网服务提供商不想要这种验证权利,谷歌也不适合站在这个位置说‘你不能使用该标识’,他们不想要去决定谁能够展示什么商标。

彼得森表示,BIMI标准制定者预计,至少在未来几年内才会出现在线证书颁发机构目前仅为安全网站提供加密证书。

我们已经在CA/Browser论坛谈到这一点,”他指的是致力于证书认证标准的组织,“BIMI标准的很多设计都是基于他们的反馈意见。”

与此同时,上述试点项目将是基于参与者之间已有的信任关系,他称:“我们与试点项目的所有参与者都有长期合作关系。”

未来愿景:多平台商标验证

BIMI标准仍在指定中,它可用于各种形式的消息传递,例如社交媒体或互联网电话。

彼得森指出:“目前它的开发中还没有明确的协议,它可能可用于其他消息传递形式,例如,我在打电话时,可能会在电话号码旁边看到认证商标。” 

最终我们可能可以类似方式验证FacebookTwitter上的消息。

他补充说:“对于提高邮件可信度,这将是一次巨大的飞跃,但同时,这并不是万能解决方案。你可以建造世界上最安全的汽车,但如果你不安装安全带,那也无法得到保护。也就是说,消费者仍将受到攻击,没有任何技术可完全阻止攻击。“

本文翻译自CyberScoop

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。