Trusted Sender Score - Metrics & Methodology

¿Qué métricas tiene el algoritmo Trusted Sender Score?

Las Trusted Sender Score Metrics son varias entradas basadas en la configuración del correo electrónico, registros del servidor de nombres de dominio (DNS) y otros elementos de seguridad como SSL / TLS. Se hacen ciertas suposiciones:

1.) Las entradas DNS están en el control o bajo la instrucción del propietario del dominio.
2.) Las mejores prácticas de envío de correo electrónico del M3AAWG continúan siendo utilizadas como referencia por los proveedores de servicios de correo web y de correo electrónico.
3.) La conformidad con la DMARC basada en RFC 7489 como se define en el algoritmo publicado en Github por el fundador de Zulu Labs David Barnes, que se aplica en otras aplicaciones como MX Toolbox es aceptada por los usuarios de la Trusted Sender Score.
4.) Hasta que no se demuestre lo contrario, el spoofing de dominios autentificados por DMARC sólo puede hacerse, sin embargo la autenticación de doble comprobación es segura.

Puedes ver la línea de tiempo que se utilizó para la investigación y producción de Trusted Sender Score aquí. Esencialmente cuando un cambio significativo en la autenticación del correo electrónico empezaba a ser exigido por Gmail, Yahoo, AOL y Hotmail para los proveedores de servicios de correo electrónico, desencadenó una serie de eventos que nos han llevado a una puntuación que representa la fiabilidad de un dominio con respecto al correo electrónico.

Dado que más del 90% de los usuarios de correo electrónico están protegidos por la autenticación Anti-SPOOF, no hay razón para que nadie sufra una estafa por correo electrónico, un engaño por correo electrónico o cualquier crimen que utilice el correo electrónico de manera fraudulenta. Si los propietarios de los dominios implementaran los pasos gratuitos para asegurar sus dominios tendríamos casi ningún SPAM y ataques de correo electrónico insignificantes.

El algoritmo Trusted Sender Score está compuesto por 14 métricas basadas en condiciones. Estas métricas son la base de lo que los proveedores de correo web han estado incluyendo en sus bucles de retroalimentación durante muchos años con algunas modificaciones clave.

Las métricas incluyen:

cumplimiento de DMARC (hay dos variables clave, una política de rechazo o de cuarentena, el algoritmo libre que hemos construido (se puede encontrar aquí)
El segundo componente de la ecuación se basa en el dominio utilizando únicamente implementaciones DMARC de doble control. Esto significa que es imposible DESPLAZAR el dominio. Hemos hecho una copia de la DMARC y nuestro CEO publicó este blog en SourceForge. Este primer chequeo y parte del segundo chequeo se puede hacer usando búsquedas de DNS y luego desde allí chequeamos ciertas entradas contra plataformas de correo electrónico conocidas que no permiten el doble chequeo y así el resultado es cero.
Otros chequeos usando las búsquedas del registro Whois, importante para poder verificar la dirección física de los propietarios de los dominios, DNSSEC también es importante.
Publicar una política Anti-SPOOF es vital ya que esto ayuda a cualquier usuario de correo electrónico a verificar qué dominios están siendo usados y cómo, etc. Tenemos un ejemplo en el pie de esta página.
Encima de todo esto también buscamos formularios de suscripción de correo electrónico que no sean sólo correos electrónicos y que pidan alguna información relevante, SSL y finalmente la retroalimentación del usuario.

Todo esto se combina, a veces con una ponderación aplicada, dependiendo de los resultados, etc. para dar a los usuarios de correo electrónico, a los propietarios de dominios y a cualquiera que esté interesado en una puntuación simple que es altamente compleja en su ingeniería.

Incluso hemos proporcionado a los propietarios de dominios sus propias herramientas para gestionar este proceso, la mayoría de ellas gratuitas, por lo que no hay excusa para no protegernos de las estafas por correo electrónico etc

¿Estamos abiertos a comentarios y sugerencias?

Es cierto, por favor, no dude en enviarnos sus comentarios o sugerencias relacionadas con cualquier aspecto de la aplicación. En particular, siempre estamos buscando sugerencias sobre dónde y cómo le gustaría usar la puntuación del dominio y cómo podríamos hacer sus vidas más fáciles y seguras en línea y fuera de ella en algunos casos.

¿Es probable que cambien las métricas o el algoritmo del Trusted Sender Score?

Absolutamente, a medida que los estándares se desarrollen o mejoren, necesitaremos proporcional la ponderación a las métricas actuales, así como introducir o incluso eliminar las métricas a medida que se desarrolle Internet y el correo electrónico. Por ejemplo, en el año 2020 se está introduciendo gradualmente el HSTS y vemos que es necesario supervisar y mejorar el algoritmo.

Nos comprometemos a que todos los cambios se apliquen en todos los dominios de manera uniforme.

¿Se ven los Trusted Sender Scores en tiempo real o se almacenan en caché?

Los Trusted Sender Scores no se compilan en tiempo real. Para manejar el gran volumen de dominios y los servicios de recursos intensivos que completamos, compilamos las métricas necesarias y realizamos algunos pre-cálculos una vez al día. Intentamos actualizar las puntuaciones dos veces al mes, lo cual es más que suficiente considerando que los tiempos de los proyectos para la mayoría de los dominios establecidos tardan más de 4 semanas.

Para los dominios que aún no están en la base de datos proporcionamos una puntuación indicativa, que es bastante precisa, sin embargo la puntuación final se publicará en cuestión de horas y a veces hasta 3 días después de la búsqueda inicial.