<div dir="ltr">The cases we mostly see in Gmail are<div><br><div><span style="font-family:arial,sans-serif;font-size:12.727272033691406px">From: "</span>Legitimate Brand<span style="font-family:arial,sans-serif;font-size:12.727272033691406px">" <</span><a href="mailto:attacker@spoofer.com" style="font-family:arial,sans-serif;font-size:12.727272033691406px">attacker@spoofer.com</a><span style="font-family:arial,sans-serif;font-size:12.727272033691406px">> </span><br>
</div></div><div><span style="font-family:arial,sans-serif;font-size:12.727272033691406px"><br></span></div><div style><span style="font-family:arial,sans-serif;font-size:12.727272033691406px">or even worse:</span></div><div style>
<span style="font-family:arial,sans-serif;font-size:12.727272033691406px"><br></span></div><div style><span style="font-size:12.727272033691406px;font-family:arial,sans-serif">From: "</span>Legitimate Brand<span style="font-size:12.727272033691406px;font-family:arial,sans-serif">" <support</span><a href="mailto:attacker@spoofer.com" style="font-size:12.727272033691406px;font-family:arial,sans-serif">@looks-like-legitimate-brand.com</a><span style="font-size:12.727272033691406px;font-family:arial,sans-serif">> </span><span style="font-family:arial,sans-serif;font-size:12.727272033691406px"><br>
</span></div><div style><span style="font-size:12.727272033691406px;font-family:arial,sans-serif"><br></span></div><div style><span style="font-size:12.727272033691406px;font-family:arial,sans-serif">It is very hard to distinguish automatically and we have tons of rules to filter out these cases.</span></div>
<div style>If we could have analog of DKIM, but not per domain, but per-brand instead.... And next if the message is signed with brand signature we could surface this in UI adding some Brand logo at the top of the message.</div>
<div style><br></div><div style>Olga</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Mar 27, 2013 at 12:22 PM, J. Trent Adams <span dir="ltr"><<a href="mailto:jtrentadams@gmail.com" target="_blank">jtrentadams@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
Dave -<br>
<br>
On 3/27/13 1:17 PM, Dave Crocker wrote:<br>
<div class="im">><br>
> On 3/27/2013 11:18 AM, Michael Adkins wrote:<br>
>> I would rather work on a broader solution than just addresses in the<br>
>> display name.<br>
>><br>
>> Monica suggested something a while back that I think has potential.<br>
>> Basically, don't show the display name unless the From: address is in<br>
>> the<br>
>> user's address book.  Prior to DMARC, this wouldn't have been as<br>
>> valuable,<br>
>> but now that we can prevent phishers from using the exact addresses that<br>
>> we legitimately use this becomes a pretty good option to explore.<br>
><br>
</div>> There are several lines of concern and protection that might be<br>
> considered.<br>
><br>
> The address book heuristic sounds promising, but will cause problems<br>
> for messages from known-but-compromised accounts, for example.  This<br>
> just makes "compromised friends" an even more attractive attack vector.<br>
><br>
> Another hack that occurs to me is to define a dmarc-ish enhancement<br>
> that says "our address will never show up in the display name".  When<br>
> an email address is in the display name, do a dmarc-ish lookup on it<br>
> and check for this policy...<br>
<br>
Oooo... now that's clever!  If it'd be possible to add a flag along<br>
these lines into the DMARC record we're not asking anyone to an<br>
additional lookup, plus it's a sender-side directive vs a global edict.<br>
<br>
Nifty,<br>
Trent<br>
<br>
><br>
> d/<br>
<div class="HOEnZb"><div class="h5"><br>
--<br>
J. Trent Adams<br>
<br>
Profile: <a href="http://www.mediaslate.org/jtrentadams/" target="_blank">http://www.mediaslate.org/jtrentadams/</a><br>
LinkedIN: <a href="http://www.linkedin.com/in/jtrentadams" target="_blank">http://www.linkedin.com/in/jtrentadams</a><br>
Twitter: <a href="http://twitter.com/jtrentadams" target="_blank">http://twitter.com/jtrentadams</a><br>
<br>
_______________________________________________<br>
display-names mailing list<br>
<a href="mailto:display-names@trusteddomain.org">display-names@trusteddomain.org</a><br>
<a href="http://www.trusteddomain.org/mailman/listinfo/display-names" target="_blank">http://www.trusteddomain.org/mailman/listinfo/display-names</a><br>
</div></div></blockquote></div><br></div>