Site icon Mailtrap

Spiegazione del DMARC

This is a cover image for the article DMARC explained which covers the details of the email authentication protocol.

Nel 2012, gli ingegneri di Microsoft, PayPal, Yahoo! e Google si sono incontrati per discutere di come rendere l’autenticazione delle e-mail ancora più a prova di bomba. Poco dopo, hanno rilasciato il DMARC al mondo.

Qual è lo scopo del DMARC, come si presenta e come funziona, e molte altre domande relative al famoso protocollo di autenticazione trovano risposta nel testo che segue. Continuate a leggere!

Che cos’è il DMARC?

Inizieremo questo articolo con la domanda presente nella mente della maggior parte dei lettori: “Che cosa significa DMARC?”. La risposta è: Domain-based Message Authentication, Reporting & Conformance.

Il DMARC non solo ha il nome più complicato dei tre principali protocolli di autenticazione delle e-mail, ma è anche il più efficace. È facile capire perché. 

Il DMARC sfrutta i controlli DKIM (DomainKeys Identified Mail) e/o SPF (Sender Policy Framework) per eseguire una convalida più avanzata su ogni messaggio e-mail ricevuto.

L’autenticazione DKIM utilizza le firme DKIM per verificare l’integrità del contenuto di un’e-mail e la sua origine. L’SPF, invece, consente al proprietario di un dominio di autorizzare gli indirizzi IP a inviare e-mail con il nome del dominio ed è utilizzato da provider di servizi Internet come Gmail, Yahoo, ecc.

Con l’autenticazione DMARC, il proprietario di un dominio può specificare la propria procedura di autenticazione, nota anche come criterio DMARC. Utilizzando tale criterio, si istruisce un server in entrata su cosa fare se un’e-mail non supera il test DMARC. 

Infine, il criterio può anche fornire rapporti con i dettagli di ogni controllo per migliorare i processi e fornire un avviso immediato se qualcuno fa spoofing del dominio.

Come funziona il DMARC?

La chiave per comprendere il DMARC e il suo funzionamento è sapere che è necessario impostare un record SPF o un record DKIM o, meglio, entrambi. 

Quando si riceve un’e-mail, il server ricevente esegue una ricerca DNS (Domain Name System) e controlla se esiste un record DMARC. 

DKIM/SPF viene eseguito come di consueto. 

Il server ricevente esegue quindi un cosiddetto “test di allineamento DMARC” per verificare se:

Naturalmente, se sono impostate entrambe le autenticazioni, vengono eseguiti entrambi i test di allineamento. 

I requisiti di allineamento possono essere “rigidi” (i domini devono corrispondere esattamente) o “rilassati” (i domini di base devono corrispondere, ma sono ammessi sottodomini diversi). 

Il DMARC avrà successo nei seguenti scenari:

Si noti che il DMARC avrà comunque successo anche se, ad esempio, DKIM e l’allineamento DKIM falliscono, ma SPF e il suo allineamento hanno successo (o viceversa).

Supponiamo che un’e-mail non abbia superato la verifica DMARC per qualsiasi motivo. 

Il DMARC consente di indicare al server in entrata cosa deve accadere alle e-mail che non riescono ad essere autenticate. 

Sono disponibili tre opzioni (denominate “politiche”):

Questi criteri possono anche essere personalizzati. Ad esempio, con un criterio di “quarantena”, si può dire al server di posta elettronica di inviare alla cartella spam solo il 10% delle e-mail con un controllo non riuscito e di ignorare (“nessuno”) il restante 90%. 

Si noti che il fatto che si dia al server un’istruzione su cosa fare non significa che seguirà completamente il consiglio. Tuttavia, in questo modo si ha un controllo maggiore rispetto alle autenticazioni DKIM e SPF.

Infine, un server ricevente invierà rapporti per ogni verifica DMARC fallita con dati aggregati sulle verifiche non andate a buon fine. Questi dati sono preziosi per analizzare le prestazioni dei messaggi e per tenervi informati in caso di truffe di phishing.

Perché utilizzare il DMARC?

Lo abbiamo detto più volte, ma vale la pena ripeterlo: DMARC è il modo più efficace per proteggersi dallo spoofing. Punto. 

Secondo le stime dell’ HMRC, il numero di e-mail di phishing inviate dal loro dominio è diminuito di 500 milioni in appena 1,5 anni dopo l’implementazione del DMARC. 

Senza elencare altri vantaggi del DMARC, questo dovrebbe essere un motivo sufficiente per aggiungere l’implementazione del DMARC al vostro prossimo sprint. 

Ma se avete bisogno di qualcosa di più, ci sono due vantaggi principali del DMARC da considerare:

In cosa consiste un record DMARC?

Avete le basi? Perfetto! Ora analizziamo un record DMARC. 

Invece di affidarci a dati fittizi, useremo il record di Square, un unicorno fornitore di servizi finanziari per le piccole imprese. Molti criminali informatici probabilmente sognano di fare lo spoofing delle loro e-mail, quindi non sorprende che abbiano scelto di proteggersi con il DMARC.

È possibile accedere al record di Square a questo link, che conduce a un sito che mostra i record DMARC per qualsiasi dominio, a condizione, ovviamente, che sia stato configurato.

v=DMARC1; p=reject; rua=mailto:dmarc-rua@square.com,mailto:dmarc_agg@vali.email,mailto:postmasters@squareup.com; ruf=mailto:dmarc-ruf@squareup.com

Esaminiamo uno per uno i parametri DMARC del record di cui sopra.

v=DMARC1

Questo è l’identificatore (una versione DMARC) che deve essere sempre incluso nel record DNS, poiché il server di posta ricevente lo cerca sempre. Se v=DMARC1 manca o è modificato in qualche modo, l’intera verifica verrà saltata.

p=reject

Questo è il criterio scelto da Square, che rifiuta tutte le e-mail che non superano il controllo DMARC. Naturalmente, potrebbero essere consegnate, ma verrà inviato un segnale forte al server ricevente per non consentire tali messaggi.

rua=mailto:dmarc-rua@square.com,mailto:dmarc_agg@vali.email,mailto:postmasters@squareup.com

Questi tre indirizzi riceveranno quotidianamente rapporti aggregati sulle e-mail che non hanno superato la verifica. I rapporti conterranno dati di alto livello sui motivi dei fallimenti, senza fornire alcun dettaglio per ciascuno di essi. Tutti gli indirizzi aggiunti qui devono essere preceduti da “mailto:” come nell’esempio precedente.

ruf=mailto:dmarc-ruf@squareup.com

Si tratta di un indirizzo e-mail al quale verranno inviati in tempo reale i singoli rapporti (ovvero i rapporti sui guasti), compresi i dettagli di ciascun guasto.

Altri record DMARC di esempio

Nell’esempio del record Square DMARC, abbiamo mostrato un record con un criterio di “rifiuto”. Per coprire le altre due varianti di criterio, utilizzeremo ora alcuni dati fittizi a scopo puramente dimostrativo.

Record DMARC con criterio “nessuno”:

v=DMARC1; p=none; rua=mailto:dmarcreports@example.com; ruf=mailto:dmarcfailures@example.com;

Spiegazione:

Record DMARC con criterio “quarantena”:

v=DMARC1; p=quarantine; rua=mailto:dmarcreports@example.com; ruf=mailto:dmarcfailures@example.com;

Spiegazione:

Alcuni tag DMARC opzionali per la personalizzazione

Come di solito accade, ci sono anche diversi campi opzionali che possono essere aggiunti a un record DMARC per personalizzarlo un po’.

TagSignificato

pct
Impostare la percentuale di email non riuscite a cui applicare il criterio impostato. Il valore deve essere un numero compreso tra 1 e 100.

sp
Impostare un criterio specifico per le e-mail inviate dai sottodomini. Ad esempio, si può scegliere di ignorare le e-mail fallite inviate dal dominio principale (p=none), ma di mettere in quarantena quelle inviate dai sottodomini.

adkim
È possibile scegliere l’approccio sopra menzionato per quanto riguarda il rigore del DMARC nel confrontare il dominio del mittente con il tag “d” del DKIM. Come già detto, le opzioni possibili sono “strict” e “relaxed”. Per impostazione predefinita, l’approccio è “relaxed”.

aspf
La stessa scelta di quella precedente, solo per l’allineamento SPF. Si decide se l’SPF deve puntare a una perfetta corrispondenza tra il dominio “envelope from” e l’indirizzo “return path” o se devono essere consentiti anche i sottodomini del dominio “inviato da”. Inoltre, si può scegliere se essere ” strict ” o “relaxed”.

ri
Imposta l’intervallo di tempo in cui si desidera ricevere i rapporti aggregati con i risultati dell’autenticazione (tag “rua”). Il valore è espresso in secondi e, per impostazione predefinita, è 86400 (ogni 24 ore).

fo
Impostazioni per i rapporti forensi (tag “ruf”). È possibile scegliere di inviare il rapporto se: “0” – tutti i controlli sottostanti non restituiscono un risultato DMARC positivo; “1” – qualsiasi meccanismo fallisce; “d” – DKIM non è stato verificato; “s” – SPF non è stato verificato. Per impostazione predefinita, è “0”.

Come implementare i record DMARC

L’intero processo di implementazione del DMARC si riduce alle seguenti fasi:

Verificare che DKIM e/o SPF siano impostati correttamente.

Come già detto, la presenza di DKIM o SPF è obbligatoria per il funzionamento del DMARC. Ma anche se uno dei due restituisce risultati negativi per le e-mail legittime non serve a nulla. Il test DMARC fallisce automaticamente se SPF o DKIM falliscono.

Se è stato impostato solo l’SPF, verificare se i due seguenti elementi corrispondono:

Se ci si affida solo a DKIM, verificare se i due seguenti elementi corrispondono:

Se utilizzate entrambi i metodi (e giustamente!), eseguite ovviamente entrambi i controlli. 

Scegliere un account e-mail per la ricezione dei record DKIM

L’aspetto positivo del DMARC è che, una volta impostato, il server inizia a inviare rapporti giornalieri sull’andamento delle e-mail (rapporti aggregati e forensi separati). In questo modo, è possibile individuare rapidamente eventuali anomalie e migliorare le prestazioni utilizzando i dati. 

Tenete presente che i rapporti vengono inviati in un formato grezzo e di difficile lettura, per cui si consiglia di utilizzare strumenti come Dmarcian o MXToolbox per ottenere il massimo dai dati. 

Generare il record DMARC

E ora, generiamo finalmente un record DMARC.

Dmarc.org raccomanda una serie di risorse per questo compito. Inoltre, ci sono diversi tag già menzionati che è necessario utilizzare nel record e alcuni opzionali. 

Si noti che il tag “p” (“policy”) rappresenterà direttamente il passo precedente.

Aggiungere il record DMARC al DNS del vostro dominio

Una volta ottenuto il record, si può procedere ad aggiungerlo come record DNS. Potreste essere in grado di farlo da soli o, in alcuni casi, potrebbe essere necessario l’aiuto del vostro provider di hosting. 

Nel registrar del dominio, è necessario aggiungere il DMARC appena creato come record TXT. Non ci addentreremo nei dettagli in questa sede, poiché il processo varia a seconda del provider di hosting, ma è essenziale scegliere provider di web hosting affidabili per un’assistenza eccellente.

Se avete fatto tutto correttamente, dovreste ricevere i primi rapporti entro le prossime 24 ore.

Tre grandi miti DMARC sfatati

Il DMARC è impostato solo per motivi di sicurezza

Parzialmente vero. Il DMARC mira effettivamente a prevenire gli attacchi di spoofing e phishing via e-mail. Tuttavia, il DMARC non si limita a questo. 

I criteri di applicazione del DMARC e le funzionalità avanzate di reporting migliorano significativamente la consegna della posta legittima. Contribuiscono a creare e migliorare la fiducia nel marchio e l’analisi. Pertanto, il DMARC può dare un notevole impulso a qualsiasi campagna di marketing.

Il DMARC è solo per i domini che inviano posta.

Non è vero. Il fatto che il vostro dominio non invii e-mail non significa che non possa essere impersonato. Anzi, più il vostro marchio, la vostra azienda, la vostra organizzazione o la vostra personalità sono famosi, più alte sono le possibilità che qualche spammer voglia impersonare il vostro dominio e utilizzarlo per attività dannose come l’invio di e-mail fraudolente, siano esse di marketing o transazionali. 

I destinatari di e-mail dannose inviate dal “vostro” marchio molto probabilmente non saranno in grado di identificare che il vostro dominio non è configurato per l’invio di posta. Di conseguenza, dovrete affrontare molte conseguenze spiacevoli per la vostra reputazione e credibilità.

L’impostazione del criterio DMARC su “nessuno” è sufficiente per la sicurezza delle email

Sbagliato. Impostare il criterio DMARC su “nessuno” è di solito il primo passo per assicurarsi che la segnalazione e la consegna DMARC siano impostate correttamente, ma non migliora la sicurezza né aiuta a proteggere il dominio dall’impersonificazione. Alla fine, per sfruttare al meglio la sicurezza del DMARC e il miglioramento del marketing, dovrete utilizzare la politica di (almeno) p=quarantine o (meglio di tutti) p=reject a un tasso di pct=100. 

Inoltre, nel caso in cui decidiate di stare al passo con i tempi e di adottare il BIMI come ultima strategia di autenticazione del marchio, il vostro record DMARC dovrà essere impostato sulla politica “reject” per essere qualificato per la certificazione BIMI.

Riflessioni finali

La sicurezza delle e-mail non deve mai essere sottovalutata. Più grande è la vostra azienda, più avete da perdere se qualcuno fa uno spoofing del vostro dominio e inganna i vostri clienti con qualcosa che probabilmente non approvereste. 

Data la facilità con cui è possibile aggiungere ogni metodo di autenticazione e i vantaggi che si ottengono impostandoli correttamente, non c’è motivo di non provare.

L’aspetto assolutamente interessante del DMARC è che si può iniziare con un criterio “nessuno” e osservare cosa succede. In pratica, questo significa che le vostre e-mail saranno sottoposte ai controlli del caso sul lato ricevente, ma che se dovessero fallire, non influiranno sulla vostra deliverability. 

Inoltre, riceverete tonnellate di dati attraverso i rapporti DMARC che riguardano i problemi di autenticazione. In questo modo, potrete identificare rapidamente se qualcuno sta cercando di falsificare il vostro dominio e potenzialmente chiedere ai destinatari di fornire informazioni sensibili o se il problema risiede nella vostra azienda, in modo da poter effettuare una corretta risoluzione dei problemi.

Exit mobile version