In questo post, ti diremo tutto ciò che devi sapere su come sfruttare DMARC per proteggere la tua reputazione email e ti daremo consigli su come configurarlo per i tuoi domini.
Uno Strumento Efficace per Combattere la Posta Fraudolenta
Spesso menzionato insieme ai protocolli di autenticazione delle email SPF e DKIM, DMARC, o Autenticazione dei Messaggi, Rapporti e Conformità Basata su Dominio, non è in sé un protocollo di autenticazione. Invece, lo scopo di DMARC è permettere a noi, i proprietari del dominio, di proteggere la nostra reputazione email mediante:
Annunciare le pratiche di autenticazione delle email,
Richiedere il trattamento per le email che non superano i controlli di autenticazione, e
Richiedere rapporti sulle email che dichiarano di provenire dal suo dominio.
DMARC può essere uno strumento efficace per utilizzare nella nostra lotta contro le email fraudolente che prendono di mira il nostro nome di dominio (ad esempio, phishing e spoofing), e che possono promuovere una maggiore fiducia tra i nostri destinatari per le nostre email. Per le organizzazioni che richiedono la crittografia end-to-end oltre all'autenticazione, implementare S/MIME con metodi efficienti di raccolta delle chiavi pubbliche dei destinatari fornisce ulteriori livelli di sicurezza. Questa maggiore fiducia dovrebbe, a sua volta, portare a un maggiore coinvolgimento con le nostre email, e le email aperte e che generano clic guidano le vendite e un ROI più elevato per le nostre campagne email.
Oltre a proteggere il nostro dominio, prevediamo che implementare DMARC ora sarà un ottimo modo per "rendere il nostro dominio a prova di futuro". Qui a Bird, crediamo che con il passaggio dell'industria a IPv6, sia quasi certo che si passi da un modello di reputazione basato su IP a un modello di reputazione basato su dominio. La reputazione basata su dominio richiederà l'autenticazione basata su dominio, e DMARC, in concerto con DKIM e SPF, aiuterà i domini a stabilire una reputazione basata su dominio molto prima che possa diventare assolutamente necessaria.
In questo post, ti diremo tutto ciò che devi sapere su come sfruttare DMARC per proteggere la tua reputazione email e ti daremo suggerimenti su come configurarlo per i tuoi domini.
Terms to Know
Come funziona DMARC per proteggere la tua reputazione email
Quando parliamo di un provider di caselle postali o di un altro dominio che "controlla DMARC", o "convalida DMARC", o "applica la politica DMARC", ciò che intendiamo è che il dominio che riceve un messaggio sta eseguendo i seguenti passaggi:
Determina il dominio RFC5322.From del messaggio
Controlla la politica DMARC di quel dominio nel DNS
Esegui la convalida della firma DKIM
Esegui la convalida SPF
Controlla l'allineamento del dominio
Applica la politica DMARC
Affinché un messaggio superi la convalida DMARC, il messaggio deve superare solo uno dei due controlli di autenticazione e allineamento. Quindi, un messaggio supererà la convalida DMARC se una delle seguenti condizioni è vera:
Il messaggio supera i controlli SPF e il dominio RFC5322.From e il dominio Return-Path sono allineati, oppure
Il messaggio supera la convalida DKIM e il dominio RFC5322.From e il dominio DKIM d= sono allineati, oppure
Entrambe le condizioni sopra sono vere
Rendere DMARC efficace per il tuo dominio
Ora che abbiamo spiegato la meccanica di DMARC, parliamo di come fare in modo che DMARC lavori per noi, che coinvolge i seguenti tre passaggi:
Prepararsi per ricevere i rapporti DMARC
Decidere quale politica DMARC utilizzare per il tuo dominio
Pubblicare il tuo record DMARC
Copriamo ciascuno di questi in dettaglio di seguito, ma ti diciamo subito che il passaggio 1 sopra consumerà circa il 95% del tuo tempo di preparazione.
Preparazione per Ricevere i Rapporti DMARC
Qualsiasi dominio che pubblica una politica DMARC dovrebbe innanzitutto prepararsi a ricevere rapporti riguardanti il suo dominio. Questi rapporti saranno generati da qualsiasi dominio che effettua la validazione DMARC e vede mail che affermano di provenire dal nostro dominio, e ci saranno inviati almeno su base giornaliera. I rapporti verranno in due formati:
Rapporti aggregati, che sono documenti XML che mostrano dati statistici di quante email sono state viste dal reporter da ogni fonte, quali erano i risultati dell'autenticazione e come i messaggi sono stati trattati dal reporter. I rapporti aggregati sono progettati per essere analizzati dalle macchine, con i loro dati memorizzati da qualche parte per consentire l'analisi complessiva del traffico, la verifica dei flussi di messaggi del nostro dominio e forse l'identificazione di tendenze nelle fonti di email non autenticate, potenzialmente fraudolente.
Rapporti forensi, che sono copie individuali di messaggi che hanno fallito l'autenticazione, ciascuna racchiusa in un messaggio email completo utilizzando un formato chiamato AFRF. I rapporti forensi dovrebbero contenere intestazioni complete e corpi dei messaggi, ma molti reporter eliminano o redigono alcune informazioni per motivi di privacy. Tuttavia, il rapporto forense può comunque essere utile sia per risolvere i problemi di autenticazione del nostro dominio sia per identificare, dagli URI nei corpi dei messaggi, domini e siti web dannosi utilizzati per frodare i clienti del proprietario del nostro dominio.
La preparazione per ricevere questi rapporti comporta innanzitutto la creazione di due caselle di posta nel nostro dominio per gestire questi rapporti, come agg_reports@ourdomain.com e afrf_reports@ourdomain.com. Si noti che questi nomi di casella di posta sono completamente arbitrari, e non ci sono requisiti per la denominazione della parte locale della casella di posta; siamo liberi di scegliere qualsiasi nome desideriamo, ma mantenere le due separate per una più facile elaborazione.
Una volta selezionati e creati i nomi delle caselle di posta nel nostro dominio, la prossima cosa da fare è mettere in atto strumenti per leggere queste caselle di posta e utilizzare i dati, specialmente i rapporti di dati aggregati, che sono di nuovo progettati per essere analizzati dalle macchine, piuttosto che letti da un umano. I rapporti forensi, d'altra parte, potrebbero essere gestibili semplicemente leggendo noi stessi, ma la nostra capacità di farlo dipenderà sia dalla comprensione da parte del nostro client di posta di come visualizzare i messaggi nel formato AFRF, sia dal volume di rapporti che riceviamo.
Sebbene sia possibile per noi scrivere i nostri strumenti per elaborare i rapporti DMARC, fino a quando Bird non fornirà tali servizi per i clienti di bird.com (una cosa che stiamo considerando, ma non promettiamo ancora), raccomandiamo di utilizzare strumenti già disponibili per il compito.
Quale politica DMARC utilizzare
La specifica DMARC fornisce tre opzioni per i proprietari di domini per specificare il trattamento preferito della posta che non supera i controlli di validazione DMARC. Sono:
none, che significa trattare la posta nello stesso modo in cui verrebbe trattata indipendentemente dai controlli di validazione DMARC
quarantine, che significa accettare la posta ma posizionarla in un luogo diverso rispetto alla Inbox del destinatario (tipicamente la cartella spam)
reject, che significa rifiutare completamente il messaggio
È importante tenere a mente che il proprietario del dominio può solo richiedere tale trattamento nel suo record DMARC; spetta al destinatario del messaggio decidere se onorare o meno la policy richiesta. Alcuni lo faranno, mentre altri potrebbero essere un po' più indulgenti nell'applicare la policy, come ad esempio mettere nella cartella spam la posta quando la policy del dominio è reject.
Consigliamo a tutti i nostri clienti di avviare con una policy di none, semplicemente per essere sicuri. Sebbene siamo fiduciosi nella nostra capacità di autenticare correttamente la vostra posta attraverso la firma DKIM, è comunque meglio prendersi del tempo per esaminare i rapporti sul vostro dominio prima di diventare più aggressivi con la vostra policy DMARC.
Pubblicazione della Your DMARC Policy
La politica DMARC di un dominio viene annunciata pubblicando un record DNS TXT in un luogo specifico nello spazio dei nomi DNS, ovvero “_dmarc.domainname.tld” (nota il trattino basso iniziale). Un record di politica DMARC di base per il nostro dominio di esempio precedente, joesbaitshop.com, potrebbe sembrare qualcosa del genere:
Scomponendo questo record, abbiamo:
v=DMARC1 specifica la versione DMARC (1 è l'unica scelta attualmente)
p=none specifica il trattamento preferito, o politica DMARC
rua=mailto:agg_reports@joesbait.com è la casella di posta a cui devono essere inviati i rapporti aggregati
ruf=mailto:afrf_reports@joesbait.com è la casella di posta a cui devono essere inviati i rapporti forensi
pct=100 è la percentuale di posta a cui il proprietario del dominio desidera che venga applicata la sua politica. I domini che iniziano da DMARC, specialmente quelli che probabilmente genereranno un alto volume di rapporti, potrebbero voler iniziare con un numero molto più basso qui per vedere come i loro processi di gestione dei rapporti resistono al carico.
Ci sono altre opzioni di configurazione disponibili per un proprietario di dominio da utilizzare nel record della politica DMARC, ma i suggerimenti che abbiamo fornito dovrebbero essere un buon inizio.
Riepilogo
C'è molto da approfondire nelle informazioni sopra! Speriamo che trovi utile il come-creare un record di policy DMARC. Speriamo anche che la nostra spiegazione del perché DMARC è importante aiuti a chiarire perché dovresti iniziare a usare questo strumento fondamentale per proteggere la tua reputazione email.
Ovviamente, questo non è un documento completo o autorevole sull'argomento. Se desideri approfondire ulteriormente o desideri più aiuto, un ottimo punto di partenza è il FAQ ufficiale DMARC. E, inutile dirlo, il team di supporto Bird è pronto ad aiutarti a configurare il tuo account Bird per DMARC.
Grazie per aver letto—e inizia a proteggere i tuoi domini con DMARC oggi stesso!
