Reach

Grow

Manage

Automate

Reach

Grow

Manage

Automate

DMARC: Come proteggere la tua reputazione email

Email

1 min read

DMARC: Come proteggere la tua reputazione email

Email

1 min read

DMARC: Come proteggere la tua reputazione email

In questo post, ti diremo tutto ciò che devi sapere su come sfruttare DMARC per proteggere la tua reputazione email e ti daremo consigli su come configurarlo per i tuoi domini.

Uno Strumento Efficace per Combattere la Posta Fraudolenta

Spesso menzionato insieme ai protocolli di autenticazione email SPF e DKIM, DMARC, o Domain-based Message Authentication, Reporting, and Conformance, non è di per sé un protocollo di autenticazione. Invece, lo scopo di DMARC è permettere a noi, i proprietari del dominio, di proteggere la nostra reputazione email attraverso:

  • Annunciare le pratiche di autenticazione email,

  • Richiedere un trattamento per le email che non superano i controlli di autenticazione, e

  • Richiedere report su email che dichiarano di provenire dal suo dominio.


DMARC può essere uno strumento efficace per noi per contrastare le email fraudolente che prendono di mira il nostro nome di dominio (ad esempio, phishing e spoofing), e che può promuovere una maggiore fiducia tra i nostri destinatari per la nostra posta. Questa maggiore fiducia dovrebbe, a sua volta, portare a un maggiore coinvolgimento con la nostra posta, e la posta che viene aperta e genera clic aumenta le vendite e un ROI più alto per le nostre campagne email.

Oltre a proteggere il nostro dominio, prevediamo che implementare DMARC ora sarà un modo eccellente per “preparare il nostro dominio al futuro”. Qui a Bird, crediamo che man mano che l'industria si muove verso IPv6, sia quasi certo che si passerà da un modello di reputazione basato su IP a un modello di reputazione basato sul dominio. La reputazione basata sul dominio richiederà l'autenticazione basata sul dominio, e DMARC, insieme a DKIM e SPF, aiuterà i domini a stabilire una reputazione basata sul dominio molto prima che possa essere assolutamente necessaria.

In questo post, ti diremo tutto ciò che devi sapere su come sfruttare DMARC per proteggere la tua reputazione email e ti daremo suggerimenti su come configurarlo per i tuoi domini.

Terms to Know

Prima di iniziare a configurare DMARC per il tuo dominio, vogliamo assicurarci che stiamo parlando la stessa lingua. Iniziamo definendo alcuni termini che useremo nel resto di questo documento.

RFC5322.From Domain

L'RFC5322.From Domain è la parte del dominio dell'indirizzo email che di solito viene vista dal destinatario della nostra email quando viene letta. Nel seguente esempio, l'RFC5322.From domain è "joesbaitshop.com"

From: Joe’s Bait and Tackle <sales@joesbaitshop.com>

DKIM d= Domain

DKIM è un protocollo di autenticazione che consente a un dominio di assumersi la responsabilità di un messaggio in modo che possa essere convalidato dal ricevente del messaggio; questo avviene attraverso l'uso di firme crittografiche inserite nelle intestazioni del messaggio mentre sta lasciando il punto di origine. Queste firme sono effettivamente delle istantanee di come appariva il messaggio in quel momento, e il ricevente può usare queste istantanee per vedere se il messaggio è arrivato invariato a destinazione. Il processo di produzione e inserimento di queste istantanee è chiamato firma DKIM, e il dominio che si assume la responsabilità del messaggio firmandolo inserisce il suo nome nell'intestazione in un tag chiave-valore come "d=signingDomain", e quindi viene chiamato il DKIM d= domain.

Return-Path Domain

Il Return-Path domain, talvolta chiamato RFC5321. From Domain o Mail From domain, è il dominio a cui vengono indirizzati i rimbalzi; è anche il dominio sul quale vengono effettuati i controlli SPF durante la transazione email. Questo dominio di solito non viene visto dal destinatario a meno che il destinatario non sia abbastanza esperto da esaminare tutte le intestazioni di un messaggio dato.

Per impostazione predefinita, tutta la posta inviata tramite bird.com avrà birdmail.com come suo Return-Path domain, come nel seguente esempio:

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

Tuttavia, per far funzionare DMARC per il tuo dominio, vorrà usufruire di un dominio di rimbalzo personalizzato, uno che terminerà con lo stesso dominio del tuo dominio di invio, ad esempio, bounces.yourdomain.com quando si usa yourdomain.com come dominion di invio.

Organizational Domain

Il termine "Organizational Domain" si riferisce al dominio che è stato sottoposto a un registrar per creare la presenza del dominio su Internet. Per Bird, i nostri domini organizzativi sono bird.com e birdmail.com.

Domain Alignment

L'ultimo termine da comprendere riguardo DMARC è "Domain Alignment", e viene in due varianti: "relaxed" e "strict".

Relaxed Domain Alignment

Due domini si dicono avere un relaxed domain alignment quando i loro Organizational Domains sono uguali. Ad esempio, a.mail.bird.com e b.foo.bird.com hanno un relaxed domain alignment grazie al loro Organizational Domain comune, bird.com.

Strict Domain Alignment

Due domini si dicono essere in strict domain alignment se e solo se sono identici. Quindi, foo.bird.com e foo.bird.com sono in strict alignment, poiché i due domini sono identici. D'altra parte, foo.bird.com e bar.foo.bird.com sono solo in relaxed alignment.

DMARC Domain Alignment Requirements

Per far sì che i controlli di convalida DMARC passino, DMARC richiede che ci sia un domain alignment come segue:

  • Per SPF, l'RFC5322.From domain e il Return-Path domain devono essere in alignment

  • Per DKIM, l'RFC5322.From domain e il DKIM d= domain devono essere in alignment

L'allineamento può essere relaxed o strict, in base alla politica pubblicata del dominio di invio.

Prima di iniziare a configurare DMARC per il tuo dominio, vogliamo assicurarci che stiamo parlando la stessa lingua. Iniziamo definendo alcuni termini che useremo nel resto di questo documento.

RFC5322.From Domain

L'RFC5322.From Domain è la parte del dominio dell'indirizzo email che di solito viene vista dal destinatario della nostra email quando viene letta. Nel seguente esempio, l'RFC5322.From domain è "joesbaitshop.com"

From: Joe’s Bait and Tackle <sales@joesbaitshop.com>

DKIM d= Domain

DKIM è un protocollo di autenticazione che consente a un dominio di assumersi la responsabilità di un messaggio in modo che possa essere convalidato dal ricevente del messaggio; questo avviene attraverso l'uso di firme crittografiche inserite nelle intestazioni del messaggio mentre sta lasciando il punto di origine. Queste firme sono effettivamente delle istantanee di come appariva il messaggio in quel momento, e il ricevente può usare queste istantanee per vedere se il messaggio è arrivato invariato a destinazione. Il processo di produzione e inserimento di queste istantanee è chiamato firma DKIM, e il dominio che si assume la responsabilità del messaggio firmandolo inserisce il suo nome nell'intestazione in un tag chiave-valore come "d=signingDomain", e quindi viene chiamato il DKIM d= domain.

Return-Path Domain

Il Return-Path domain, talvolta chiamato RFC5321. From Domain o Mail From domain, è il dominio a cui vengono indirizzati i rimbalzi; è anche il dominio sul quale vengono effettuati i controlli SPF durante la transazione email. Questo dominio di solito non viene visto dal destinatario a meno che il destinatario non sia abbastanza esperto da esaminare tutte le intestazioni di un messaggio dato.

Per impostazione predefinita, tutta la posta inviata tramite bird.com avrà birdmail.com come suo Return-Path domain, come nel seguente esempio:

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

Tuttavia, per far funzionare DMARC per il tuo dominio, vorrà usufruire di un dominio di rimbalzo personalizzato, uno che terminerà con lo stesso dominio del tuo dominio di invio, ad esempio, bounces.yourdomain.com quando si usa yourdomain.com come dominion di invio.

Organizational Domain

Il termine "Organizational Domain" si riferisce al dominio che è stato sottoposto a un registrar per creare la presenza del dominio su Internet. Per Bird, i nostri domini organizzativi sono bird.com e birdmail.com.

Domain Alignment

L'ultimo termine da comprendere riguardo DMARC è "Domain Alignment", e viene in due varianti: "relaxed" e "strict".

Relaxed Domain Alignment

Due domini si dicono avere un relaxed domain alignment quando i loro Organizational Domains sono uguali. Ad esempio, a.mail.bird.com e b.foo.bird.com hanno un relaxed domain alignment grazie al loro Organizational Domain comune, bird.com.

Strict Domain Alignment

Due domini si dicono essere in strict domain alignment se e solo se sono identici. Quindi, foo.bird.com e foo.bird.com sono in strict alignment, poiché i due domini sono identici. D'altra parte, foo.bird.com e bar.foo.bird.com sono solo in relaxed alignment.

DMARC Domain Alignment Requirements

Per far sì che i controlli di convalida DMARC passino, DMARC richiede che ci sia un domain alignment come segue:

  • Per SPF, l'RFC5322.From domain e il Return-Path domain devono essere in alignment

  • Per DKIM, l'RFC5322.From domain e il DKIM d= domain devono essere in alignment

L'allineamento può essere relaxed o strict, in base alla politica pubblicata del dominio di invio.

Prima di iniziare a configurare DMARC per il tuo dominio, vogliamo assicurarci che stiamo parlando la stessa lingua. Iniziamo definendo alcuni termini che useremo nel resto di questo documento.

RFC5322.From Domain

L'RFC5322.From Domain è la parte del dominio dell'indirizzo email che di solito viene vista dal destinatario della nostra email quando viene letta. Nel seguente esempio, l'RFC5322.From domain è "joesbaitshop.com"

From: Joe’s Bait and Tackle <sales@joesbaitshop.com>

DKIM d= Domain

DKIM è un protocollo di autenticazione che consente a un dominio di assumersi la responsabilità di un messaggio in modo che possa essere convalidato dal ricevente del messaggio; questo avviene attraverso l'uso di firme crittografiche inserite nelle intestazioni del messaggio mentre sta lasciando il punto di origine. Queste firme sono effettivamente delle istantanee di come appariva il messaggio in quel momento, e il ricevente può usare queste istantanee per vedere se il messaggio è arrivato invariato a destinazione. Il processo di produzione e inserimento di queste istantanee è chiamato firma DKIM, e il dominio che si assume la responsabilità del messaggio firmandolo inserisce il suo nome nell'intestazione in un tag chiave-valore come "d=signingDomain", e quindi viene chiamato il DKIM d= domain.

Return-Path Domain

Il Return-Path domain, talvolta chiamato RFC5321. From Domain o Mail From domain, è il dominio a cui vengono indirizzati i rimbalzi; è anche il dominio sul quale vengono effettuati i controlli SPF durante la transazione email. Questo dominio di solito non viene visto dal destinatario a meno che il destinatario non sia abbastanza esperto da esaminare tutte le intestazioni di un messaggio dato.

Per impostazione predefinita, tutta la posta inviata tramite bird.com avrà birdmail.com come suo Return-Path domain, come nel seguente esempio:

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

Tuttavia, per far funzionare DMARC per il tuo dominio, vorrà usufruire di un dominio di rimbalzo personalizzato, uno che terminerà con lo stesso dominio del tuo dominio di invio, ad esempio, bounces.yourdomain.com quando si usa yourdomain.com come dominion di invio.

Organizational Domain

Il termine "Organizational Domain" si riferisce al dominio che è stato sottoposto a un registrar per creare la presenza del dominio su Internet. Per Bird, i nostri domini organizzativi sono bird.com e birdmail.com.

Domain Alignment

L'ultimo termine da comprendere riguardo DMARC è "Domain Alignment", e viene in due varianti: "relaxed" e "strict".

Relaxed Domain Alignment

Due domini si dicono avere un relaxed domain alignment quando i loro Organizational Domains sono uguali. Ad esempio, a.mail.bird.com e b.foo.bird.com hanno un relaxed domain alignment grazie al loro Organizational Domain comune, bird.com.

Strict Domain Alignment

Due domini si dicono essere in strict domain alignment se e solo se sono identici. Quindi, foo.bird.com e foo.bird.com sono in strict alignment, poiché i due domini sono identici. D'altra parte, foo.bird.com e bar.foo.bird.com sono solo in relaxed alignment.

DMARC Domain Alignment Requirements

Per far sì che i controlli di convalida DMARC passino, DMARC richiede che ci sia un domain alignment come segue:

  • Per SPF, l'RFC5322.From domain e il Return-Path domain devono essere in alignment

  • Per DKIM, l'RFC5322.From domain e il DKIM d= domain devono essere in alignment

L'allineamento può essere relaxed o strict, in base alla politica pubblicata del dominio di invio.

Come funziona DMARC per proteggere la tua reputazione email

Quando parliamo di un provider di caselle postali o di un altro dominio che "controlla DMARC", o "convalida DMARC", o "applica la politica DMARC", ciò che intendiamo è che il dominio che riceve un messaggio sta eseguendo i seguenti passaggi:

  1. Determina il dominio RFC5322.From del messaggio

  2. Controlla la politica DMARC di quel dominio nel DNS

  3. Esegui la convalida della firma DKIM

  4. Esegui la convalida SPF

  5. Controlla l'allineamento del dominio

  6. Applica la politica DMARC


Affinché un messaggio superi la convalida DMARC, il messaggio deve superare solo uno dei due controlli di autenticazione e allineamento. Quindi, un messaggio supererà la convalida DMARC se una delle seguenti condizioni è vera:

  • Il messaggio supera i controlli SPF e il dominio RFC5322.From e il dominio Return-Path sono allineati, oppure

  • Il messaggio supera la convalida DKIM e il dominio RFC5322.From e il dominio DKIM d= sono allineati, oppure

  • Entrambe le condizioni sopra sono vere

Rendere DMARC efficace per il tuo dominio

Ora che abbiamo spiegato la meccanica di DMARC, parliamo di come fare in modo che DMARC lavori per noi, che coinvolge i seguenti tre passaggi:

  1. Prepararsi per ricevere i rapporti DMARC

  2. Decidere quale politica DMARC utilizzare per il tuo dominio

  3. Pubblicare il tuo record DMARC

Copriamo ciascuno di questi in dettaglio di seguito, ma ti diciamo subito che il passaggio 1 sopra consumerà circa il 95% del tuo tempo di preparazione.

Preparazione per Ricevere i Rapporti DMARC

Qualsiasi dominio che pubblica una politica DMARC dovrebbe prima prepararsi a ricevere report relativi al proprio dominio. Questi report verranno generati da qualsiasi dominio che effettua la validazione DMARC e vede la posta che dichiara di provenire dal nostro dominio, e ci verranno inviati almeno una volta al giorno. I report arriveranno in due formati:

  • Report aggregati, che sono documenti XML che mostrano dati statistici su quanta posta è stata vista dal reporter da ciascuna fonte, quali erano i risultati dell'autenticazione e come i messaggi sono stati trattati dal reporter. I report aggregati sono progettati per essere analizzati da macchine, con i loro dati memorizzati da qualche parte per consentire l'analisi complessiva del traffico, la verifica dei flussi di messaggi del nostro dominio e forse l'identificazione di tendenze nelle fonti di email non autenticate, potenzialmente fraudolente.

  • Report forensi, che sono copie individuali di messaggi che non hanno superato l'autenticazione, ciascuno racchiuso in un messaggio email completo utilizzando un formato chiamato AFRF. I report forensi dovrebbero contenere intestazioni complete e corpi del messaggio, ma molti reporter rimuovono o redigono alcune informazioni per motivi di privacy. Tuttavia, il report forense può ancora essere utile sia per la risoluzione dei problemi di autenticazione del nostro dominio che per identificare, dagli URI nei corpi dei messaggi, domini e siti web dannosi utilizzati per frodare i clienti del proprietario del nostro dominio.


La preparazione per ricevere questi report comporta innanzitutto la creazione di due caselle postali nel nostro dominio per gestire questi report, come agg_reports@ourdomain.com e afrf_reports@ourdomain.com. Si noti che quei nomi di casella postale sono completamente arbitrari e non ci sono requisiti per la denominazione della parte locale della casella postale; siamo liberi di scegliere qualsiasi nome desideriamo, ma mantenerli separati per una più facile elaborazione.

Una volta selezionati e creati i nomi delle caselle postali nel nostro dominio, la prossima cosa da fare è mettere in atto strumenti per leggere queste caselle postali e utilizzare i dati, specialmente i report di dati aggregati, che ancora una volta sono progettati per essere analizzati dalla macchina, piuttosto che letti da un essere umano. I report forensi, d'altra parte, potrebbero essere gestiti semplicemente leggendo noi stessi, ma la nostra capacità di farlo dipenderà sia dalla comprensione da parte del nostro client di posta di come visualizzare i messaggi nel formato AFRF sia dal volume di report che riceviamo.

Sebbene sia possibile per noi scrivere i nostri strumenti per elaborare i report DMARC, fino a quando Bird non fornirà tali servizi per i clienti di bird.com (cosa che stiamo considerando, ma non promettiamo ancora), raccomandiamo di utilizzare strumenti già disponibili per il compito.

Quale politica DMARC utilizzare

La specifica DMARC fornisce tre opzioni per i proprietari di domini per specificare il trattamento preferito della posta che non supera i controlli di validazione DMARC. Sono:

  • none, che significa trattare la posta nello stesso modo in cui verrebbe trattata indipendentemente dai controlli di validazione DMARC

  • quarantine, che significa accettare la posta ma posizionarla in un luogo diverso rispetto alla Inbox del destinatario (tipicamente la cartella spam)

  • reject, che significa rifiutare completamente il messaggio


È importante tenere a mente che il proprietario del dominio può solo richiedere tale trattamento nel suo record DMARC; spetta al destinatario del messaggio decidere se onorare o meno la policy richiesta. Alcuni lo faranno, mentre altri potrebbero essere un po' più indulgenti nell'applicare la policy, come ad esempio mettere nella cartella spam la posta quando la policy del dominio è reject.

Consigliamo a tutti i nostri clienti di avviare con una policy di none, semplicemente per essere sicuri. Sebbene siamo fiduciosi nella nostra capacità di autenticare correttamente la vostra posta attraverso la firma DKIM, è comunque meglio prendersi del tempo per esaminare i rapporti sul vostro dominio prima di diventare più aggressivi con la vostra policy DMARC.

Pubblicazione della Your DMARC Policy

La politica DMARC di un dominio è annunciata pubblicando un record DNS TXT in un luogo specifico nello spazio dei nomi DNS, ovvero “_dmarc.domainname.tld” (nota il trattino basso iniziale). Un record di politica DMARC di base per il nostro dominio di esempio di prima, joesbaitshop.com, potrebbe apparire in questo modo:

_dmarc.joesbaitship.com. IN TXT "v=DMARC1\; p=none\; rua=mailto:agg_reports@joesbait.com\; ruf=mailto:afrf_reports@joesbait.com\; pct=100"

Scomponendo questo record, abbiamo:

  • v=DMARC1 specifica la versione di DMARC (1 è l'unica scelta attualmente)

  • p=none specifica il trattamento preferito o politica DMARC

  • rua=mailto:agg_reports@joesbait.com è la casella di posta a cui devono essere inviati i rapporti aggregati

  • ruf=mailto:afrf_reports@joesbait.com è la casella di posta a cui devono essere inviati i rapporti forensi

  • pct=100 è la percentuale di posta a cui il proprietario del dominio desidera applicare la sua politica. I domini che iniziano ad usare DMARC, specialmente quelli che potrebbero generare un alto volume di rapporti, possono voler iniziare con un numero molto più basso qui per vedere come i loro processi di gestione dei rapporti si affrontano il carico.


Ci sono altre opzioni di configurazione disponibili per un proprietario di dominio da utilizzare nel suo record di politica DMARC, ma i suggerimenti che abbiamo fornito dovrebbero essere un buon inizio.

Riepilogo

C'è molto da approfondire nelle informazioni sopra! Speriamo che troviate utile la guida per creare un record di politica DMARC. Speriamo anche che la nostra spiegazione sul perché DMARC è importante aiuti a chiarire perché dovreste iniziare a utilizzare questo strumento importante per proteggere la vostra reputazione email.

Naturalmente, questo non è un documento completo o autorevole sull'argomento. Se volete approfondire ulteriormente o avete bisogno di ulteriore aiuto, un ottimo punto di partenza è il FAQ ufficiale del DMARC. E, va da sé che il team di supporto Bird è pronto ad aiutarvi a configurare il vostro account Bird per DMARC.

Grazie per aver letto—iniziateli subito a proteggere i vostri domini con DMARC!

Connettiamoci con un esperto di Bird.
Scopri tutta la potenza del Bird in 30 minuti.

Inviando, accetti che Bird possa contattarti riguardo ai nostri prodotti e servizi.

Puoi annullare l'iscrizione in qualsiasi momento. Consulta la Informativa sulla Privacy di Bird per i dettagli sul trattamento dei dati.

Azienda

Newsletter

Rimani aggiornato con Bird attraverso aggiornamenti settimanali nella tua inbox.

Inviando, accetti che Bird possa contattarti riguardo ai nostri prodotti e servizi.

Puoi annullare l'iscrizione in qualsiasi momento. Consulta la Informativa sulla Privacy di Bird per i dettagli sul trattamento dei dati.

Connettiamoci con un esperto di Bird.
Scopri tutta la potenza del Bird in 30 minuti.

Inviando, accetti che Bird possa contattarti riguardo ai nostri prodotti e servizi.

Puoi annullare l'iscrizione in qualsiasi momento. Consulta la Informativa sulla Privacy di Bird per i dettagli sul trattamento dei dati.

Azienda

Newsletter

Rimani aggiornato con Bird attraverso aggiornamenti settimanali nella tua inbox.

Inviando, accetti che Bird possa contattarti riguardo ai nostri prodotti e servizi.

Puoi annullare l'iscrizione in qualsiasi momento. Consulta la Informativa sulla Privacy di Bird per i dettagli sul trattamento dei dati.

Connettiamoci con un esperto di Bird.
Scopri tutta la potenza del Bird in 30 minuti.

Inviando, accetti che Bird possa contattarti riguardo ai nostri prodotti e servizi.

Puoi annullare l'iscrizione in qualsiasi momento. Consulta la Informativa sulla Privacy di Bird per i dettagli sul trattamento dei dati.

R

Raggiungi

G

Grow

M

Manage

A

Automate

Azienda

Newsletter

Rimani aggiornato con Bird attraverso aggiornamenti settimanali nella tua inbox.

Inviando, accetti che Bird possa contattarti riguardo ai nostri prodotti e servizi.

Puoi annullare l'iscrizione in qualsiasi momento. Consulta la Informativa sulla Privacy di Bird per i dettagli sul trattamento dei dati.