Reach

Grow

Manage

Automate

Reach

Grow

Manage

Automate

DMARC: Come proteggere la tua reputazione email

Uccello

13 apr 2016

Email

1 min read

DMARC: Come proteggere la tua reputazione email

Uccello

13 apr 2016

Email

1 min read

DMARC: Come proteggere la tua reputazione email

In questo post, ti diremo tutto ciò che devi sapere su come sfruttare DMARC per proteggere la tua reputazione email e ti daremo consigli su come configurarlo per i tuoi domini.

Uno Strumento Efficace per Combattere la Posta Fraudolenta

Spesso menzionato insieme ai protocolli di autenticazione delle email SPF e DKIM, DMARC, o Autenticazione dei Messaggi, Rapporti e Conformità Basata su Dominio, non è in sé un protocollo di autenticazione. Invece, lo scopo di DMARC è permettere a noi, i proprietari del dominio, di proteggere la nostra reputazione email mediante:

  • Annunciare le pratiche di autenticazione delle email,

  • Richiedere il trattamento per le email che non superano i controlli di autenticazione, e

  • Richiedere rapporti sulle email che dichiarano di provenire dal suo dominio.


DMARC può essere uno strumento efficace per utilizzare nella nostra lotta contro le email fraudolente che prendono di mira il nostro nome di dominio (ad esempio, phishing e spoofing), e che possono promuovere una maggiore fiducia tra i nostri destinatari per le nostre email. Per le organizzazioni che richiedono la crittografia end-to-end oltre all'autenticazione, implementare S/MIME con metodi efficienti di raccolta delle chiavi pubbliche dei destinatari fornisce ulteriori livelli di sicurezza. Questa maggiore fiducia dovrebbe, a sua volta, portare a un maggiore coinvolgimento con le nostre email, e le email aperte e che generano clic guidano le vendite e un ROI più elevato per le nostre campagne email.

Oltre a proteggere il nostro dominio, prevediamo che implementare DMARC ora sarà un ottimo modo per "rendere il nostro dominio a prova di futuro". Qui a Bird, crediamo che con il passaggio dell'industria a IPv6, sia quasi certo che si passi da un modello di reputazione basato su IP a un modello di reputazione basato su dominio. La reputazione basata su dominio richiederà l'autenticazione basata su dominio, e DMARC, in concerto con DKIM e SPF, aiuterà i domini a stabilire una reputazione basata su dominio molto prima che possa diventare assolutamente necessaria.

In questo post, ti diremo tutto ciò che devi sapere su come sfruttare DMARC per proteggere la tua reputazione email e ti daremo suggerimenti su come configurarlo per i tuoi domini.

Terms to Know

Prima di procedere con la configurazione di DMARC per il tuo dominio, vogliamo assicurarci di parlare la stessa lingua. Iniziamo definendo alcuni termini che useremo nel resto di questo documento.

Dominio RFC5322.From

Il dominio RFC5322.From è la parte del dominio dell’indirizzo email che di solito viene visto dal destinatario della nostra email quando viene letta. Nel seguente esempio, il dominio RFC5322.From è “joesbaitshop.com”

From: Joe’s Bait and Tackle <sales@joesbaitshop.com>

DKIM d= Dominio

DKIM è un protocollo di autenticazione che consente a un dominio di assumersi la responsabilità di un messaggio in un modo che può essere convalidato dal ricevente del messaggio; questo avviene tramite l’uso di firme crittografiche inserite nelle intestazioni del messaggio mentre sta lasciando il punto di origine. Queste firme sono essenzialmente istantanee di come il messaggio appariva in quel momento e il ricevente può utilizzare queste istantanee per verificare se il messaggio è arrivato invariato alla sua destinazione. Il processo di produzione e inserimento di queste istantanee è chiamato firma DKIM, e il dominio che si assume la responsabilità del messaggio firmandolo inserisce il proprio nome nell’intestazione in un tag chiave-valore come “d=signingDomain”, e quindi viene indicato come il dominio DKIM d=.

Dominio Return-Path

Il dominio Return-Path, a volte chiamato dominio RFC5321.From o dominio Mail From, è il dominio a cui vengono instradate le e-mail rifiutate; è anche il dominio su cui vengono effettuati i controlli SPF durante la transazione di posta elettronica. Questo dominio di solito non è visibile al destinatario a meno che il destinatario non sia sufficientemente esperto da controllare tutte le intestazioni in un determinato messaggio.

Per impostazione predefinita, tutta la posta inviata tramite bird.com avrà birdmail.com come suo dominio Return-Path, come nell'esempio seguente:

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

Tuttavia, per fare in modo che DMARC funzioni per il tuo dominio, vorrai approfittare di un dominio personalizzato per i rimbalzi, che finirà con lo stesso dominio del tuo dominio di invio, ad esempio, bounces.yourdomain.com quando si utilizza yourdomain.com come dominio di invio.

Dominio Organizzativo

Il termine “Dominio Organizzativo” si riferisce al dominio che è stato registrato presso un registrar per creare la presenza del dominio su internet. Per Bird, i nostri domini organizzativi sono bird.com e birdmail.com.

Allineamento del Dominio

L'ultimo termine da comprendere riguardo DMARC è “Allineamento del Dominio”, e si presenta in due varianti: “rilassato” e “rigido”.

Allineamento Rilassato del Dominio

Due domini si dicono avere un allineamento rilassato del dominio quando i loro Domini Organizzativi sono gli stessi. Ad esempio, a.mail.bird.com e b.foo.bird.com hanno un allineamento rilassato del dominio a causa del loro comune Dominio Organizzativo, bird.com.

Allineamento Rigido del Dominio

Due domini si dicono essere in allineamento rigido del dominio se e solo se sono identici. Quindi, foo.bird.com e foo.bird.com sono in allineamento rigido, poiché i due domini sono identici. D'altra parte, foo.bird.com e bar.foo.bird.com sono solo in allineamento rilassato.

Requisiti di Allineamento del Dominio DMARC

Affinché i controlli di validazione DMARC passino, DMARC richiede che vi sia un allineamento del dominio come segue:

  • Per SPF, il dominio RFC5322.From e il dominio Return-Path devono essere allineati

  • Per DKIM, il dominio RFC5322.From e il dominio DKIM d= devono essere allineati

L'allineamento può essere rilassato o rigido, in base alla politica pubblicata del dominio di invio.

Prima di procedere con la configurazione di DMARC per il tuo dominio, vogliamo assicurarci di parlare la stessa lingua. Iniziamo definendo alcuni termini che useremo nel resto di questo documento.

Dominio RFC5322.From

Il dominio RFC5322.From è la parte del dominio dell’indirizzo email che di solito viene visto dal destinatario della nostra email quando viene letta. Nel seguente esempio, il dominio RFC5322.From è “joesbaitshop.com”

From: Joe’s Bait and Tackle <sales@joesbaitshop.com>

DKIM d= Dominio

DKIM è un protocollo di autenticazione che consente a un dominio di assumersi la responsabilità di un messaggio in un modo che può essere convalidato dal ricevente del messaggio; questo avviene tramite l’uso di firme crittografiche inserite nelle intestazioni del messaggio mentre sta lasciando il punto di origine. Queste firme sono essenzialmente istantanee di come il messaggio appariva in quel momento e il ricevente può utilizzare queste istantanee per verificare se il messaggio è arrivato invariato alla sua destinazione. Il processo di produzione e inserimento di queste istantanee è chiamato firma DKIM, e il dominio che si assume la responsabilità del messaggio firmandolo inserisce il proprio nome nell’intestazione in un tag chiave-valore come “d=signingDomain”, e quindi viene indicato come il dominio DKIM d=.

Dominio Return-Path

Il dominio Return-Path, a volte chiamato dominio RFC5321.From o dominio Mail From, è il dominio a cui vengono instradate le e-mail rifiutate; è anche il dominio su cui vengono effettuati i controlli SPF durante la transazione di posta elettronica. Questo dominio di solito non è visibile al destinatario a meno che il destinatario non sia sufficientemente esperto da controllare tutte le intestazioni in un determinato messaggio.

Per impostazione predefinita, tutta la posta inviata tramite bird.com avrà birdmail.com come suo dominio Return-Path, come nell'esempio seguente:

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

Tuttavia, per fare in modo che DMARC funzioni per il tuo dominio, vorrai approfittare di un dominio personalizzato per i rimbalzi, che finirà con lo stesso dominio del tuo dominio di invio, ad esempio, bounces.yourdomain.com quando si utilizza yourdomain.com come dominio di invio.

Dominio Organizzativo

Il termine “Dominio Organizzativo” si riferisce al dominio che è stato registrato presso un registrar per creare la presenza del dominio su internet. Per Bird, i nostri domini organizzativi sono bird.com e birdmail.com.

Allineamento del Dominio

L'ultimo termine da comprendere riguardo DMARC è “Allineamento del Dominio”, e si presenta in due varianti: “rilassato” e “rigido”.

Allineamento Rilassato del Dominio

Due domini si dicono avere un allineamento rilassato del dominio quando i loro Domini Organizzativi sono gli stessi. Ad esempio, a.mail.bird.com e b.foo.bird.com hanno un allineamento rilassato del dominio a causa del loro comune Dominio Organizzativo, bird.com.

Allineamento Rigido del Dominio

Due domini si dicono essere in allineamento rigido del dominio se e solo se sono identici. Quindi, foo.bird.com e foo.bird.com sono in allineamento rigido, poiché i due domini sono identici. D'altra parte, foo.bird.com e bar.foo.bird.com sono solo in allineamento rilassato.

Requisiti di Allineamento del Dominio DMARC

Affinché i controlli di validazione DMARC passino, DMARC richiede che vi sia un allineamento del dominio come segue:

  • Per SPF, il dominio RFC5322.From e il dominio Return-Path devono essere allineati

  • Per DKIM, il dominio RFC5322.From e il dominio DKIM d= devono essere allineati

L'allineamento può essere rilassato o rigido, in base alla politica pubblicata del dominio di invio.

Prima di procedere con la configurazione di DMARC per il tuo dominio, vogliamo assicurarci di parlare la stessa lingua. Iniziamo definendo alcuni termini che useremo nel resto di questo documento.

Dominio RFC5322.From

Il dominio RFC5322.From è la parte del dominio dell’indirizzo email che di solito viene visto dal destinatario della nostra email quando viene letta. Nel seguente esempio, il dominio RFC5322.From è “joesbaitshop.com”

From: Joe’s Bait and Tackle <sales@joesbaitshop.com>

DKIM d= Dominio

DKIM è un protocollo di autenticazione che consente a un dominio di assumersi la responsabilità di un messaggio in un modo che può essere convalidato dal ricevente del messaggio; questo avviene tramite l’uso di firme crittografiche inserite nelle intestazioni del messaggio mentre sta lasciando il punto di origine. Queste firme sono essenzialmente istantanee di come il messaggio appariva in quel momento e il ricevente può utilizzare queste istantanee per verificare se il messaggio è arrivato invariato alla sua destinazione. Il processo di produzione e inserimento di queste istantanee è chiamato firma DKIM, e il dominio che si assume la responsabilità del messaggio firmandolo inserisce il proprio nome nell’intestazione in un tag chiave-valore come “d=signingDomain”, e quindi viene indicato come il dominio DKIM d=.

Dominio Return-Path

Il dominio Return-Path, a volte chiamato dominio RFC5321.From o dominio Mail From, è il dominio a cui vengono instradate le e-mail rifiutate; è anche il dominio su cui vengono effettuati i controlli SPF durante la transazione di posta elettronica. Questo dominio di solito non è visibile al destinatario a meno che il destinatario non sia sufficientemente esperto da controllare tutte le intestazioni in un determinato messaggio.

Per impostazione predefinita, tutta la posta inviata tramite bird.com avrà birdmail.com come suo dominio Return-Path, come nell'esempio seguente:

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

Tuttavia, per fare in modo che DMARC funzioni per il tuo dominio, vorrai approfittare di un dominio personalizzato per i rimbalzi, che finirà con lo stesso dominio del tuo dominio di invio, ad esempio, bounces.yourdomain.com quando si utilizza yourdomain.com come dominio di invio.

Dominio Organizzativo

Il termine “Dominio Organizzativo” si riferisce al dominio che è stato registrato presso un registrar per creare la presenza del dominio su internet. Per Bird, i nostri domini organizzativi sono bird.com e birdmail.com.

Allineamento del Dominio

L'ultimo termine da comprendere riguardo DMARC è “Allineamento del Dominio”, e si presenta in due varianti: “rilassato” e “rigido”.

Allineamento Rilassato del Dominio

Due domini si dicono avere un allineamento rilassato del dominio quando i loro Domini Organizzativi sono gli stessi. Ad esempio, a.mail.bird.com e b.foo.bird.com hanno un allineamento rilassato del dominio a causa del loro comune Dominio Organizzativo, bird.com.

Allineamento Rigido del Dominio

Due domini si dicono essere in allineamento rigido del dominio se e solo se sono identici. Quindi, foo.bird.com e foo.bird.com sono in allineamento rigido, poiché i due domini sono identici. D'altra parte, foo.bird.com e bar.foo.bird.com sono solo in allineamento rilassato.

Requisiti di Allineamento del Dominio DMARC

Affinché i controlli di validazione DMARC passino, DMARC richiede che vi sia un allineamento del dominio come segue:

  • Per SPF, il dominio RFC5322.From e il dominio Return-Path devono essere allineati

  • Per DKIM, il dominio RFC5322.From e il dominio DKIM d= devono essere allineati

L'allineamento può essere rilassato o rigido, in base alla politica pubblicata del dominio di invio.

Come funziona DMARC per proteggere la tua reputazione email

Quando parliamo di un provider di caselle postali o di un altro dominio che "controlla DMARC", o "convalida DMARC", o "applica la politica DMARC", ciò che intendiamo è che il dominio che riceve un messaggio sta eseguendo i seguenti passaggi:

  1. Determina il dominio RFC5322.From del messaggio

  2. Controlla la politica DMARC di quel dominio nel DNS

  3. Esegui la convalida della firma DKIM

  4. Esegui la convalida SPF

  5. Controlla l'allineamento del dominio

  6. Applica la politica DMARC


Affinché un messaggio superi la convalida DMARC, il messaggio deve superare solo uno dei due controlli di autenticazione e allineamento. Quindi, un messaggio supererà la convalida DMARC se una delle seguenti condizioni è vera:

  • Il messaggio supera i controlli SPF e il dominio RFC5322.From e il dominio Return-Path sono allineati, oppure

  • Il messaggio supera la convalida DKIM e il dominio RFC5322.From e il dominio DKIM d= sono allineati, oppure

  • Entrambe le condizioni sopra sono vere

Rendere DMARC efficace per il tuo dominio

Ora che abbiamo spiegato la meccanica di DMARC, parliamo di come fare in modo che DMARC lavori per noi, che coinvolge i seguenti tre passaggi:

  1. Prepararsi per ricevere i rapporti DMARC

  2. Decidere quale politica DMARC utilizzare per il tuo dominio

  3. Pubblicare il tuo record DMARC

Copriamo ciascuno di questi in dettaglio di seguito, ma ti diciamo subito che il passaggio 1 sopra consumerà circa il 95% del tuo tempo di preparazione.

Preparazione per Ricevere i Rapporti DMARC

Qualsiasi dominio che pubblica una politica DMARC dovrebbe innanzitutto prepararsi a ricevere rapporti riguardanti il suo dominio. Questi rapporti saranno generati da qualsiasi dominio che effettua la validazione DMARC e vede mail che affermano di provenire dal nostro dominio, e ci saranno inviati almeno su base giornaliera. I rapporti verranno in due formati:

  • Rapporti aggregati, che sono documenti XML che mostrano dati statistici di quante email sono state viste dal reporter da ogni fonte, quali erano i risultati dell'autenticazione e come i messaggi sono stati trattati dal reporter. I rapporti aggregati sono progettati per essere analizzati dalle macchine, con i loro dati memorizzati da qualche parte per consentire l'analisi complessiva del traffico, la verifica dei flussi di messaggi del nostro dominio e forse l'identificazione di tendenze nelle fonti di email non autenticate, potenzialmente fraudolente.

  • Rapporti forensi, che sono copie individuali di messaggi che hanno fallito l'autenticazione, ciascuna racchiusa in un messaggio email completo utilizzando un formato chiamato AFRF. I rapporti forensi dovrebbero contenere intestazioni complete e corpi dei messaggi, ma molti reporter eliminano o redigono alcune informazioni per motivi di privacy. Tuttavia, il rapporto forense può comunque essere utile sia per risolvere i problemi di autenticazione del nostro dominio sia per identificare, dagli URI nei corpi dei messaggi, domini e siti web dannosi utilizzati per frodare i clienti del proprietario del nostro dominio.


La preparazione per ricevere questi rapporti comporta innanzitutto la creazione di due caselle di posta nel nostro dominio per gestire questi rapporti, come agg_reports@ourdomain.com e afrf_reports@ourdomain.com. Si noti che questi nomi di casella di posta sono completamente arbitrari, e non ci sono requisiti per la denominazione della parte locale della casella di posta; siamo liberi di scegliere qualsiasi nome desideriamo, ma mantenere le due separate per una più facile elaborazione.

Una volta selezionati e creati i nomi delle caselle di posta nel nostro dominio, la prossima cosa da fare è mettere in atto strumenti per leggere queste caselle di posta e utilizzare i dati, specialmente i rapporti di dati aggregati, che sono di nuovo progettati per essere analizzati dalle macchine, piuttosto che letti da un umano. I rapporti forensi, d'altra parte, potrebbero essere gestibili semplicemente leggendo noi stessi, ma la nostra capacità di farlo dipenderà sia dalla comprensione da parte del nostro client di posta di come visualizzare i messaggi nel formato AFRF, sia dal volume di rapporti che riceviamo.

Sebbene sia possibile per noi scrivere i nostri strumenti per elaborare i rapporti DMARC, fino a quando Bird non fornirà tali servizi per i clienti di bird.com (una cosa che stiamo considerando, ma non promettiamo ancora), raccomandiamo di utilizzare strumenti già disponibili per il compito.

Quale politica DMARC utilizzare

La specifica DMARC fornisce tre opzioni per i proprietari di domini per specificare il trattamento preferito della posta che non supera i controlli di validazione DMARC. Sono:

  • none, che significa trattare la posta nello stesso modo in cui verrebbe trattata indipendentemente dai controlli di validazione DMARC

  • quarantine, che significa accettare la posta ma posizionarla in un luogo diverso rispetto alla Inbox del destinatario (tipicamente la cartella spam)

  • reject, che significa rifiutare completamente il messaggio


È importante tenere a mente che il proprietario del dominio può solo richiedere tale trattamento nel suo record DMARC; spetta al destinatario del messaggio decidere se onorare o meno la policy richiesta. Alcuni lo faranno, mentre altri potrebbero essere un po' più indulgenti nell'applicare la policy, come ad esempio mettere nella cartella spam la posta quando la policy del dominio è reject.

Consigliamo a tutti i nostri clienti di avviare con una policy di none, semplicemente per essere sicuri. Sebbene siamo fiduciosi nella nostra capacità di autenticare correttamente la vostra posta attraverso la firma DKIM, è comunque meglio prendersi del tempo per esaminare i rapporti sul vostro dominio prima di diventare più aggressivi con la vostra policy DMARC.

Pubblicazione della Your DMARC Policy

La politica DMARC di un dominio viene annunciata pubblicando un record DNS TXT in un luogo specifico nello spazio dei nomi DNS, ovvero “_dmarc.domainname.tld” (nota il trattino basso iniziale). Un record di politica DMARC di base per il nostro dominio di esempio precedente, joesbaitshop.com, potrebbe sembrare qualcosa del genere:

_dmarc.joesbaitship.com. IN TXT "v=DMARC1; p=none; rua=mailto:agg_reports@joesbait.com; ruf=mailto:afrf_reports@joesbait.com; pct=100"

Scomponendo questo record, abbiamo:

  • v=DMARC1 specifica la versione DMARC (1 è l'unica scelta attualmente)

  • p=none specifica il trattamento preferito, o politica DMARC

  • rua=mailto:agg_reports@joesbait.com è la casella di posta a cui devono essere inviati i rapporti aggregati

  • ruf=mailto:afrf_reports@joesbait.com è la casella di posta a cui devono essere inviati i rapporti forensi

  • pct=100 è la percentuale di posta a cui il proprietario del dominio desidera che venga applicata la sua politica. I domini che iniziano da DMARC, specialmente quelli che probabilmente genereranno un alto volume di rapporti, potrebbero voler iniziare con un numero molto più basso qui per vedere come i loro processi di gestione dei rapporti resistono al carico.


Ci sono altre opzioni di configurazione disponibili per un proprietario di dominio da utilizzare nel record della politica DMARC, ma i suggerimenti che abbiamo fornito dovrebbero essere un buon inizio.

Riepilogo

C'è molto da approfondire nelle informazioni sopra! Speriamo che trovi utile il come-creare un record di policy DMARC. Speriamo anche che la nostra spiegazione del perché DMARC è importante aiuti a chiarire perché dovresti iniziare a usare questo strumento fondamentale per proteggere la tua reputazione email.

Ovviamente, questo non è un documento completo o autorevole sull'argomento. Se desideri approfondire ulteriormente o desideri più aiuto, un ottimo punto di partenza è il FAQ ufficiale DMARC. E, inutile dirlo, il team di supporto Bird è pronto ad aiutarti a configurare il tuo account Bird per DMARC.

Grazie per aver letto—e inizia a proteggere i tuoi domini con DMARC oggi stesso!

Connettiamoci con un esperto di Bird.
Scopri tutta la potenza del Bird in 30 minuti.

Inviando, accetti che Bird possa contattarti riguardo ai nostri prodotti e servizi.

Puoi annullare l'iscrizione in qualsiasi momento. Consulta la Informativa sulla Privacy di Bird per i dettagli sul trattamento dei dati.

Azienda

Newsletter

Rimani aggiornato con Bird attraverso aggiornamenti settimanali nella tua inbox.

Connettiamoci con un esperto di Bird.
Scopri tutta la potenza del Bird in 30 minuti.

Inviando, accetti che Bird possa contattarti riguardo ai nostri prodotti e servizi.

Puoi annullare l'iscrizione in qualsiasi momento. Consulta la Informativa sulla Privacy di Bird per i dettagli sul trattamento dei dati.

Azienda

Newsletter

Rimani aggiornato con Bird attraverso aggiornamenti settimanali nella tua inbox.

Connettiamoci con un esperto di Bird.
Scopri tutta la potenza del Bird in 30 minuti.

Inviando, accetti che Bird possa contattarti riguardo ai nostri prodotti e servizi.

Puoi annullare l'iscrizione in qualsiasi momento. Consulta la Informativa sulla Privacy di Bird per i dettagli sul trattamento dei dati.

R

Raggiungi

G

Grow

M

Manage

A

Automate

Azienda

Newsletter

Rimani aggiornato con Bird attraverso aggiornamenti settimanali nella tua inbox.