DMARC: Come proteggere la tua reputazione email
Uccello
13 apr 2016
1 min read
Conclusioni principali
DMARC aiuta a proteggere il tuo dominio da phishing, spoofing e uso non autorizzato delle email pubblicando le tue pratiche di autenticazione e richiedendo una gestione specifica per i messaggi non riusciti.
Funziona insieme a SPF e DKIM per garantire l'allineamento del dominio e prevenire che le email fraudolente danneggino la tua reputazione di mittente.
Politiche DMARC solide supportano maggiore fiducia, maggiore coinvolgimento e garantiscono il tuo dominio in futuro man mano che l'ecosistema si sposta verso modelli di reputazione basati sul dominio.
I controlli di validazione DMARC si basano sull'allineamento del dominio tra il dominio From, il dominio Return-Path (SPF) e il dominio di firma DKIM.
Impostare DMARC richiede la ricezione di report, la comprensione dei dati aggregati rispetto ai dati forensi, e la configurazione degli strumenti per analizzarli.
Inizi con una politica sicura p=none per monitorare il traffico prima di passare a quarantine o reject.
Pubblicare un record DMARC prevede la creazione di un'entrata DNS TXT su _dmarc.yourdomain.com con politica, indirizzi di rapporto e parametri opzionali come la distribuzione percentuale.
Caselle di posta per report adeguate (aggregate + forensi) e strumenti di analisi sono essenziali per monitorare la conformità, rilevare lo spoofing e garantire che l'allineamento sia corretto.
DMARC richiede solo uno dei seguenti per passare: SPF allineato o DKIM allineato.
Implementare DMARC rafforza la sicurezza delle email e svolge un ruolo chiave nell'integrità del brand, nella fiducia e nella consegna a lungo termine.
Q&A Highlights
Che cos'è DMARC e perché è importante?
DMARC (Domain-based Message Authentication, Reporting, and Conformance) è una policy pubblicata su DNS che protegge il tuo dominio da spoofing e phishing applicando l'allineamento del dominio e consentendo la visibilità tramite report.
Il DMARC è un protocollo di autenticazione?
No. DMARC non è l'autenticazione stessa—si basa su SPF e DKIM per autenticare la posta e utilizza politiche + reportistica per controllare come i server di ricezione gestiscono i fallimenti.
Quali controlli effettua DMARC?
Verifica:
Autenticazione SPF + allineamento
Autenticazione DKIM + allineamento
Un mittente ha bisogno solo di uno di questi per avere successo con DMARC.
Che cos'è il “domain alignment”?
È il requisito che il dominio visibile Da corrisponda (rigido) o condivida lo stesso dominio organizzativo (rilassato) con il dominio Return-Path SPF o il dominio di firma DKIM.
Perché DMARC migliora la consegna?
Poiché i provider di casella di posta si fidano di più dei domini autenticati e allineati. DMARC impedisce che i messaggi falsificati erodano la tua reputazione e migliora il posizionamento nella casella di posta per le mail legittime.
Qual è la differenza tra i report DMARC aggregate e forensi?
Report aggregati (RUA): Riepiloghi XML dei risultati di autenticazione su tutto il traffico.
Report forensi (RUF): Campioni individuali di messaggi non riusciti per un'analisi più approfondita.
Quali caselle di posta devo avere prima di pubblicare DMARC?
Dovresti creare due indirizzi, come:
agg_reports@yourdomain.com (RUA)
afrf_reports@yourdomain.com (RUF)
Questo mantiene i flussi di segnalazione separati e più facili da analizzare.
Con quale policy DMARC dovrei iniziare?
Inizia sempre con p=none. Monitora l'attività di autenticazione senza influire sulla consegna, permettendoti di identificare in modo sicuro problemi di allineamento e tentativi di spoofing.
Quali sono le politiche DMARC disponibili?
nessuno: solo monitorare
quarantena: inviare i messaggi falliti nello spam
rifiuta: blocca completamente i messaggi falliti
Dove pubblico un record DMARC?
Nel tuo DNS su:
Deve essere un record TXT che specifica la tua policy, versione e gli endpoint di reporting.
Che aspetto ha un record DMARC di base?
Esempio:
Cosa succede se DMARC fails?
Il server ricevente applica la politica richiesta (none, quarantine, reject), sebbene la gestione finale sia affidata al fornitore. Una politica rigorosa può ridurre significativamente i tentativi di phishing che utilizzano il tuo dominio.
In questo post, ti diremo tutto ciò che devi sapere su come sfruttare DMARC per proteggere la tua reputazione email e ti daremo consigli su come configurarlo per i tuoi domini.
Uno Strumento Efficace per Combattere la Posta Fraudolenta
Spesso menzionato insieme ai protocolli di autenticazione delle email SPF e DKIM, DMARC, o Autenticazione, Segnalazione e Conformità di Messaggi Basati su Dominio, non è in sé un protocollo di autenticazione. Invece, lo scopo di DMARC è di permettere a noi, i proprietari di domini, di proteggere la nostra reputazione email mediante:
Annunciare pratiche di autenticazione delle email,
Richiedere trattamento per le email che non superano i controlli di autenticazione, e
Richiedere rapporti sulle email che dichiarano di provenire dal suo dominio.
DMARC può essere uno strumento efficace per noi da utilizzare nella nostra lotta contro le email fraudolente che mirano al nostro nome di dominio (ad esempio, phishing e spoofing), e che può promuovere una maggiore fiducia tra i nostri destinatari per la nostra email. Per le organizzazioni che richiedono crittografia end-to-end oltre all'autenticazione, l'implementazione di S/MIME con efficienti metodi di raccolta di chiavi pubbliche dei destinatari fornisce ulteriori livelli di sicurezza. Questa maggiore fiducia dovrebbe, a sua volta, portare a un maggiore coinvolgimento con le nostre email, e le email che vengono aperte e generano clic guidano le vendite e un ROI più elevato per le nostre campagne email.
Oltre a proteggere il nostro dominio, prevediamo che implementare DMARC ora sarà un modo eccellente per "preparare il futuro" del nostro dominio. Qui a Bird, crediamo che mentre l'industria passa a IPv6, sia quasi certo passare da un modello di reputazione basato su IP a un modello di reputazione basato su dominio. La reputazione basata su dominio richiederà autenticazione basata su dominio, e DMARC, in concerto con DKIM e SPF, aiuterà i domini a stabilire una reputazione basata su dominio molto prima che possa diventare assolutamente necessaria.
In questo post, ti diremo tutto ciò che devi sapere su come sfruttare DMARC per proteggere la tua reputazione email e ti forniremo indicazioni su come configurarlo per i tuoi domini.
Terms to Know
Come funziona DMARC per proteggere la tua reputazione email
Quando parliamo di un fornitore di caselle postali o di un altro dominio che “controlla DMARC”, o “convalida DMARC”, o “applica la politica DMARC”, intendiamo che il dominio che riceve un messaggio sta eseguendo i passaggi seguenti:
Individuare il dominio RFC5322.From del messaggio
Consultare la politica DMARC di quel dominio in DNS
Eseguire la convalida della firma DKIM
Eseguire la convalida SPF
Controllare l'allineamento del dominio
Applicare la politica DMARC
Affinché un messaggio superi la convalida DMARC, deve superare solo uno dei due controlli di autenticazione e allineamento. Quindi, un messaggio supererà la convalida DMARC se una delle seguenti condizioni è vera:
Il messaggio supera i controlli SPF e i domini RFC5322.From e Return-Path sono in allineamento, oppure
Il messaggio supera la convalida DKIM e i domini RFC5322.From e DKIM d= sono in allineamento, oppure
Entrambi i casi sopra riportati sono veri
Rendere DMARC efficace per il tuo dominio
Ora che abbiamo spiegato la meccanica di DMARC, parliamo di come fare in modo che DMARC lavori per noi, che coinvolge i seguenti tre passaggi:
Prepararsi per ricevere i rapporti DMARC
Decidere quale politica DMARC utilizzare per il tuo dominio
Pubblicare il tuo record DMARC
Copriamo ciascuno di questi in dettaglio di seguito, ma ti diciamo subito che il passaggio 1 sopra consumerà circa il 95% del tuo tempo di preparazione.
Preparazione per Ricevere i Rapporti DMARC
Qualsiasi dominio che pubblica una politica DMARC dovrebbe prepararsi prima a ricevere rapporti riguardanti il proprio dominio. Questi rapporti saranno generati da qualsiasi dominio che esegue la validazione DMARC e vede email che affermano di provenire dal nostro dominio, e ci saranno inviati almeno su base giornaliera. I rapporti verranno in due formati:
Rapporti aggregati, che sono documenti XML che mostrano dati statistici di quante email sono state viste dal reporter da ciascuna fonte, quali erano i risultati dell'autenticazione e come i messaggi sono stati trattati dal reporter. I rapporti aggregati sono progettati per essere elaborati da macchine, con i loro dati memorizzati da qualche parte per consentire l'analisi complessiva del traffico, l'audit dei flussi di messaggi del nostro dominio e forse l'identificazione di tendenze nelle fonti di email non autenticate e potenzialmente fraudolente.
Rapporti forensi, che sono copie individuali di messaggi che hanno fallito l'autenticazione, ciascuno racchiuso in un messaggio email completo utilizzando un formato chiamato AFRF. I rapporti forensi dovrebbero contenere intestazioni complete e corpi dei messaggi, ma molti reporter rimuovono o redigono alcune informazioni a causa di preoccupazioni sulla privacy. Tuttavia, il rapporto forense può ancora essere utile sia per risolvere i problemi di autenticazione del nostro dominio sia per identificare, dagli URI nei corpi dei messaggi, i domini e i siti web malevoli utilizzati per frodare i clienti del proprietario del nostro dominio.
La preparazione per ricevere questi rapporti prevede prima di tutto la creazione di due caselle di posta nel nostro dominio per gestire questi rapporti, come agg_reports@ourdomain.com e afrf_reports@ourdomain.com. Nota che questi nomi di casella di posta sono completamente arbitrari e non ci sono requisiti per la denominazione della parte locale della casella di posta; siamo liberi di scegliere i nomi che vogliamo, ma tenere le due separate per una più facile elaborazione.
Una volta selezionati e creati i nomi delle caselle di posta nel nostro dominio, la prossima cosa da fare è mettere in atto strumenti per leggere queste caselle di posta e utilizzare i dati, soprattutto i rapporti dati aggregati, che ancora una volta sono progettati per essere elaborati da macchine, piuttosto che letti da un essere umano. I rapporti forensi, d'altra parte, potrebbero essere gestibili semplicemente leggendoli noi stessi, ma la nostra capacità di farlo dipenderà sia dalla comprensione del nostro client di posta su come visualizzare i messaggi nel formato AFRF sia dal volume di rapporti che riceviamo.
Anche se è possibile per noi scrivere i nostri strumenti per elaborare i rapporti DMARC, fino a quando Bird non fornirà tali servizi per i clienti di bird.com (cosa che stiamo considerando, ma non promettendo ancora), raccomandiamo di utilizzare strumenti che sono già disponibili per questo compito.
Quale politica DMARC utilizzare
La specifica DMARC offre tre opzioni ai proprietari di domini per specificare il trattamento preferito della posta che non supera i controlli di validazione DMARC. Sono:
nessuno, che significa trattare la posta nello stesso modo in cui sarebbe trattata indipendentemente dai controlli di validazione DMARC
quarantena, che significa accettare la posta ma collocarla in un luogo diverso dalla Posta in Arrivo del destinatario (tipicamente la cartella spam)
rifiuto, che significa rifiutare il messaggio direttamente
È importante tenere presente che il proprietario del dominio può solo richiedere tale trattamento nel suo record DMARC; spetta al destinatario del messaggio decidere se onorare o meno la politica richiesta. Alcuni lo faranno, mentre altri potrebbero essere un po' più indulgenti nell'applicare la politica, come limitarsi a mettere nella cartella spam la posta quando la politica del dominio è rifiuto.
Raccomandiamo a tutti i nostri clienti di iniziare con una politica di nessuno, semplicemente per sicurezza. Anche se siamo fiduciosi nella nostra capacità di autenticare correttamente la tua posta attraverso la firma DKIM, è comunque meglio prendersi del tempo per esaminare i rapporti sul tuo dominio prima di diventare più aggressivi con la tua politica DMARC.
Pubblicazione della Your DMARC Policy
La politica DMARC di un dominio viene annunciata pubblicando un record DNS TXT in un luogo specifico nel namespace DNS, ovvero "_dmarc.domainname.tld" (nota l'underscore iniziale). Un record di politica DMARC di base per il nostro dominio di esempio precedente, joesbaitshop.com, potrebbe assomigliare a questo:
Scomponendo questo record, abbiamo:
v=DMARC1 specifica la versione DMARC (1 è l'unica opzione disponibile al momento)
p=none specifica il trattamento preferito, o politica DMARC
rua=mailto:agg_reports@joesbait.com è la mailbox a cui devono essere inviati i report aggregati
ruf=mailto:afrf_reports@joesbait.com è la mailbox a cui devono essere inviati i report forensi
pct=100 è la percentuale di posta alla quale il proprietario del dominio desidera applicare la sua politica. I domini che cominciano con DMARC, specialmente quelli che probabilmente generano un alto volume di report, potrebbero iniziare con un numero molto più basso qui per vedere come i loro processi di gestione dei report resistono al carico.
Esistono altre opzioni di configurazione disponibili per un proprietario di dominio per utilizzare nel suo record di politica DMARC, ma i suggerimenti che abbiamo fornito dovrebbero essere un buon inizio.
Riepilogo
C'è molto da approfondire nelle informazioni sopra! Speriamo che trovi utile il come-creare un record di policy DMARC. Speriamo anche che la nostra spiegazione del perché DMARC è importante aiuti a chiarire perché dovresti iniziare a usare questo strumento fondamentale per proteggere la tua reputazione email.
Ovviamente, questo non è un documento completo o autorevole sull'argomento. Se desideri approfondire ulteriormente o desideri più aiuto, un ottimo punto di partenza è il FAQ ufficiale DMARC. E, inutile dirlo, il team di supporto Bird è pronto ad aiutarti a configurare il tuo account Bird per DMARC.
Grazie per aver letto—e inizia a proteggere i tuoi domini con DMARC oggi stesso!
