Uno Strumento Efficace per Combattere la Posta Fraudolenta
Spesso menzionato nella stessa frase dei protocolli di autenticazione delle email SPF e DKIM, DMARC, o Autenticazione dei Messaggi Basata su Dominio, Reporting e Conformità, non è di per sé un protocollo di autenticazione. Piuttosto, lo scopo di DMARC è permetterci, noi proprietari di domini, di proteggere la nostra reputazione email attraverso:
Annuncio delle pratiche di autenticazione delle email,
Richiesta di trattamento per le email che non superano i controlli di autenticazione, e
Richiesta di rapporti riguardo alle email che dichiarano di provenire dal proprio dominio.
DMARC può essere uno strumento efficace per noi da usare nella nostra lotta contro la posta fraudolenta che colpisce il nostro nome di dominio (ad esempio, phishing e spoofing), e che può promuovere una maggiore fiducia tra i nostri destinatari per la nostra posta. Questa maggiore fiducia dovrebbe, a sua volta, portare a un maggiore coinvolgimento con la nostra posta, e le email che vengono aperte e generano clic guidano le vendite e un ROI più elevato per le nostre campagne email.
Oltre a proteggere il nostro dominio, prevediamo che implementare DMARC ora sarà un ottimo modo per “preparare il nostro dominio per il futuro”. Qui da Bird, crediamo che mentre l'industria si sposta verso IPv6, è quasi certo che si sposterà da un modello di reputazione basato su IP a un modello di reputazione basato su dominio. La reputazione basata su dominio richiederà autenticazione basata su dominio, e DMARC, insieme a DKIM e SPF, aiuterà i domini a stabilire una reputazione basata su dominio molto prima che possa diventare assolutamente necessario.
In questo post, ti diremo tutto ciò che devi sapere su come sfruttare DMARC per proteggere la tua reputazione email e ti daremo indicazioni su come impostarlo per i tuoi domini.
Termini da Conoscere
Prima di iniziare a configurare DMARC per il tuo dominio, vogliamo assicurarci di parlare la stessa lingua. Iniziamo definendo alcuni termini che utilizzeremo nel resto di questo documento.
Dominio RFC5322.From
Il dominio RFC5322.From è la parte dominio dell'indirizzo email che di solito è vista da un destinatario della nostra email quando viene letta. Nell'esempio seguente, il dominio RFC5322.From è “joesbaitshop.com”
From: Joe’s Bait and Tackle <sales@joesbaitshop.com>
Dominio DKIM d=
DKIM è un protocollo di autenticazione che consente a un dominio di assumersi la responsabilità di un messaggio in un modo che può essere convalidato dal ricevente del messaggio; questo viene fatto attraverso l'uso di firme crittografiche inserite nelle intestazioni del messaggio mentre sta partendo dal suo punto di origine. Queste firme sono fondamentalmente istantanee di come appariva il messaggio in quel momento, e il ricevente può usare queste istantanee per vedere se il messaggio è arrivato invariato a destinazione. Il processo di produzione e inserimento di queste istantanee si chiama firma DKIM, e il dominio che si assume la responsabilità per il messaggio firmandolo inserisce il proprio nome nell'intestazione in un tag chiave-valore come “d=signingDomain”, ed è quindi noto come il dominio DKIM d=.
Dominio Return-Path
Il dominio Return-Path, a volte chiamato dominio RFC5321.From o dominio Mail From, è il dominio a cui vengono instradati i rimbalzi; è anche il dominio su cui vengono eseguiti i controlli SPF durante la transazione email. Questo dominio di solito non è visto dal destinatario a meno che il destinatario non sia abbastanza esperto da guardare tutte le intestazioni in un dato messaggio.
Per impostazione predefinita, tutta la posta inviata tramite bird.com avrà birdmail.com come suo dominio Return-Path, come nel seguente esempio:
Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>
Tuttavia, per far funzionare DMARC per il tuo dominio, dovrai approfittare di un dominio di rimbalzo personalizzato, uno che finirà con lo stesso dominio del tuo dominio di invio, ad esempio, bounces.tuodominio.com quando utilizzi il tuo dominio.com come tuo dominio di invio.
Dominio Organizzativo
Il termine "Dominio Organizzativo" si riferisce al dominio che è stato inviato a un registrar per creare la presenza del dominio su Internet. Per Bird, i nostri domini organizzativi sono bird.com e birdmail.com.
Allineamento del Dominio
L'ultimo termine da comprendere riguardo a DMARC è "Allineamento del Dominio", che ha due varianti: "rilassato" e "rigido".
Allineamento del Dominio Rilassato
Qualsiasi due domini si dice che abbiano un allineamento del dominio rilassato quando i loro domini organizzativi sono gli stessi. Ad esempio, a.mail.bird.com e b.foo.bird.com hanno un allineamento del dominio rilassato a causa del loro comune dominio organizzativo, bird.com.
Allineamento del Dominio Rigido
Due domini si dicono essere in allineamento del dominio rigido se e solo se sono identici. Quindi, foo.bird.com e foo.bird.com sono in allineamento rigido, poiché i due domini sono identici. D'altra parte, foo.bird.com e bar.foo.bird.com sono solo in allineamento rilassato.
Requisiti per l'Allineamento del Dominio DMARC
Affinché i controlli di convalida DMARC passino, DMARC richiede che ci sia allineamento del dominio come segue:
Per SPF, il dominio RFC5322.From e il dominio Return-Path devono essere allineati
Per DKIM, il dominio RFC5322.From e il dominio DKIM d= devono essere allineati
L'allineamento può essere rilassato o rigido, in base alla politica pubblicata del dominio di invio.
Come DMARC Funziona per Proteggere la Tua Reputazione Email
Quando parliamo di un fornitore di casella di posta o di un altro dominio che "controlla DMARC", o "convalida DMARC", o "applica la politica DMARC", ciò che intendiamo è che il dominio che riceve un messaggio sta eseguendo i seguenti passaggi:
Scoprire il dominio RFC5322.From del messaggio
Consultare la politica DMARC di quel dominio nel DNS
Eseguire la convalida della firma DKIM
Eseguire la convalida SPF
Controllare l'allineamento del dominio
Applicare la politica DMARC
Affinché un messaggio superi la convalida DMARC, il messaggio deve superare solo uno dei due controlli di autenticazione e allineamento. Quindi, un messaggio supererà la convalida DMARC se una qualsiasi delle seguenti affermazioni è vera:
Il messaggio supera i controlli SPF e il dominio RFC5322.From e il dominio Return-Path sono allineati, o
Il messaggio supera la convalida DKIM e il dominio RFC5322.From e il dominio DKIM d= sono allineati, o
Entrambe le affermazioni precedenti sono vere
Far Funzionare DMARC per il Tuo Dominio
Ora che abbiamo spiegato la meccanica di DMARC, parliamo di come far funzionare DMARC per noi, il che coinvolge i seguenti tre passaggi:
Preparare la ricezione dei rapporti DMARC
Decidere quale politica DMARC utilizzare per il tuo dominio
Pubblicare il tuo record DMARC
Tratteremo ognuno di questi in dettaglio di seguito, ma ti diremo subito che il passo 1 sopra consumerà circa il 95% del tuo tempo di preparazione.
Prepararsi a Ricevere Rapporti DMARC
Qualsiasi dominio che pubblica una politica DMARC dovrebbe prima prepararsi a ricevere rapporti riguardanti il proprio dominio. Questi rapporti saranno generati da qualsiasi dominio che esegue la convalida DMARC e vede posta che dichiara di provenire dal nostro dominio, e saranno inviati a noi su base almeno giornaliera. I rapporti arriveranno in due formati:
Rapporti aggregati, che sono documenti XML che mostrano dati statistici su quanta posta è stata vista dal reporter da ciascuna fonte, quali sono stati i risultati dell'autenticazione e come i messaggi sono stati trattati dal reporter. I rapporti aggregati sono progettati per essere analizzati dalle macchine, con i loro dati memorizzati da qualche parte per consentire un'analisi complessiva del traffico, un'audit dei flussi di messaggi del nostro dominio, e forse identificare tendenze nelle fonti di email non autenticate e potenzialmente fraudolente.
Rapporti forensi, che sono copie individuali di messaggi che non hanno superato l'autenticazione, ciascuna racchiusa in un messaggio email completo utilizzando un formato chiamato AFRF. I rapporti forensi dovrebbero contenere intestazioni e corpi di messaggi completi, ma molti reporter rimuovono o redigono alcune informazioni a causa di preoccupazioni sulla privacy. Tuttavia, il rapporto forense può essere ancora utile sia per risolvere i problemi di autenticazione del nostro dominio sia per identificare, dagli URI nei corpi dei messaggi, domini e siti web malevoli usati per frodare i clienti del proprietario del nostro dominio.
La preparazione per ricevere questi rapporti comporta prima la creazione di due caselle di posta nel nostro dominio per gestire questi rapporti, come agg_reports@nostrodominio.com e afrf_reports@nostrodominio.com. Si noti che quei nomi delle caselle di posta sono completamente arbitrari, e non ci sono requisiti per la denominazione della parte locale della casella di posta; siamo liberi di scegliere i nomi che desideriamo, ma teniamo i due separati per facilitare l'elaborazione.
Una volta selezionati e creati i nomi delle caselle di posta nel nostro dominio, la prossima cosa da fare qui è mettere strumenti in atto per leggere queste caselle di posta e utilizzare i dati, specialmente i rapporti dei dati aggregati, che di nuovo sono progettati per essere analizzati dalle macchine, piuttosto che letti da un essere umano. I rapporti forensi, d'altra parte, potrebbero essere gestibili semplicemente leggendo noi stessi, ma la nostra capacità di farlo dipenderà sia dalla comprensione del nostro client di posta su come visualizzare i messaggi nel formato AFRF sia dal volume di rapporti che riceviamo.
Sebbene sia possibile per noi scrivere i nostri strumenti per elaborare i rapporti DMARC, fino a quando Bird non fornisce tali servizi per i clienti bird.com (qualcosa che stiamo considerando, ma non promettendo ancora), raccomandiamo di utilizzare strumenti già disponibili per il compito.
Quale Politica DMARC Utilizzare
La specifica DMARC fornisce tre opzioni per i proprietari di domini da utilizzare per specificare il trattamento preferito delle email che non superano i controlli di convalida DMARC. Esse sono:
nessuno, il che significa trattare la posta come verrebbe trattata indipendentemente dai controlli di convalida DMARC
quarantena, il che significa accettare la posta ma metterla da qualche altra parte rispetto all'Inbox del destinatario (tipicamente la cartella spam)
rifiuta, il che significa rifiutare il messaggio outright
È importante tenere a mente che il proprietario del dominio può solo richiedere tale trattamento nel suo record DMARC; sta al destinatario del messaggio decidere se onorare o meno la politica richiesta. Alcuni lo faranno, mentre altri potrebbero essere un po' più indulgenti nell'applicare la politica, come ad esempio solo collocando la posta nella cartella spam quando la politica del dominio è rifiuta.
Raccomandiamo a tutti i nostri clienti di partire con una politica di nessuno, semplicemente per essere al sicuro. Anche se siamo fiduciosi nella nostra capacità di autenticare correttamente la tua posta tramite la firma DKIM, è comunque meglio prendersi un po' di tempo per esaminare i rapporti sul tuo dominio prima di diventare più aggressivi con la tua politica DMARC.
Pubblicazione della Tua Politica DMARC
La politica DMARC di un dominio è annunciata pubblicando un record TXT DNS in un luogo specifico nello spazio dei nomi DNS, cioè “_dmarc.nome dominio.tld” (nota il trattino basso iniziale). Un record di politica DMARC di base per il nostro dominio di esempio precedente, joesbaitshop.com, potrebbe apparire qualcosa di simile:
_dmarc.joesbaitship.com. IN TXT "v=DMARC1\; p=none\; rua=mailto:agg_reports@joesbait.com\; ruf=mailto:afrf_reports@joesbait.com\; pct=100"
Analizzando questo record, abbiamo:
v=DMARC1 specifica la versione DMARC (1 è l'unica scelta attualmente)
p=none specifica il trattamento preferito, o di politica DMARC
rua=mailto:agg_reports@joesbait.com è la casella di posta a cui dovrebbero essere inviati i rapporti aggregati
ruf=mailto:afrf_reports@joesbait.com è la casella di posta a cui dovrebbero essere inviati i rapporti forensi
pct=100 è la percentuale di posta a cui il proprietario del dominio desidera che venga applicata la propria politica. I domini che stanno appena iniziando con DMARC, specialmente quelli che probabilmente genereranno un alto volume di rapporti, potrebbero voler iniziare con un numero molto più basso qui per vedere come i loro processi di gestione dei rapporti reggono il carico.
Esistono altre opzioni di configurazione disponibili per un proprietario di dominio da utilizzare nel proprio record di politica DMARC, ma i suggerimenti che abbiamo fornito dovrebbero essere un buon inizio.
Riepilogo
C'è molto da unpackare nelle informazioni sopra! Speriamo che tu possa trovare utile il come creare un record di politica DMARC. Speriamo anche che la nostra spiegazione su perché DMARC è importante aiutino a chiarire perché dovresti iniziare a utilizzare questo strumento importante per proteggere la tua reputazione email.
Certo, questo non è un documento completo o autorevole sull'argomento. Se vuoi approfondire o desideri ulteriori aiuti, un ottimo posto per iniziare è la FAQ ufficiale di DMARC. E, non è necessario dirlo, che il team di supporto di Bird è pronto ad aiutarti a configurare il tuo account Bird per DMARC.
Grazie per aver letto—e inizia a proteggere i tuoi domini con DMARC oggi stesso!