L'autenticazione dei messaggi basata su dominio, il reporting e la conformità, o DMARC, è uno standard tecnico che aiuta a proteggere mittenti e destinatari di email da spam, spoofing e phishing.
Business in a box.
Scopri le nostre soluzioni.
Parla con il nostro team di vendita
Comprendere DMARC
Domain-based Message Authentication, Reporting, and Conformance, o DMARC, è uno standard tecnico che aiuta a proteggere i mittenti e i destinatari di email da spam, spoofing e phishing. DMARC consente a un'organizzazione di pubblicare una politica che definisce le sue pratiche di autenticazione email e fornisce istruzioni ai server di posta riceventi su come applicarle. In questa edizione di "DMARC Explained" imparerai cos'è DMARC e come funziona.
Specifica, DMARC stabilisce un metodo per un proprietario di un dominio per:
Pubblicare le sue pratiche di autenticazione email
Dichiarare quali azioni dovrebbero essere intraprese su email che falliscono i controlli di autenticazione
Abilitare la segnalazione di queste azioni intraprese su email che pretendono di provenire dal suo dominio
DMARC in sé non è un protocollo di autenticazione email, ma si basa su standard chiave di autenticazione SPF e DKIM. Con essi, integra SMTP, il protocollo di base utilizzato per inviare email, poiché SMTP non include di per sé alcun meccanismo per implementare o definire politiche per l'autenticazione delle email.
Come funziona DMARC?
DMARC relies on the established SPF and DKIM standards for email authentication. It also piggybacks on the well-established Domain Name System (DNS). In general terms, the process of DMARC validation works like this:
A domain administrator publishes the policy defining its email authentication practices and how receiving mail servers should handle mail that violates this policy. This DMARC policy is listed as part of the domain’s overall DNS records.
When an inbound mail server receives an incoming email, it uses DNS to look up the DMARC policy for the domain contained in the message’s “From” (RFC 5322) header. The inbound server then checks evaluates the message for three key factors:
Does the message’s DKIM signature validate?
Did the message come from IP addresses allowed by the sending domain’s SPF records?
Do the headers in the message show proper “domain alignment”?
With this information, the server is ready to apply the sending domain’s DMARC policy to decide whether to accept, reject, or otherwise flag the email message.
After using DMARC policy to determine the proper disposition for the message, the receiving mail server will report the outcome to the sending domain owner.
Cos'è un record DMARC?
Un record DMARC è incluso nel database DNS di un'organizzazione. Un record DMARC è una versione formattata in modo speciale di un record TXT DNS standard con un nome particolare, ovvero “_dmarc.mydomain.com” (nota l'underscore iniziale). Un record DMARC appare in questo modo: _dmarc.mydomain.com. IN TXT “v=DMARC1\; p=none\; rua=mailto:dmarc-aggregate@mydomain.com\; ruf=mailto:dmarc-afrf@mydomain.com\; pct=100”
Leggendo da sinistra a destra in inglese semplice, questo record dice:
v=DMARC1 specifica la versione DMARC
p=none specifica il trattamento preferito, o la politica DMARC
rua=mailto:dmarc-aggregate@mydomain.com è la casella di posta a cui dovrebbero essere inviati i rapporti aggregati
ruf=mailto:dmarc-afrf@mydomain.com è la casella di posta a cui dovrebbero essere inviati i rapporti forensi
pct=100 è la percentuale di posta a cui il proprietario del dominio desidera applicare la propria politica
Opzioni di configurazione aggiuntive sono disponibili per un proprietario di dominio da utilizzare nel suo record di politica DMARC, ma queste sono le basi.
Cosa significa l'allineamento del dominio DMARC?
“Domain alignment” è un concetto in DMARC che espande la convalida del dominio intrinseca a SPF e DKIM. L'allineamento del dominio DMARC abbina il dominio “from” di un messaggio con informazioni rilevanti per questi altri standard:
Per SPF, il dominio From del messaggio e il suo dominio Return-Path devono corrispondere
Per DKIM, il dominio From del messaggio e il suo dominio DKIM d= devono corrispondere
L'allineamento può essere rilassato (abbinando i domini base, ma consentendo diversi sottodomini) o rigoroso (corrispondendo esattamente all'intero dominio). Questa scelta è specificata nella politica DMARC pubblicata del dominio mittente.
Cosa sono le politiche DMARC p=?
La specifica DMARC fornisce tre opzioni ai proprietari di domini per specificare il loro trattamento preferito della posta che non supera i controlli di convalida DMARC. Queste 'p= policies' sono:
none: tratta la posta allo stesso modo in cui verrebbe trattata senza alcuna convalida DMARC
quarantine: accetta la posta ma inoltrala in una cartella diversa dalla inbox del destinatario (tipicamente la cartella spam)
reject: rifiuta il messaggio direttamente
Ricorda che il proprietario del dominio può solo richiedere, non forzare, l'applicazione del suo record DMARC; spetta al server di posta in entrata decidere se rispettare o meno la policy richiesta.
Cos'è un rapporto DMARC?
I rapporti DMARC sono generati dai server di posta in entrata come parte del processo di convalida DMARC. Esistono due formati di rapporti DMARC:
Rapporti aggregati, che sono documenti XML che mostrano dati statistici sui messaggi ricevuti che affermano di provenire da un particolare dominio. La data riportata include i risultati dell'autenticazione e la disposizione del messaggio. I rapporti aggregati sono progettati per essere leggibili a macchina.
Rapporti forensi, che sono copie individuali di messaggi che hanno fallito l'autenticazione, ciascuno racchiuso in un messaggio email completo utilizzando un formato speciale chiamato AFRF. Il rapporto forense può essere utile sia per risolvere i problemi di autenticazione di un dominio sia per identificare domini e siti web dannosi.
Come è correlato DMARC a SPF, DKIM o ad altri standard?
DKIM, SPF e DMARC sono tutti standard che abilitano diversi aspetti dell'autenticazione delle email. Affrontano problemi complementari.
SPF permette ai mittenti di definire quali indirizzi IP sono autorizzati a inviare email per un particolare dominio.
DKIM fornisce una chiave di crittografia e una firma digitale che verifica che un messaggio email non sia stato falsificato o alterato.
DMARC unifica i meccanismi di autenticazione SPF e DKIM in un quadro comune e permette ai proprietari del dominio di dichiarare come vogliono che le email da quel dominio vengano gestite se non superano un test di autorizzazione.
Ho bisogno di DMARC?
Se sei un'azienda che invia email commerciali o transazionali, devi assolutamente implementare una o più forme di autenticazione email per verificare che un'email provenga effettivamente da te o dalla tua azienda. Configurare correttamente DMARC aiuta i server di posta in ricezione a determinare come valutare i messaggi che affermano di provenire dal tuo dominio, ed è uno dei passi più importanti che puoi compiere per migliorare la tua capacità di consegna.
Tuttavia, standard come DMARC vanno solo fino a un certo punto; MessageBird e altri esperti di email raccomandano di implementare una politica di autenticazione email DMARC nel contesto di una strategia di messaggistica completa.
