L'autenticazione dei messaggi basata su dominio, il reporting e la conformità, o DMARC, è uno standard tecnico che aiuta a proteggere mittenti e destinatari di email da spam, spoofing e phishing.
L'Autenticazione dei Messaggi Basata su Dominio, Rapporti e Conformità, o DMARC, è uno standard tecnico che aiuta a proteggere mittenti e destinatari di email da spam, falsificazioni e phishing. DMARC consente a un'organizzazione di pubblicare una politica che definisce le proprie pratiche di autenticazione email e fornisce istruzioni ai server di posta in arrivo su come applicarle. In questa edizione di “DMARC Spiegato” imparerai cos'è DMARC e come funziona.
In particolare, DMARC stabilisce un metodo per un proprietario di dominio per:
Pubblicare le proprie pratiche di autenticazione email
Dichiarare quali azioni devono essere intraprese sulle email che non superano i controlli di autenticazione
Abilitare la segnalazione di queste azioni intraprese sulle email che si spacciano per provenienti dal proprio dominio
DMARC stesso non è un protocollo di autenticazione email, ma si basa su standard di autenticazione chiave SPF e DKIM. Con essi, integra SMTP, il protocollo di base utilizzato per inviare email, poiché SMTP non include di per sé alcun meccanismo per implementare o definire politiche per l'autenticazione email.
Come funziona DMARC?
DMARC si basa sugli standard SPF e DKIM consolidati per l'autenticazione delle email. Si appoggia anche sul ben consolidato Sistema dei Nomai di Dominio (DNS). In termini generali, il processo di convalida DMARC funziona così:
Un amministratore di dominio pubblica la politica che definisce le proprie pratiche di autenticazione delle email e come i server di posta in arrivo dovrebbero gestire le email che violano questa politica. Questa politica DMARC è elencata come parte dei record DNS complessivi del dominio.
Quando un server di posta in arrivo riceve un'email in ingresso, utilizza il DNS per cercare la politica DMARC per il dominio contenuto nell'intestazione “From” (RFC 5322) del messaggio. Il server in arrivo quindi controlla valuta il messaggio per tre fattori chiave:
La firma DKIM del messaggio è valida?
Il messaggio proviene da indirizzi IP consentiti dai record SPF del dominio mittente?
Le intestazioni del messaggio mostrano un'adeguata “allineamento del dominio”?
Con queste informazioni, il server è pronto ad applicare la politica DMARC del dominio mittente per decidere se accettare, rifiutare o altrimenti segnare il messaggio email.
Dopo aver utilizzato la politica DMARC per determinare la corretta disposizione del messaggio, il server di posta in arrivo riporterà l'esito al proprietario del dominio mittente.
Cos'è un record DMARC?
Un record DMARC è incluso nel database DNS di un'organizzazione. Un record DMARC è una versione formattata in modo speciale di un record DNS TXT standard con un nome particolare, vale a dire “_dmarc.mydomain.com” (nota l'underscore iniziale). Un record DMARC ha un aspetto simile a questo: _dmarc.mydomain.com. IN TXT “v=DMARC1\; p=none\; rua=mailto:dmarc-aggregate@mydomain.com\; ruf=mailto:dmarc-afrf@mydomain.com\; pct=100”
Leggendo da sinistra a destra in inglese semplice, questo record dice:
v=DMARC1 specifica la versione DMARC
p=none specifica il trattamento preferito, o la politica DMARC
rua=mailto:dmarc-aggregate@mydomain.com è la casella di posta a cui devono essere inviati i rapporti aggregati
ruf=mailto:dmarc-afrf@mydomain.com è la casella di posta a cui devono essere inviati i rapporti forensi
pct=100 è la percentuale di email a cui il proprietario del dominio desidera applicare la propria politica
Opzioni di configurazione aggiuntive sono disponibili per un proprietario di dominio da utilizzare nel proprio record di politica DMARC, ma questi sono i fondamenti.
Cosa significa l'allineamento del dominio DMARC?
“Allineamento del dominio” è un concetto in DMARC che espande la validazione del dominio intrinseca a SPF e DKIM. L'allineamento del dominio DMARC abbina il dominio “da” di un messaggio con informazioni rilevanti per questi altri standard:
Per SPF, il dominio From del messaggio e il suo dominio Return-Path devono corrispondere
Per DKIM, il dominio From del messaggio e il suo dominio DKIM d= devono corrispondere
L'allineamento può essere rilassato (corrispondendo ai domini base, ma consentendo diversi sottodomini) o rigido (corrispondendo precisamente all'intero dominio). Questa scelta è specificata nella politica DMARC pubblicata del dominio mittente.
Cosa sono le politiche DMARC p=?
La specifica DMARC fornisce tre opzioni per i proprietari di domini per specificare il trattamento preferito della posta che non supera i controlli di convalida DMARC. Queste "p= politiche" sono:
nessuna: trattare la posta come se non ci fosse alcuna convalida DMARC
quarantena: accettare la posta ma collocarla in un luogo diverso rispetto alla casella di posta del destinatario (tipicamente nella cartella spam)
rifiuta: rifiutare il messaggio outright
Ricorda che il proprietario del dominio può solo richiedere, non forzare, l'applicazione del proprio record DMARC; spetta al server di posta in entrata decidere se onorare o meno la politica richiesta.
Cos'è un rapporto DMARC?
I report DMARC sono generati dai server di posta in entrata come parte del processo di validazione DMARC. Ci sono due formati di report DMARC:
Report aggregati, che sono documenti XML che mostrano dati statistici sui messaggi ricevuti che affermavano di provenire da un determinato dominio. La data riportata include i risultati dell'autenticazione e la disposizione del messaggio. I report aggregati sono progettati per essere leggibili dalle macchine.
Report forensi, che sono copie individuali di messaggi che hanno fallito l'autenticazione, ciascuna racchiusa in un messaggio email completo utilizzando un formato speciale chiamato AFRF. Il report forense può essere utile sia per risolvere i problemi di autenticazione di un dominio sia per identificare domini e siti web malevoli.
Come è correlato DMARC a SPF, DKIM o ad altri standard?
DKIM, SPF e DMARC sono tutti standard che abilitano diversi aspetti dell'autenticazione delle email. Affrontano problemi complementari.
SPF consente ai mittenti di definire quali indirizzi IP sono autorizzati a inviare email per un determinato dominio.
DKIM fornisce una chiave di crittografia e una firma digitale che verifica che un messaggio email non sia stato falsificato o alterato.
DMARC unifica i meccanismi di autenticazione SPF e DKIM in un framework comune e consente ai proprietari di dominio di dichiarare come vorrebbero che le email da quel dominio venissero gestite se non superano un test di autorizzazione.
Ho bisogno di DMARC?
Se sei un'azienda che invia email commerciali o transazionali, devi assolutamente implementare una o più forme di autenticazione email per verificare che un'email provenga effettivamente da te o dalla tua azienda. Configurare correttamente DMARC aiuta i server di posta in ricezione a determinare come valutare i messaggi che affermano di provenire dal tuo dominio, ed è uno dei passi più importanti che puoi compiere per migliorare la tua capacità di consegna.
Tuttavia, standard come DMARC vanno solo fino a un certo punto; MessageBird e altri esperti di email raccomandano di implementare una politica di autenticazione email DMARC nel contesto di una strategia di messaggistica completa.