Le e-mail frau­do­len­te sono sempre più pe­ri­co­lo­se. Spesso sono dif­fi­cil­men­te di­stin­gui­bi­li dalle vere e proprie e-mail per il de­sti­na­ta­rio: riportano il nome di un mittente co­no­sciu­to e hanno l’aspetto familiare di una new­slet­ter o di un servizio e-mail. Per con­tra­sta­re questa minaccia è stato creato il sistema di va­li­da­zio­ne DMARC (Domain-based Message Au­then­ti­ca­tion Reporting and Con­for­man­ce).

La sfida: pro­teg­ge­re la re­pu­ta­zio­ne del dominio

Per impedire gli attacchi di phishing sono stati in­tro­dot­ti diversi mec­ca­ni­smi di sicurezza:

In qualità di titolari del dominio, è nel vostro interesse garantire che un truf­fa­to­re non possa inviare e-mail dannose o spam a vostro nome. Se ciò si ve­ri­fi­cas­se, il vostro dominio ap­pa­ri­reb­be nelle blacklist e le vostre e-mail sarebbero respinte da molti server di posta (bounces) o trattate come spam.

Esempio: Martin Mann è il pro­prie­ta­rio del dominio test.com e invia le sue mail con l’indirizzo martin.mann@test.com. Se un truf­fa­to­re utilizza l’indirizzo di posta elet­tro­ni­ca sales@test.com per le e-mail di spam, test.com viene inserito nelle blacklist e le mail di martin.mann@test.com vengono bloccate dai server di posta ricevente.

La soluzione: DMARC

DMARC è l’acronimo di “Domain-based Message Au­then­ti­ca­tion Reporting and Con­for­man­ce”. Questo concetto è stato svi­lup­pa­to in modo tale che i server di posta ricevente non ve­ri­fi­chi­no solo l’au­ten­ti­ci­tà delle e-mail (uti­liz­zan­do SPF e DKIM), ma in caso di risultati negativi del controllo attuino anche delle misure con­cor­da­te con il pro­prie­ta­rio del dominio di posta elet­tro­ni­ca mittente.

Il concetto alla base di DMARC

Il pro­prie­ta­rio del dominio informa tutti i po­ten­zia­li de­sti­na­ta­ri di posta (o i loro server di posta) che firma le sue mail con DKIM e/o che le autentica con SPF. Chiede loro di con­trol­la­re di con­se­guen­za tutte le mail pro­ve­nien­ti dal suo dominio e di adottare de­ter­mi­na­te misure in caso di sospetto (se il controllo ha esito negativo). Egli li informa di questo inserendo un’apposita voce nella zona del dominio e nell’in­te­sta­zio­ne della posta.

Il server di posta ricevente controlla se la posta può essere ve­ri­fi­ca­ta uti­liz­zan­do DKIM o SPF. Se ciò non è possibile, è con­si­de­ra­ta “sospetta”. Potrebbe trattarsi di una fal­si­fi­ca­zio­ne, cioè qualcun altro potrebbe aver uti­liz­za­to l’indirizzo del mittente in modo improprio per i propri scopi.

Come possibile misura, il titolare del dominio può con­si­glia­re ai de­sti­na­ta­ri di

  1. rifiutare la posta sospetta,
  2. metterla in qua­ran­te­na
  3. o ac­cet­tar­la comunque e ac­con­ten­tar­si di se­gna­lar­la al titolare del dominio.

Egli indica quale di queste tre misure adottare nel record DMARC (vedi sotto).

Anche il reporting rientra nel DMARC. I server di posta di de­sti­na­zio­ne do­vreb­be­ro inviare un report delle e-mail sospette (cioè quelle che non hanno potuto essere ve­ri­fi­ca­te con DKIM o SPF) al dominio del mittente a in­ter­val­li regolari. Gli indirizzi postali cor­ri­spon­den­ti si trovano anche nel record DMARC.

N.B.

I server di posta riceventi non sono obbligati a prendere in con­si­de­ra­zio­ne il record DMARC. Quindi se non ricevete messaggi su controlli DKIM o DPF con esito negativo, ciò non significa ne­ces­sa­ria­men­te che sia tutto regolare.

Il contenuto del record DMARC

Campo Si­gni­fi­ca­to
v=DMARC1 Versione della voce DMARC; DMARC1 indica la versione attuale.
p= sp= Rac­co­man­da­zio­ne su come il de­sti­na­ta­rio deve procedere in caso di fal­li­men­to del DKIM e della SPF: - none: non in­ter­ve­ni­re, elaborare nor­mal­men­te - qua­ran­ti­ne: mettere la posta in qua­ran­te­na - reject: re­spin­ge­re l’e-mail (bounce) p sta per “Policy” del dominio sp sta per “Subdomain Policy” e si riferisce ai sot­to­do­mi­ni.
pct= Per­cen­tua­le di e-mail da gestire secondo la policy definita sopra; questo valore è so­li­ta­men­te impostato a 100.
rua Definisce se e a quale indirizzo il server di posta ricevente deve inviare un report sommario (“ag­gre­ga­ted report”) sulle mail “sospette”. (At­ten­zio­ne: osservare le norme sulla pro­te­zio­ne dei dati!)
ruf Simile al campo “rua”, ma qui si tratta di un report “forense”, che contiene tutti i dettagli della posta “sospetta”. (At­ten­zio­ne: osservare le norme sulla pro­te­zio­ne dei dati!)
fo Failure Reporting Options; definisce quando un messaggio di posta deve essere segnalato: - fo=0: quando sia SPF, sia DKIM hanno esito negativo. Questa è l’im­po­sta­zio­ne pre­de­fi­ni­ta. - fo=1: se solo un controllo (SPF/DKIM) va a buon fine (“pass”). - fo=d: segnala il DKIM come fallito quando la firma non è corretta, anche se la chiave cor­ri­spon­de. - fo=s: segnala l’SPF come fallito quando la va­lu­ta­zio­ne dell’SPF fallisce per qualsiasi motivo, anche se la voce SPF nell’in­te­sta­zio­ne e il record DNS cor­ri­spon­do­no. Nel record DMARC si possono inserire diverse opzioni, separate da due punti.
rf Reporting Format: - afrf: Au­then­ti­ca­tion Failure Reporting Formats - iodef: Incident Object De­scrip­tion Exchange Format Lo standard è il formato afrf.
ri Reporting Interval, spe­ci­fi­ca­to in secondi; il valor pre­de­fi­ni­to è 86.400, ovvero 24 ore (una volta al giorno).
adkim aspf Im­po­sta­zio­ni per il controllo di DKIM o SPF: - s=Strict: il dominio deve cor­ri­spon­de­re esat­ta­men­te. Esempio: martin.mann@test.com - r=Relaxed: può anche essere un sot­to­do­mi­nio. Esempio: martin.mann@new­slet­ter.test.com

Creazione di un record DMARC

Prima di poter creare un record DMARC, è ne­ces­sa­rio aver pre­fis­sa­to i record per DKIM e SPF (potete con­sul­ta­re i nostri articoli relativi all’argomento, i cui link sono stati men­zio­na­ti sopra).

Su Internet si possono trovare strumenti che per­met­to­no di creare un record DMARC, come il DMARC Record Generator di EasyDmarc. Copiate questa voce come record TXT con il sot­to­do­mi­nio _dmarc nella zona del vostro na­me­ser­ver.

Immagine: Screenshot dello strumento DMARC Record Generator di easydmarc
Nel DMARC Record Generator di easydmarc potete creare sulla base del modulo il record DMARC, che viene vi­sua­liz­za­to in verde in basso.

Si rac­co­man­da di lasciare ini­zial­men­te la policy su “none” e di osservare per un po' di tempo av­va­len­do­si dei report se il DMARC funziona come de­si­de­ra­to.

In­se­ri­men­to del record DMARC nel na­me­ser­ver

È ne­ces­sa­rio inserire il record DMARC generato come TXT Resource Record presso il suo na­me­ser­ver. Per fare questo, accedete al vostro provider hosting di domini e aprite le im­po­sta­zio­ni per il vostro dominio (nell’esempio pre­ce­den­te questo sarebbe il dominio gmx.com). Nel tool di hosting cPanel la voce di menu cor­ri­spon­den­te si chiama “Zone Editor”. Qui si crea un nuovo record TXT con il nome del sot­to­do­mi­nio _dmarc. Il nome completo con il quale si può accedere al vostro record DMARC nel nostro esempio è perciò _dmarc.gmx.com.

Va­li­da­zio­ne del record DMARC

A seconda del na­me­ser­ver, ci vogliono alcuni minuti o ore prima che la voce DMARC venga pub­bli­ca­ta. Se si vuole ve­ri­fi­ca­re che la voce sia stata pub­bli­ca­ta cor­ret­ta­men­te, è possibile uti­liz­za­re uno dei tanti strumenti di­spo­ni­bi­li su Internet, come il DMARC Record Lookup Tool di EasyDMARC.

Immagine: Screenshot di DMARC Record Lookup Tool di easydmarc.com
Ricerca di un record DMARC con uno strumento gratuito, uti­liz­zan­do come esempio il dominio nytimes.com

Impostare l’indirizzo di posta per la se­gna­la­zio­ne

Il modo più semplice è quello di creare un nuovo indirizzo di posta elet­tro­ni­ca nel vostro dominio, che è riservato ai report DMARC. Nel nostro esempio: DMARC@test.com

Per ricevere le se­gna­la­zio­ni, il dominio ricevente deve aver dato il proprio consenso, cosa che fa anche tramite la voce DNS. Se non si ricevono i report DMARC, questo potrebbe essere dovuto al fatto che i server di posta riceventi DMARC non sono con­fi­gu­ra­ti per i report DMARC.

Vai al menu prin­ci­pa­le