Il mec­ca­ni­smo di verifica DMARC (Domain-based Message Au­then­ti­ca­tion Reporting and Con­for­man­ce) è stato creato per di­stin­gue­re le e-mail frau­do­len­te da quelle au­ten­ti­che. I pro­prie­ta­ri e le pro­prie­ta­rie di domini, in par­ti­co­la­re, be­ne­fi­cia­no di questo sistema che evita che il loro dominio finisca in blacklist e che le e-mail vengano respinte o trattate come spam.

Che cos’è DMARC?

DMARC sta per “Domain-based Message Au­then­ti­ca­tion, Reporting and Con­for­man­ce”. Il sistema integra le tecniche di au­ten­ti­ca­zio­ne esistenti come SPF e DKIM, fornendo ai server di posta istru­zio­ni precise su come gestire i messaggi che non superano queste verifiche.

Come funziona DMARC?

  • I pro­prie­ta­ri e le pro­prie­ta­rie di domini pub­bli­ca­no in una zona DNS un record TXT speciale con le im­po­sta­zio­ni DMARC.
  • I server di posta riceventi ve­ri­fi­ca­no le e-mail in entrata basandosi su SPF e/o DKIM.
  • Se la verifica fallisce, il server ricevente applica la policy contenuta nel record DMARC.
  • Inoltre, possono essere inviati report ai pro­prie­ta­ri e alle pro­prie­ta­rie dei domini affinché possano ri­co­no­sce­re eventuali attacchi e prendere prov­ve­di­men­ti.
Servizi di hosting e-mail su misura per le tue esigenze
  • Indirizzo e-mail per­so­na­liz­za­to
  • Accedi alle tue e-mail da qualsiasi luogo
  • Massimi standard di sicurezza

Pa­no­ra­mi­ca delle politiche DMARC

Policy Si­gni­fi­ca­to Utilizzo tipico
none L’e-mail viene con­se­gna­ta nor­mal­men­te, viene ef­fet­tua­to solo un report. Prima fase di test per l’analisi dei report
quarantine Le e-mail sospette vengono spostate nella cartella spam o in qua­ran­te­na. Adatto a ridurre i rischi senza rifiutare com­ple­ta­men­te le e-mail legittime
reject Le e-mail sospette vengono rifiutate e non vengono con­se­gna­te. Obiettivo finale per domini con record SPF e DKIM com­ple­ta­men­te stabiliti

DMARC: report

Un com­po­nen­te es­sen­zia­le di DMARC è il sistema di feedback. Questo informa i pro­prie­ta­ri e le pro­prie­ta­rie di domini su possibili tentativi di abuso:

  • Report aggregati (rua): rie­pi­lo­ghi gior­na­lie­ri di tutte le e-mail ve­ri­fi­ca­te, ge­ne­ral­men­te nel formato XML. Questi riportano in­for­ma­zio­ni su volume, origine e risultati delle verifiche.
  • Report forensi (ruf): rapporti det­ta­glia­ti sugli esiti negativi delle verifiche, che possono includere in­te­sta­zio­ni e parti di contenuto spe­ci­fi­che del messaggio sospetto.

È im­por­tan­te che i report possano contenere dati sensibili (ad esempio indirizzi e-mail, in­for­ma­zio­ni sul mittente, dettagli tecnici). Pertanto, durante la con­fi­gu­ra­zio­ne, si do­vreb­be­ro sempre con­si­de­ra­re le norme sulla pro­te­zio­ne dei dati vigenti.

N.B.

I server di posta riceventi non sono obbligati a con­si­de­ra­re i record DMARC. Se non ricevi se­gna­la­zio­ni su controlli DKIM o SPF falliti, ciò non significa ne­ces­sa­ria­men­te che sia tutto a posto.

Il contenuto del record DMARC

Un record DMARC è me­mo­riz­za­to come record TXT nel DNS di un dominio. È composto da diversi parametri che insieme sta­bi­li­sco­no come gestire le e-mail in arrivo.

Campi DMARC e loro si­gni­fi­ca­to

Campo/Tag Si­gni­fi­ca­to Valori/Opzioni tipiche
v Versione del record DMARC DMARC1 (versione attuale)
p Policy del dominio prin­ci­pa­le none = solo mo­ni­to­rag­gio, quarantine = e-mail sospette in spam/qua­ran­te­na, reject = rifiuto delle e-mail sospette
sp Policy per i sot­to­do­mi­ni none, quarantine, reject
pct Per­cen­tua­le di e-mail ve­ri­fi­ca­te tramite DMARC Standard: 100 (tutte le e-mail). Può essere impostato ad esempio su 50 per in­tro­dur­re gra­dual­men­te DMARC
rua Indirizzo(i) per report aggregati Esempio: rua=mailto:dmarc-reports@tuodominio.it
ruf Indirizzo(i) per report forensi Esempio: ruf=mailto:dmarc-forensic@tuodominio.it
fo Opzioni di se­gna­la­zio­ne errori, quando segnalare un errore fo=0 = solo se SPF e DKIM fal­li­sco­no (standard); fo=1 = se fallisce almeno una verifica; fo=d = errori DKIM det­ta­glia­ti; fo=s = errori SPF det­ta­glia­ti
rf Formato per report forensi afrf (standard, Au­then­ti­ca­tion Failure Reporting Format), iodef
ri In­ter­val­lo di report in secondi Standard: 86400 (24 ore)
adkim Al­li­nea­men­to per DKIM r = relaxed (sot­to­do­mi­ni con­sen­ti­ti), s = strict (cor­ri­spon­den­za esatta richiesta)
aspf Al­li­nea­men­to per SPF r = relaxed, s = strict

Esempio di un record DMARC

_dmarc.example.com. IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-forensic@example.com; pct=100; adkim=s; aspf=s"
txt
Immagine: ION_IT_DG-PEC_960x320.png
Immagine: ION_IT_DG-PEC_1200x1200.png

Creazione di un record DMARC

Prima di poter creare un record DMARC, devono essere già presenti i record SPF e DKIM per il tuo dominio. Solo quando questa base è stata definita, il DMARC può esprimere tutta la sua efficacia.

Primo passaggio: genera un record DMARC

Utilizza uno strumento online, come ad esempio DMARC Record Generator di EasyDMARC. Lì inserisci il tuo dominio e le opzioni de­si­de­ra­te (politica, indirizzi di re­por­ti­sti­ca, ecc.).

Immagine: Screenshot dello strumento DMARC Record Generator di EasyDMARC
DMARC Record Generator

Secondo passaggio: crea un record TXT nel DNS

Suc­ces­si­va­men­te, accedi al tuo provider di dominio e apri le im­po­sta­zio­ni DNS. Crea un record TXT con i seguenti valori per con­fi­gu­ra­re il record DMARC per il dominio:

  • Sot­to­do­mi­nio: _dmarc.tuodominio.it
  • Tipo: TXT
  • Valore: il record DMARC generato dal ge­ne­ra­to­re

Esempio:

_ dmarc.tuodominio.it. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@tuodominio.it"
txt

Terzo passaggio: introduci gra­dual­men­te la policy

  1. Inizio con p=none
  • Solo mo­ni­to­rag­gio; le e-mail vengono con­se­gna­te nor­mal­men­te.
  • Ana­liz­za­re i report DMARC per ve­ri­fi­ca­re se tutti i server legittimi sono au­ten­ti­ca­ti cor­ret­ta­men­te.
  1. Passare a p=quarantine
  • Le e-mail sospette vengono spostate in spam/qua­ran­te­na.
  • Il rischio di abuso del dominio di­mi­nui­sce no­te­vol­men­te.
  1. Con­clu­de­re con p=reject
  • Le e-mail non au­ten­ti­ca­te vengono bloccate e non vengono con­se­gna­te.
  • Fase finale con­si­glia­ta per i domini con record SPF e DKIM com­ple­ta­men­te stabiliti.

Si consiglia di lasciare ini­zial­men­te la policy su none e di mo­ni­to­ra­re per un po’ at­tra­ver­so i report se DMARC funziona come previsto.

Quarto passaggio: configura l’indirizzo di se­gna­la­zio­ne

Crea un indirizzo separato, ad esempio dmarc-reports@tuodominio.it. Utilizza questo indirizzo esclu­si­va­men­te per i report DMARC, per evitare di so­vrac­ca­ri­ca­re le caselle di posta regolari. Fa­col­ta­ti­va­men­te, puoi creare anche un indirizzo per i report forensi, ad esempio dmarc-forensic@tuodominio.it. Tieni presente i seguenti punti:

  • Separa i report: utilizza gli indirizzi esclu­si­va­men­te per i report DMARC. In questo modo, eviti che le caselle di posta normali vengano inondate di file XML.
  • Ga­ran­ti­sci l’au­to­riz­za­zio­ne DNS: affinché un server di posta esterno possa inviare report al tuo dominio, il tuo dominio deve dare il consenso nel DNS. Senza questo consenso, non riceverai report DMARC, anche se il record è impostato cor­ret­ta­men­te.
  • Rispetto della privacy: i report DMARC con­ten­go­no dati sensibili (ad esempio, indirizzi IP, indirizzi e-mail). Verifica che il trat­ta­men­to sia conforme alle tue politiche interne sulla privacy e, se ne­ces­sa­rio, al GDPR.

Quinto passaggio: monitora i risultati

Utilizza strumenti spe­cia­liz­za­ti per ana­liz­za­re i report e rilevare ra­pi­da­men­te gli abusi. I servizi come Google Post­ma­ster Tools o Microsoft SNDS (Smart Network Data Services) vi­sua­liz­za­no se e come il tuo dominio viene abusato da ma­lin­ten­zio­na­ti e fa­ci­li­ta­no l’adat­ta­men­to della tua policy DMARC.

Sesto passaggio: verifica il record DMARC

A seconda del name server, possono essere necessari alcuni minuti o ore per pub­bli­ca­re il record DMARC. Se vorresti ve­ri­fi­ca­re se il record è stato pub­bli­ca­to cor­ret­ta­men­te, puoi uti­liz­za­re uno dei numerosi strumenti di verifica DMARC di­spo­ni­bi­li su internet, come DMARC Record Lookup Tool di EasyDMARC.

Immagine: Schermata di DMARC Record Lookup Tool di easydmarc.com
DMARC Record Lookup
Vai al menu prin­ci­pa­le