Sommario
Che cos'è l'autenticazione DMARC?
DMARC, acronimo di Domain-based Message Authentication, Reporting, and Conformance (autenticazione, segnalazione e conformità dei messaggi basati sul dominio), è un protocollo di autenticazione che migliora la sicurezza delle comunicazioni via email prevenendo gli attacchi di spoofing e phishing. DMARC è coadiuvato da due tecnologie esistenti di autenticazione delle email: SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail).
Perché DMARC?
-
Autenticazione: DMARC aggiunge un ulteriore livello di autenticazione per verificare che il mittente di un'email sia legittimo.
-
Protezione dal phishing: DMARC aiuta a proteggere dagli attacchi di phishing, garantendo che le email inviate da un dominio siano autorizzate e non siano state manomesse.
-
Protezione del marchio: DMARC aiuta a proteggere la reputazione del tuo marchio riducendo le probabilità che malintenzionati si spaccino per il tuo dominio.
- Iniziative di Gmail e Yahoo per la sicurezza delle email per il 2024: nel costante tentativo di rendere meno vulnerabili le caselle di posta elettronica, sia Gmail che Yahoo hanno annunciato l'implementazione di nuovi standard di protezione per chi invia email in blocco. Per maggiori informazioni, consulta la seguente guida.
Tag DMARC
I tag DMARC sono componenti essenziali di un record DMARC in quanto contribuiscono a definire i criteri DMARC per un dominio, specificando come i destinatari debbano gestire le email che dichiarano di provenire da tale dominio. Ecco alcuni importanti tag DMARC:
Criteri DMARC per i messaggi non autenticati
Questi criteri sono impostati nel tag "p" del record DMARC e definiscono l'azione da intraprendere quando l'autenticazione DMARC non va a buon fine. Scegli i criteri che si allineano ai requisiti di sicurezza e alla tolleranza al rischio della tua organizzazione.
Una volta accertata l'autenticazione del traffico, puoi passare a opzioni più restrittive come "p=quarantine" o alla più rigida "p=reject". Fai attenzione al criterio "p=reject", poiché può avere un impatto significativo su tutto il traffico inviato dal tuo dominio e dovrebbe essere impostato solo se si è assolutamente certi che sia opportuno farlo.
L'allineamento DMARC e il suo ruolo cruciale
DMARC opera secondo il principio dell'allineamento, determinando la validità di un messaggio in base alla corrispondenza tra l'intestazione "Da:" e il dominio di invio specificato da SPF o DKIM.
Sebbene SPF e DKIM siano tecnologie note, è importante sapere che singolarmente non influenzano direttamente l'indirizzo Da, ovvero la parte visibile agli utenti in un'email. Questa lacuna lascia spazio a phishing, spoofing e altre attività dannose. DMARC agisce come controllo cruciale, affrontando queste vulnerabilità e migliorando la sicurezza delle email.
L'allineamento degli identificatori è il fulcro di DMARC, in quanto fa da ponte tra i meccanismi di autenticazione SPF e DKIM e i criteri di applicazione delineati nel record DMARC. L'allineamento si riferisce in particolare al rapporto tra il dominio nell'indirizzo dell'intestazione Da e i domini verificati tramite i controlli di autenticazione SPF e DKIM. Un allineamento riuscito garantisce la corrispondenza tra questi domini, consentendo alle email di superare DMARC. Al contrario, una mancata corrispondenza tra i domini determina il fallimento di DMARC.
Analizziamo l'allineamento attraverso i seguenti esempi:
L'allineamento corretto dell'email segnala al mondo esterno che uno specifico fornitore (in questo caso Mailjet) o server è esplicitamente autorizzato a inviare email per conto della tua organizzazione. Ciò garantisce che vengano recapitate solo email approvate, consentendoti di indicare ai destinatari di ignorare i messaggi non autorizzati. In assenza di allineamento, si crea incertezza quando i destinatari delle email tentano di verificare l'origine e l'attendibilità di un messaggio.
Poiché DMARC opera sulla base del dominio, è essenziale configurare l'invio di email a tuo nome. Accedi al DNS dell'organizzazione e coordinati con Mailjet per allineare le configurazioni di invio delle email. Date le variazioni uniche nei metodi di configurazione, è fondamentale comprendere come identificare, organizzare e gestire queste fonti all'interno del tuo ecosistema email.
L'obiettivo finale è quello di ottenere un allineamento quasi del 100%. Successivamente, implementa criteri DMARC sempre più restrittivi, passando da p=none a p=quarantine e infine a p=reject.
Opzioni di allineamento DMARC
Modalità di allineamento
È possibile scegliere tra due modalità di allineamento: rigoroso e rilassato. La modalità viene specificata nel record DMARC utilizzando i tag "aspf" e "adkim", rispettivamente, per SPF e DKIM.
Questa scelta è volta a fornire flessibilità e a soddisfare gli scenari più comuni di invio di email. Se da un lato un allineamento "rigoroso" può offrire una maggiore protezione da alcuni scenari di spoofing, dall'altro potrebbe portare al rifiuto o alla contrassegnazione come spam dei messaggi provenienti dai sottodomini associati.
Allineamento rigoroso:
- SPF (Sender Policy Framework): richiede una corrispondenza esatta tra il dominio “Intestazione Da” e il dominio “Percorso di ritorno”.
- DKIM (DomainKeys Identified Mail): richiede una corrispondenza esatta tra il dominio “Intestazione Da” e il dominio della firma DKIM.
Allineamento rilassato:
-
SPF (Sender Policy Framework): richiede una corrispondenza esatta O parziale tra il dominio "Intestazione Da" e il dominio "Percorso di ritorno".
Nell'allineamento SPF, si verifica una corrispondenza parziale quando il dominio "Intestazione da" si allinea con il dominio "Percorso di ritorno" se i domini padre/radice corrispondono.
Esempio:
- Dominio "Intestazione Da" = tuodominio.com
- Dominio "Percorso di ritorno" = bnc3.tuodominio.com
Pur non essendo una corrispondenza esatta, si tratta di una corrispondenza parziale perché "tuodominio.com" è il dominio padre/radice in entrambi i domini "Intestazione Da" e "Percorso di ritorno". In questo scenario, l'allineamento SPF sarà convalidato in modalità rilassata.
-
DKIM (DomainKeys Identified Mail): richiede una corrispondenza esatta O parziale tra il dominio "Intestazione Da" e il dominio di firma DKIM.
Nell'allineamento DKIM, si verifica una corrispondenza parziale quando il dominio "Intestazione da" si allinea con il dominio della firma DKIM se i domini padre/radice corrispondono.
Esempio:
- Dominio "Intestazione Da" = tuodominio.com
- Dominio della firma DKIM = test.tuodominio.com
Pur non essendo una corrispondenza esatta, si tratta di una corrispondenza parziale perché "tuodominio.com" è il dominio padre/radice sia nel dominio della firma DKIM che in quello "Intestazione Da". In questo scenario, l'allineamento DKIM sarà convalidato in modalità rilassata.
Ad esempio, "bnc3.tuodominio.com" è differente dall'intestazione Da, che in genere è "tuodominio.com". Questo approccio equilibrato ottimizza l'autenticazione delle email, riconoscendo al contempo le distinzioni specifiche tra i domini.
L'allineamento rilassato fornisce una protezione sufficiente dallo spoofing ed è solitamente utilizzato per evitare rifiuti superflui o la contrassegnazione come spam.
D'altra parte, con DKIM, è possibile ottenere una corrispondenza di allineamento "rigorosa", se configurata correttamente con Mailjet.
Per ulteriori informazioni su come configurare correttamente SPF e DKIM con Mailjet per ottenere un allineamento ottimale dei controlli DMARC, consulta la nostra guida.
Controlli DMARC
Affinché un messaggio superi DMARC, deve superare con successo almeno uno dei seguenti controlli:
- Autenticazione SPF e allineamento SPF
- Autenticazione DKIM e allineamento DKIM
Nota importante
Mentre l'allineamento rilassato fornisce in genere una protezione sufficiente dallo spoofing, l'adozione di un allineamento rigoroso può determinare il rifiuto o la contrassegnazione come spam dei messaggi provenienti da sottodomini associati.
Configurazione di DMARC
Passaggio 1: configurazione dei record DNS
-
Accesso alle impostazioni DNS:
- Accedi al tuo registrar di dominio o fornitore di hosting DNS.
- Accedi al tuo registrar di dominio o fornitore di hosting DNS.
-
Creazione di un record TXT DMARC:
- Aggiungi un record TXT DMARC alle impostazioni DNS. Il record deve specificare i criteri di gestione delle email che non superano l'autenticazione DMARC.
- Il nome host/nome del record TXT dovrebbe essere "_dmarc.tuodominio.com" con "tuodominio.com" sostituito dal tuo nome di dominio effettivo o sottodominio.
- Assicurati che il tipo di record sia impostato su 'TXT', che l'host/nome sia configurato come '_dmarc', e che il valore TXT corrisponda al record fornito di seguito.
- Importante: Alcuni host di dominio aggiungono automaticamente il nome di dominio dopo _dmarc. Dopo aver aggiunto il record TXT, verifica il nome del record TXT DMARC per assicurarti che sia formattato correttamente.
- Ti consigliamo di utilizzare il TTL predefinito.
Esempio di record TXT DMARC:
v=DMARC1; p=none; rua=mailto:your@email.com; ruf=mailto:your@email.com
-
v=DMARC1
: indica l'uso della versione 1 di DMARC. -
p=none
: specifica i criteri da adottare se un'email non supera DMARC. Le opzioni includono "none", " quarantine" e "reject".
-
Indicazione degli indirizzi a cui inviare i rapporti aggregati e forensi:
-
rua=mailto:your@email
.com: questo indirizzo email riceverà i rapporti aggregati. -
ruf=mailto:your@email
.com: questo indirizzo email riceverà i rapporti forensi.
-
Passaggio 2: implementazione graduale
Dopo l'implementazione iniziale, il passaggio cruciale è il monitoraggio dell'autenticazione del traffico (p=none). Esamina quotidianamente i rapporti DMARC aggregati e/o forensi. Man mano che accumuli dati sufficienti che dimostrano la buona riuscita dell'autenticazione di email legittime, puoi procedere tranquillamente all'implementazione graduale di criteri DMARC più rigidi ("p=quarantine" o "p=reject"). Questo approccio graduale migliora la sicurezza delle email nel tempo.
Passaggio 3: adeguamento dei criteri
-
Passaggio a Quarantine o Reject:
- Una volta acquisita certezza sui risultati, imposta i criteri DMARC su "quarantine" o "reject" per proteggerti dalle email non autorizzate.
Esempio di record TXT DMARC per Reject:
v=DMARC1; p=reject; rua=mailto:your@email.com; ruf=mailto:your@email.com
Migliori pratiche
-
Implementazione di SPF e DKIM:
- Assicurati che Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM) siano correttamente configurati.
-
Implementazione graduale dei criteri:
- Inizia con un criterio "none", analizza i rapporti e passa gradualmente a "quarantine" o "reject".
-
Monitoraggio regolare dei rapporti:
- Rimani sempre al corrente dei risultati dell'autenticazione delle email attraverso i rapporti DMARC.
-
Aggiornamento dei record SPF e DKIM:
- Aggiorna regolarmente i record SPF e DKIM per includere tutte le fonti di email legittime.
Conclusioni
L'implementazione dell'autenticazione DMARC è un passaggio fondamentale per proteggere le comunicazioni via email, prevenire gli attacchi di phishing e salvaguardare la reputazione del tuo marchio. Monitora regolarmente i rapporti, adegua i criteri se necessario e assicurati di mantenere sempre un ambiente di posta elettronica sicuro.
Ricorda che il successo dell'implementazione dell'autenticazione DMARC si basa sul monitoraggio continuo, sull'analisi e sull'adeguamento al costante evolversi delle minacce email.