DMARC è una parte importante della sicurezza della posta elettronica. I criteri DMARC sono archiviati nei record TXT DNS.
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.
Copia link dell'articolo
Domain-based Message Authentication Reporting and Conformance (DMARC) è un metodo per autenticare i messaggi di posta elettronica. Un criterio DMARC indica a un server di posta elettronica ricevente cosa fare dopo aver controllato i record Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM) di un dominio, che sono metodi di autenticazione della posta elettronica aggiuntivi.
DMARC e altri metodi di autenticazione della posta elettronica sono necessari per prevenire lo spoofing della posta elettronica. Ogni indirizzo e-mail ha un dominio, che è la parte dell'indirizzo che viene dopo il simbolo "@". I soggetti malintenzionati e gli spammer a volte provano a inviare e-mail da un dominio che non sono autorizzati a utilizzare, come qualcuno che scrive l'indirizzo del mittente sbagliato su una lettera. Possono farlo per cercare di ingannare gli utenti (come in un attacco di phishing), tra le altre ragioni.
Insieme, DMARC, DKIM e SPF funzionano come un controllo in background sui mittenti di e-mail, per assicurarsi che siano veramente chi dicono di essere.
Ad esempio, immagina che uno spammer invii un'e-mail dall'indirizzo "trustworthy@example.com", nonostante non sia autorizzato a inviare e-mail dal dominio "example.com". Lo spammer lo farebbe sostituendo l'intestazione "Da" nell'e-mail con "trustworthy@example.com": non invierebbe un'e-mail dal server di posta elettronica example.com effettivo. I server di posta elettronica che ricevono questa e-mail possono utilizzare DMARC, SPF e DKIM per scoprire che si tratta di un'e-mail non autorizzata e possono contrassegnare il messaggio e-mail come spam o rifiutarsi di consegnarlo.
Un criterio DMARC determina cosa succede a un'e-mail dopo che è stata confrontata con i record SPF e DKIM. Un'e-mail supera o non supera SPF e DKIM. Il criterio DMARC determina se l'errore comporta che l'e-mail venga contrassegnata come spam, venga bloccata o venga consegnata al destinatario previsto. (I server di posta elettronica possono comunque contrassegnare le e-mail come spam se non è presente alcun record DMARC, ma DMARC fornisce istruzioni più chiare su quando farlo).
Il criterio del dominio di example.com potrebbe essere:
"Se un'e-mail non supera i test DKIM e SPF, contrassegnala come spam".
Questi criteri non vengono registrati come frasi leggibili dall'uomo, ma piuttosto come comandi leggibili dalla macchina in modo che i servizi di posta elettronica possano interpretarli automaticamente. Tale criterio DMARC sarà effettivamente simile a quello riportato di seguito:
v=DMARC1; p=quarantine; adkim=s; aspf=s;
Cosa significa?
v=DMARC1
indica che questo record TXT contiene un criterio DMARC e deve essere interpretato come tale dai server di posta elettronica.p=quarantine
indica che i server di posta elettronica devono "mettere in quarantena" le e-mail che non superano DKIM e SPF, considerandole potenzialmente spam. Altre possibili impostazioni di questo includono p=none
, che consente le e-mail che non riescono ancora a superare l'autenticazione, e p=reject
, che indica ai server di posta elettronica di bloccare le e-mail che non superano l'autenticazione.adkim=s
indica che i controlli DKIM sono "rigorosi". Questo può anche essere impostato su "relaxed" cambiando s
in una r
, come adkim=r
.aspf=s
è lo stesso di adkim=s
, ma per SPF.aspf
e adkim
sono impostazioni facoltative. L'attributo p=
indica cosa devono fare i server di posta elettronica con le e-mail che non superano le autenticazioni SPF e DKIM.Se l'amministratore di example.com volesse rendere questo criterio ancora più rigoroso e segnalare con maggiore forza ai server di posta elettronica di considerare spam i messaggi non autorizzati, dovrebbe regolare l'attributo "p=" in questo modo:
v=DMARC1; p=reject; adkim=s; aspf=s;
In sostanza, significa questo: "Se un'e-mail non supera i test DKIM e SPF, non consegnarla".
I criteri DMARC possono contenere istruzioni per inviare report sulle e-mail che superano o non superano le autenticazioni DKIM o SPF. In genere, gli amministratori impostano i report da inviare a un servizio di terzi che li riduce a una forma più gestibile, in modo che gli amministratori non siano sopraffatti dalle informazioni. I report DMARC sono estremamente importanti perché forniscono agli amministratori le informazioni di cui hanno bisogno per decidere come modificare i loro criteri DMARC, ad esempio se le loro e-mail legittime non superano le autenticazioni SPF e DKIM o se uno spammer sta cercando di inviare e-mail illegittime.
L'amministratore di example.com aggiunge la parte rua
di questo criterio per inviare i propri report DMARC a un servizio di terzi (con un indirizzo e-mail di "example@third-party-example.com"):
v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:example@third-party-example.com;
Un record DMARC memorizza il criterio DMARC di un dominio. I record DMARC vengono archiviati nel Domain Name System (DNS) come record TXT DNS. Un record TXT DNS può contenere quasi tutto il testo che un amministratore di dominio desidera associare al proprio dominio. Uno dei modi in cui vengono utilizzati i record TXT DNS è archiviare i criteri DMARC.
(Si noti che un record DMARC è un record TXT DNS che contiene un criterio DMARC, non un tipo di record DNS specializzato).
Il criterio DMARC di example.com potrebbe essere simile a quello riportato di seguito:
Name | Tipo | Contenuto | TTL |
---|---|---|---|
_dmarc.example.com |
TXT |
v=DMARC1; p=quarantine; adkim=r; aspf=r; rua=mailto:example@third-party-example.com; |
32600 |
All'interno di questo record TXT, il criterio DMARC è contenuto nel campo "Content".
I domini che non inviano e-mail devono comunque avere un record DMARC per impedire agli spammer di utilizzare il dominio. Il record DMARC deve avere un criterio DMARC che rifiuti tutte le e-mail che non superano le autenticazioni SPF e DKIM, che dovrebbero essere tutte le e-mail inviate da quel dominio.
In altre parole, se example.com non fosse configurato per l'invio di e-mail, tutte le e-mail non avrebbero superato le autenticazioni SPF e DKIM e sarebbero state rifiutate.
Per assistenza nella configurazione di questo record in Cloudflare, utilizza la procedura guidata DNS di protezione della posta elettronica.
Scopri di più sui record DNS per la posta elettronica:
DMARC è descritto ulteriormente in RFC 7489.