Per proteggere il tuo dominio e la tua identità online dai truffatori che cercano di spacciarsi per te, devi impostare DMARC per i tuoi domini e-mail. DMARC funziona grazie agli sforzi cumulativi di autenticazione e-mail dei protocolli SPF e DKIM. Di conseguenza, gli utenti DMARC beneficiano anche della ricezione di rapporti su problemi di consegna, autenticazione e fallimenti di allineamento per le loro e-mail. Per saperne di più su cosa è DMARC qui.

Se il vostro rapporto aggregato DMARC dice "SPF alignment failed" discutiamo cosa significa avere il vostro SPF allineato e come potete risolvere questo problema.

Cos'è l'allineamento SPF?

Un messaggio di posta elettronica è composto da diverse intestazioni. Ogni intestazione contiene informazioni su certi attributi di un messaggio di posta elettronica, compresa la data di invio, da dove è stato inviato e a chi è stato inviato. SPF si occupa di due tipi di intestazioni di e-mail:

  • The <From:> header
  • L'intestazione Return-Path

Quando il dominio nell'intestazione From: e il dominio nell'intestazione return-path corrispondono per un'email, l'allineamento SPF passa per quell'email. Tuttavia, quando i due non corrispondono, di conseguenza fallisce. L'allineamento SPF è un criterio importante che decide se un messaggio email è legittimo o falso.

Mostrato sopra è un esempio in cui l'intestazione From: è in allineamento (corrisponde esattamente) con l'intestazione Return-path (Mail From), quindi l'allineamento SPF passerebbe per questa email.

Perché l'allineamento SPF fallisce?

Caso 1: Il tuo modo di allineamento SPF è impostato su rigoroso

Mentre la modalità di allineamento SPF predefinita è rilassata, impostare una modalità di allineamento SPF rigorosa può portare a fallimenti di allineamento se il dominio del percorso di ritorno è un sottodominio del dominio organizzativo radice, mentre l'intestazione From: incorpora il dominio organizzativo. Questo perché per allineare SPF in modalità rigorosa, i domini nelle due intestazioni devono essere una corrispondenza esatta. Tuttavia, per l'allineamento rilassato, se i due domini condividono lo stesso dominio di primo livello, l'allineamento SPF passerà.

Mostrato sopra è un esempio di una mail che condivide lo stesso dominio di primo livello ma il nome del dominio non è una corrispondenza esatta (il dominio Mail From è un sottodominio del dominio organizzativo company.com). In questo caso, se la tua modalità di allineamento SPF è impostata su "rilassato", la tua mail passerà l'allineamento SPF, tuttavia per una modalità rigorosa, fallirà lo stesso. 

Caso 2: Il tuo dominio è stato spoofed

Una ragione molto comune per i fallimenti dell'allineamento SPF è lo spoofing del dominio. Questo è il fenomeno quando un criminale informatico assume la vostra identità falsificando il vostro nome di dominio o indirizzo per inviare e-mail ai vostri destinatari. Mentre il dominio From: porta ancora la vostra identità, l'intestazione Return-path mostra l'identità originale dello spoofer. Se avete l'autenticazione SPF in atto per il vostro dominio falsificato, l'email inevitabilmente fallisce l'allineamento dalla parte del destinatario.

Correzione di "allineamento SPF fallito".

Per correggere gli errori di allineamento dell'SPF è possibile: 

  • Imposta la tua modalità di allineamento su "rilassato" invece di "rigoroso". 
  • Configura DMARC per il tuo dominio, in cima a SPF e DKIM, in modo che anche se la tua email fallisce l'allineamento dell'intestazione SPF e passa l'allineamento DKIM, passa DMARC e viene consegnata al tuo destinatario

Il nostro analizzatore di rapporti DMARC può aiutarti a ottenere il 100% di conformità DMARC sulle tue email in uscita e a prevenire tentativi di spoofing o fallimenti di allineamento dovuti a configurazioni errate del protocollo. Godetevi un'esperienza di autenticazione più sicura e affidabile prendendo la vostra prova gratuita DMARC oggi stesso!

DMARC è un protocollo standard di autenticazione delle e-mail che, quando configurato sopra i record SPF e DKIM esistenti, aiuta a confermare se uno o entrambi i controlli di autenticazione sono falliti. Perché DMARC è importante? Diciamo che qualcuno invia un'email a nome della vostra azienda e fallisce DMARC, il che significa che potete prendere un'azione autorevole. DMARC è stato progettato per fermare lo spam e il phishing, aiutando le aziende a gestire la sicurezza delle e-mail. Uno degli obiettivi principali è quello di aiutare le aziende a proteggere i loro marchi e mantenere la loro reputazione. DMARC protegge le e-mail in transito e aiuta a prevenire attacchi di spoofing e phishing rifiutando i messaggi che non soddisfano determinati standard. I server di posta possono anche segnalare i messaggi che ricevono da altri server di posta per aiutare il mittente a risolvere eventuali problemi.

Proteggere le tue email è importante per mantenere i tuoi clienti al sicuro dai criminali informatici che potrebbero rubare le loro informazioni personali. In questo post del blog, spiegheremo l'importanza di DMARC e cosa puoi fare per implementarlo correttamente per il tuo dominio.

Perché DMARC è importante e perché dovresti usare DMARC?

Se non siete ancora sicuri se dovreste usare DMARC, contiamo alcuni benefici che fornisce:

  • DMARC riguarda la sicurezza e la consegnabilità delle email. Fornisce un robusto rapporto di autenticazione, minimizza il phishing e riduce i falsi positivi.
  • Aumentare la deliverability e ridurre il bouncing
  • Ricevere rapporti completi su come vengono autenticati i messaggi
  • Il protocollo DMARC aiuta a identificare gli spammer e impedisce ai messaggi fasulli di raggiungere le caselle di posta.
  • DMARC aiuta a ridurre le possibilità che le tue e-mail siano contrassegnate o segnalate come spam
  • Ti dà una migliore visibilità e autorità sui tuoi domini e canali email

Chi può usare DMARC?

DMARC è supportato da Microsoft Office 365, Google Workspace e altre popolari soluzioni basate sul cloud. Dal 2010, DMARC fa parte del processo di autenticazione delle e-mail. Il suo scopo era quello di rendere più difficile per i criminali informatici inviare e-mail di spam da un indirizzo valido, aiutando a combattere l'epidemia di attacchi di phishing. I proprietari di domini di piccole imprese, così come le imprese, sono incoraggiati dagli esperti del settore a creare un record DMARC per fornire istruzioni su come il loro dominio e-mail deve essere protetto. Questo a sua volta aiuta a proteggere la reputazione e l'identità del loro marchio. 

Come stabilire il record DMARC del tuo dominio? 

I passi per configurare il tuo dominio con i protocolli di autenticazione e-mail sono i seguenti: 

  • Creare un record SPF e controllarlo usando un SPF checker per assicurarsi che il record sia funzionale e privo di possibili errori sintattici
  • Abilita l'autenticazione DKIM per il tuo dominio
  • Infine, imposta il tuo dominio con DMARC e abilita la segnalazione DMARC configurando il nostro analizzatore di rapporti DMARC gratuito

DMARC non solo ha guadagnato un'importanza sostanziale negli ultimi anni, ma alcune aziende si stanno sforzando di renderlo obbligatorio per i loro dipendenti in modo da prevenire la perdita di dati sensibili e risorse. Quindi, è il momento di prendere in considerazione i suoi vari benefici e passare a un'esperienza di posta elettronica più sicura con DMARC. 

I record DMARC sono un insieme di vari meccanismi o tag DMARC che comunicano istruzioni specifiche ai server di ricezione della posta elettronica durante il trasferimento. Ognuno di questi tag DMARC contiene un valore che è definito dal proprietario del dominio. Oggi discuteremo cosa sono i tag DMARC e cosa significano ciascuno di essi. 

Tipi di tag DMARC

Ecco tutti i tag DMARC disponibili che il proprietario di un dominio può specificare nel suo record DMARC:

Tag DMARC Tipo Valore predefinito Cosa significa
v obbligatorio Il tag v rappresenta la versione del protocollo DMARC e ha sempre il valore v=DMARC1 
pct opzionale 100 Questo tag rappresenta la percentuale di email a cui la modalità di policy è applicabile. Per saperne di più sul tag DMARC pct
p obbligatorio Questo tag indirizza la modalità della politica DMARC. Puoi scegliere tra rifiutare, mettere in quarantena e nessuno. Per saperne di più su cos'è la politica DMARC per ottenere chiarezza su quale modalità selezionare per il tuo dominio.
sp opzionale La modalità di politica configurata per il tuo dominio principale (p) Specificando la policy del sottodominio, il tag sp è configurato per definire una modalità di policy per i tuoi sottodomini. Scopri di più sul tag DMARC sp per capire quando dovresti configurarlo. 
rua Opzionale ma raccomandato Il tag rua è un tag DMARC opzionale che specifica l'indirizzo e-mail o il server web in cui le organizzazioni segnalanti devono inviare i loro Dati rua aggregati DMARC

Esempio: rua=mailto:[email protected];

ruf Opzionale ma raccomandato Allo stesso modo, il meccanismo ruf specifica l'indirizzo a cui il Rapporto DMARC forense ruf deve essere inviato. Attualmente, non tutte le organizzazioni di segnalazione inviano dati forensi. 

Esempio: ruf=mailto:[email protected]

fo opzionale 0 Il tag fo si rivolge alle opzioni di segnalazione guasti/forensi disponibili che i proprietari del dominio possono scegliere. Se non hai abilitato ruf per il tuo dominio, puoi ignorare questo. 

Le opzioni disponibili tra cui scegliere sono: 

0: un rapporto DMARC failure/forensic ti viene inviato se la tua email fallisce sia l'allineamento SPF che DKIM

1: un rapporto DMARC failure/forensic viene inviato al vostro quando la vostra email fallisce l'allineamento SPF o DKIM

d: un rapporto di fallimento DKIM viene inviato se la firma DKIM dell'email fallisce la validazione, indipendentemente dall'allineamento

s: un rapporto di fallimento SPF viene inviato se l'email fallisce la valutazione SPF, indipendentemente dall'allineamento.

aspf opzionale Questo tag DMARC indica il modo di allineamento SPF. Il valore può essere strict(s) o relaxed(r)
adkim opzionale Allo stesso modo, il tag adkim DMARC indica la modalità di allineamento DKIM, il cui valore può essere strict (s) o relaxed (r) 
rf opzionale afrf Il tag DMARC rf specifica i vari formati per la segnalazione forense.
ri opzionale 86400 Il tag ri si riferisce all'intervallo di tempo in secondi tra due rapporti aggregati consecutivi inviati dall'organizzazione di segnalazione al proprietario del dominio.

Per creare un record per DMARC istantaneamente, usa il nostro generatore DMARC gratuito. In alternativa, se hai un record esistente, controlla la sua validità effettuando una ricerca DMARC.

Iscriviti oggi stesso per una prova gratuita di prova DMARC per ottenere i consigli degli esperti su come proteggere il tuo dominio dagli spoofers.

Il tag DMARC pct è parte di questo record e dice a un destinatario di email quale percentuale di messaggi sotto questa politica sarà interessata. Se tu, come proprietario di un dominio, vuoi specificare cosa fare con un'email che fallisce l'autenticazione, i record DMARC possono aiutarti in questo. Un'azienda può pubblicare un record di testo nel DNS e specificare cosa vogliono che accada alle email che falliscono l'allineamento alla fonte, determinando se consegnarle, metterle in quarantena o anche rifiutarle del tutto. 

Cosa significa pct in DMARC?

Un record TXT per qualsiasi protocollo di autenticazione e-mail contiene una serie di meccanismi o tag che significano istruzioni dedicate ai server di ricezione e-mail. In un record DMARC, pct è un acronimo di percentuale che viene incluso per indicare la percentuale di email a cui viene applicata la politica DMARC definita dal proprietario del dominio.

Perché avete bisogno del tag DMARC pct?

Il tag pct è un modo spesso trascurato, ma comunque efficace per impostare e testare le politiche DMARC del vostro dominio. Un record DMARC con un tag percentuale assomiglia al seguente: 

v=DMARC1; p=reject; pct=100; rua=mailto:[email protected];

Nel record DNS DMARC mostrato sopra, la percentuale di email per le quali la politica di rifiuto DMARC è applicabile è del 100%. 

Il tempo necessario a un dominio per passare dal non usare affatto DMARC all'usare le impostazioni più restrittive è un periodo di ramp-up. Questo ha lo scopo di dare ai domini il tempo di prendere confidenza con le loro nuove impostazioni. Per alcune aziende, questo potrebbe richiedere alcuni mesi. È possibile per i domini fare un aggiornamento istantaneo, ma questo è poco comune a causa del rischio di maggiori errori o reclami. Il tag pct è stato progettato come un modo per applicare gradualmente le politiche DMARC per ridurre il periodo di roll-out per le aziende online. L'intento è quello di essere in grado di distribuirlo per un piccolo gruppo di email prima di distribuirlo completamente all'intero flusso di posta come nel caso mostrato di seguito: 

v=DMARC1; p=reject; pct=50; rua=mailto:[email protected];

In questo record DNS DMARC, la politica di rifiuto per DMARC si applica solo al 50% delle e-mail, mentre l'altra metà del volume è soggetta a una politica di quarantena per DMARC, che è la seconda politica più severa in linea. 

Cosa succede se non si include un tag pct nel record DMARC?

Mentre si crea un record DMARC usando un generatore di record DMARCsi potrebbe scegliere di non definire un tag pct e lasciare questo criterio vuoto. In questo caso, l'impostazione predefinita per pct è impostata a 100, il che significa che la vostra politica definita si applicherà a tutte le vostre email. Quindi, se vuoi definire una policy per tutte le tue email, un modo più semplice per farlo sarebbe quello di lasciare il criterio pct vuoto, come in questo esempio:

v=DMARC1; p=quarantena; rua=mailto:[email protected];

Attenzione: Se vuoi una politica forzata per DMARC, non pubblicare un record con pct=0

La logica dietro questo è semplice: se volete definire una politica di rifiuto o di quarantena nel vostro record, volete essenzialmente che la politica sia applicata alle vostre email in uscita. Impostando il vostro pct a 0 annullate il vostro sforzo in quanto la vostra policy è ora applicabile a zero emails. Questo è lo stesso che avere la vostra policy impostata a p=none. 

Nota: Al fine di proteggere il tuo dominio da attacchi di spoofing e fermare qualsiasi possibilità che il tuo dominio sia impersonato da aggressori, la politica ideale dovrebbe essere DMARC a p=reject; pct=100;

Passate all'applicazione DMARC in modo sicuro iniziando il vostro viaggio DMARC con PowerDMARC. Fate una prova gratuita prova DMARC oggi stesso!

L'attributo "sp" è l'abbreviazione di subdomain policy e non è attualmente un attributo molto usato. Permette a un dominio di specificare che un diverso record DMARC dovrebbe essere usato per i sottodomini del dominio DNS specificato. Per mantenere le cose semplici, raccomandiamo che l'attributo 'sp' sia omesso dal dominio organizzativo stesso. Questo porterà ad una politica predefinita di fallback che impedisce lo spoofing sui sottodomini. È importante ricordare che il comportamento dei sottodomini è sempre determinato dalla politica organizzativa prevalente. 

I sottodomini ereditano la policy del dominio padre a meno che non sia esplicitamente annullata da un record di policy del sottodominio. L'attributo 'sp' può sovrascrivere questa eredità. Se un sottodominio ha un record DMARC esplicito, questo record avrà la precedenza sulla policy DMARC del dominio padre, anche se il sottodominio usa l'impostazione di default p=none. Per esempio, se una politica DMARC è definita per la priorità 'all', l'elemento 'sp' influenzerà l'elaborazione DMARC sui sottodomini non coperti da alcuna politica specifica.

Perché avete bisogno del tag DMARC sp?

Se hai il tuo record DMARC come: 

v=DMARC1; p=reject; sp=none; rua=mailto:[email protected];

In questo caso, mentre il vostro dominio principale è protetto contro gli attacchi di spoofing, i vostri sottodomini, anche se non li usate per scambiare informazioni, sarebbero comunque vulnerabili agli attacchi di impersonificazione.

Se hai il tuo record DMARC come: 

v=DMARC1; p=nessuno; sp=reject; rua=mailto:[email protected];

In questo caso, mentre non ti stai impegnando in una politica di rifiuto sul dominio principale che usi per inviare le tue email, i tuoi sottodomini inattivi sono ancora protetti contro l'impersonificazione. 

Se vuoi che le politiche del tuo dominio e del tuo sottodominio siano le stesse, puoi lasciare il criterio del tag sp vuoto o disabilitato mentre crei un record, e i tuoi sottodomini erediteranno automaticamente la politica applicata al dominio principale. 

Se stai usando il nostro generatore di record DMARC per creare un record DMARC per il tuo dominio, devi abilitare manualmente il pulsante della politica del sottodominio e definire la tua politica desiderata, come mostrato qui sotto:

 

Dopo aver creato il tuo record DMARC è importante controllare la validità del tuo record usando il nostro strumento di ricerca del record DMARC per assicurarsi che il vostro record sia privo di errori e valido.

Inizia il tuo viaggio DMARC con PowerDMARC per massimizzare la sicurezza delle email del tuo dominio. Fai la tua prova gratuita prova DMARC oggi stesso!

A causa delle minacce in agguato online, le aziende devono dimostrare di essere legittime impiegando metodi di autenticazione forti. Un metodo comune è attraverso DomainKeys Identified Mail (DKIM), una tecnologia di autenticazione e-mail che utilizza chiavi di crittografia per verificare il dominio del mittente. DKIM insieme a SPF e DMARC ha drasticamente migliorato la posizione di sicurezza delle email delle organizzazioni a livello globale.

Leggi di più su cos'è DKIM.

Durante la configurazione di DKIM per le tue e-mail, una delle decisioni principali che devi prendere è determinare la lunghezza della chiave DKIM. In questo articolo, ti guideremo attraverso la lunghezza della chiave consigliata per una migliore protezione e come aggiornare le chiavi in Exchange Online Powershell.

Importanza di aggiornare la lunghezza della chiave DKIM

Scegliere 1024 bit o 2048 bit è una decisione importante che deve essere presa quando si sceglie la chiave DKIM. Per anni, le PKI (public key infrastructure) hanno usato chiavi DKIM a 1024 bit per la loro sicurezza. Tuttavia, poiché la tecnologia sta diventando più complessa, gli hacker stanno lavorando duramente per trovare nuovi metodi per paralizzare la sicurezza. Per questo motivo, la lunghezza delle chiavi è diventata sempre più importante.

Mentre gli hacker continuano a inventare modi migliori per rompere le chiavi DKIM. La lunghezza della chiave è direttamente correlata a quanto sia difficile rompere l'autenticazione. L'utilizzo di una chiave a 2048 bit fornisce una maggiore protezione e una migliore sicurezza contro gli attacchi attuali e futuri, evidenziando l'importanza di aggiornare la vostra bitness.

Aggiornamento manuale delle chiavi DKIM in Exchange Online Powershell

  • Iniziate collegandovi a Microsoft Office 365 PowerShell come amministratore (assicuratevi che il vostro account Powershell sia configurato per eseguire script Powershell firmati)
  • Nel caso in cui DKIM sia preconfigurato, per aggiornare le vostre chiavi a 2048 bit eseguite il seguente comando su Powershell: 

Rotate-DkimSigningConfig -KeySize 2048 -Identity {Guid del Signing Config esistente}

  • Nel caso in cui non abbiate implementato DKIM in precedenza, eseguite il seguente comando su Powershell: 

New-DkimSigningConfig -DomainName <Domain for which config is to be created> -KeySize 2048 -Enabled $true

  • Infine, per verificare che avete configurato con successo DKIM con un bitness aggiornato di 2048 bit, eseguite il seguente comando:

Get-DkimSigningConfig -Identity <Domain for which the configuration was set> | Format-List

Nota: Assicuratevi di essere connessi a Powershell durante il completamento della procedura. Le modifiche possono richiedere fino a 72 ore per essere implementate.

DKIM non è sufficiente per proteggere il tuo dominio da spoofing e BEC. Migliora la sicurezza e-mail del tuo dominio configurando DMARC per office 365.