Cos'è l'allineamento DMARC?

L'allineamento DMARC garantisce che un aggressore non possa utilizzare un indirizzo From: e un indirizzo Return Path diversi per aggirare SPF e DKIM.

SPF e DKIM convalidano le email da qualsiasi dominio registrato. L'allineamento DMARC è ciò che lega l'autenticazione al tuo dominio.

Per capire l'allineamento DMARC dobbiamo capire come funziona. Quando si implementa DMARC, si legano i risultati di SPF e DKIM per autenticare tutte le email provenienti dal proprio dominio. Per ogni data email, DMARC utilizza ciò che è noto come "identità centrale", che è il dominio trovato nell'intestazione From:. Questo è considerato il dominio di origine per la tua email, e avrà il nome di dominio della tua organizzazione in esso.
Quando un'email dal tuo dominio raggiunge il server ricevente, SPF controlla il suo Return Path e DKIM convalida la firma criptata. Entrambi questi controlli avvengono separatamente su due domini diversi. DMARC prende il risultato dell'autenticazione di ciascuno e controlla se il dominio usato in SPF o DKIM corrisponde al dominio From: (l'identità centrale). Se uno dei due è vero, l'allineamento DMARC è raggiunto.
Tuttavia, c'è solo un piccolo problema. Chiunque, compresi i criminali, può comprare un dominio e implementare SPF e DKIM. Quindi, teoricamente, dovrebbe essere possibile per qualcuno inviare un'email con il dominio della vostra organizzazione nell'indirizzo Da: (l'identità centrale) e avere il Return Path del proprio dominio in modo da passare l'autenticazione SPF. Gli utenti di solito vedono solo l'indirizzo From: e non il Return Path, quindi non sapranno nemmeno che c'è una discrepanza tra i due.

È qui che entra in gioco l'allineamento DMARC. Quando la tua email viene convalidata, DMARC controlla 3 identificatori:
- L'intestazione Da:
- L'indirizzo del percorso di ritorno
- Il nome del dominio nella firma DKIM
Se gli identificatori per SPF o DKIM sono allineati, l'email ottiene l'allineamento DMARC e passa l'autenticazione DMARC e viene consegnata in modo sicuro alla casella di posta dell'utente.
L'allineamento SPF e DKIM in particolare ha 2 tipi:
- Allineamento rigoroso
- Allineamento rilassato
L'allineamento rigoroso richiede che i domini in entrambi i campi From: header e Return Path/"d=" DKIM corrispondano al 100%.

L'allineamento rilassato è più, beh, rilassato nei suoi requisiti. Anche i sottodomini sono ammessi, purché siano sotto lo stesso dominio organizzativo (il dominio From:).
L'allineamento DMARC affronta specificamente le limitazioni di SPF assicurando che i domini From: e Return Path corrispondano, impedendo agli attaccanti di provare a usare domini diversi per ciascuno.
Risolve anche la scappatoia che può essere usata per sfruttare DKIM richiedendo che l'intestazione From: corrisponda anche al dominio dato nella firma DKIM, eliminando le possibilità che qualcuno inoltri l'e-mail con campi di intestazione aggiuntivi.

Pronto a prevenire l'abuso del marchio, le truffe e ad ottenere l'allineamento DMARC sulle tue email?