Allineamento DMARC: Modalità di allineamento rilassate o rigide
di
Tempo di lettura: 8 min
L'attivazione del DMARC (Domain-based Message Authentication Reporting and Conformance) mette in atto una serie di controlli di verifica per determinare se un'e-mail proviene dalla fonte dichiarata. Il DMARC offre un'incredibile flessibilità in termini di politiche e modalità di allineamento che possono essere configurate dal proprietario del dominio, per modellare il livello di sicurezza che desidera raggiungere.
L'ALLINEAMENTO DEGLI IDENTIFICATORI DMARC L'allineamento degli identificatori afferma che il nome di dominio aggiunto a varie parti di un messaggio e-mail si allinea correttamente, indicando che l'e-mail è legittima e non può far parte di tentativi di phishing o spoofing.
I punti chiave da prendere in considerazione
- L'autenticazione DMARC fornisce un quadro solido per verificare la legittimità di una fonte di posta elettronica.
- L'allineamento degli identificatori SPF e DKIM è essenziale per ottenere la conformità DMARC e la salvaguardia dallo spoofing.
- La scelta tra l'allineamento DMARC rilassato e quello rigoroso dipende dalle pratiche di posta elettronica e dagli obiettivi di sicurezza dell'azienda.
- L'inoltro dei messaggi di posta elettronica può complicare l'allineamento DMARC e, se non è gestito correttamente, spesso porta a fallimenti dell'autenticazione.
- Il monitoraggio e la regolazione delle impostazioni DMARC possono migliorare significativamente la deliverability delle e-mail e ridurre il rischio di frodi.
Cos'è l'allineamento DMARC?
L'allineamento DMARC è il processo di allineamento (o corrispondenza) dei domini nelle varie sezioni dell'intestazione delle e-mail durante i controlli di autenticazione. Il DMARC si allinea per le vostre e-mail se il messaggio supera uno o entrambi gli allineamenti degli identificatori SPF e DKIM.
Per garantire che le vostre e-mail siano legittime e protette da una serie di attacchi di frode via e-mail che includono phishing, spoofing, ransomware e altro ancora.
Il protocollo di autenticazione DMARC verifica l'allineamento degli identificatori DMARC per stabilire se un dominio e-mail è potenzialmente spoofato. Durante la convalida dell'e-mail, il DMARC controlla 3 identificatori:
- L'intestazione Da
- L'indirizzo del percorso di ritorno
- Il nome del dominio nella firma DKIM
Se gli identificatori di autenticazione SPF o DKIM sono allineati, l'e-mail ottiene l'allineamento DMARC, supera l'autenticazione DMARC e viene consegnata in modo sicuro alla casella di posta dell'utente.
Semplificate la sicurezza con PowerDMARC!
Come funziona l'allineamento DMARC?
Per comprendere l'allineamento del DMARC è necessario capire come funziona. Quando si implementa il DMARC, si legano i risultati di SPF e DKIM per autenticare tutte le e-mail provenienti dal proprio dominio. Per qualsiasi e-mail, il DMARC utilizza la cosiddetta "identità centrale", ovvero il dominio presente nell'intestazione From. Questo è considerato il dominio di origine dell'e-mail e conterrà il nome di dominio della vostra organizzazione.
Quando un'e-mail del vostro dominio raggiunge il server di ricezione, SPF verifica il percorso di ritorno e DKIM convalida la firma criptata. Entrambi i controlli avvengono separatamente su due domini diversi. DMARC prende il risultato dell'autenticazione di ciascuno di essi e verifica se il dominio utilizzato in SPF o DKIM corrisponde al dominio From (l'identità centrale). Se uno dei due è vero, si ottiene l'allineamento DMARC.
Tuttavia, c'è solo un piccolo problema. Chiunque, compresi i criminali, può acquistare un dominio e implementare SPF e DKIM. Quindi, in teoria, dovrebbe essere possibile per qualcuno inviare un'e-mail con il dominio della vostra organizzazione nell'indirizzo Da: (l'identità centrale) e avere il percorso di ritorno del proprio dominio per superare l'autenticazione SPF. Gli utenti di solito vedono solo l'indirizzo From: e non il percorso di ritorno, quindi non si accorgono nemmeno della discrepanza tra i due.
Il ruolo dell'allineamento degli identificatori SPF e DKIM
L'allineamento dell'identificatore di autenticazione indica se il mittente dell'e-mail è autorizzato o meno a inviare l'e-mail per conto del vostro dominio. Questo può essere determinato verificando l'autenticità dell'e-mail con SPF (Sender Policy Framework) o DKIM (DomainKeys Identified Mail). Le e-mail allineate superano in ultima analisi i controlli di verifica del mittente, che possono essere utilizzati come esempio di base dai server di posta ricevuti per delimitare le e-mail dannose o non autorizzate e filtrarle.
Noi di PowerDMARC facciamo un ulteriore passo avanti allineando i vostri messaggi agli identificatori SPF e DKIM per aiutarvi a raggiungere il 100% di conformità DMARC per le vostre e-mail, pur mantenendo la politica di p=rifiuto. In questo modo potrete constatare miglioramenti visibili nella deliverability delle vostre e-mail e osservare differenze marcate nei vostri tassi di spam e di rimbalzo in poche settimane, con un monitoraggio adeguato e l'assistenza del nostro team di supporto tecnico dedicato.
Quali fattori possono influenzare l'allineamento degli identificatori SPF e DKIM?
- I client di posta elettronica e i fornitori di servizi di posta elettronica di terze parti possono introdurre complicazioni e non riuscire ad allinearsi.
- I messaggi inoltrati potrebbero non allinearsi
Qual è la soluzione?
PowerDMARC vi aiuta ad allineare correttamente e accuratamente tutti i vostri fornitori terzi e a modificare e aggiornare facilmente i vostri record sul portale man mano che aggiungete altri servizi e fornitori, per assicurarvi che le vostre e-mail legittime abbiano la massima probabilità di raggiungere i vostri clienti.
PowerDMARC vi aiuta a configurare SPF, DKIM e ARC insieme a DMARC per affrontare quei difficili scenari di inoltro delle e-mail in cui i server intermediari possono apportare modifiche alle vostre e-mail, causando fallimenti di autenticazione indesiderati.
L'interfaccia intuitiva di PowerDMARC consente di aggiornare facilmente i record dei criteri per ottenere la massima applicazione, assicurando che il vostro dominio sia adeguatamente protetto contro gli attacchi di spoofing e phishing.
Tipi di allineamento DMARC: Allineamenti di identificatori rigorosi e rilassati
L'allineamento degli identificatori DMARC può essere di due tipi, a seconda del livello di severità e precisione con cui si desidera effettuare i controlli di autenticazione. Ecco quali sono:
1. Allineamento rilassato DMARC
L'allineamento SPF e DKIM ha due tipi specifici: rilassato e rigoroso. Se l'allineamento rilassato è configurato per entrambi, significa essenzialmente che avete implementato l'allineamento rilassato per la vostra implementazione DMARC complessiva.
Sia per SPF che per DKIM, in una modalità di allineamento rilassata, anche se il dominio nel comando Mail From e i domini nell'intestazione Return-path o nell'indirizzo e-mail di rimbalzo (per SPF) e nella firma DKIM (per DKIM) non corrispondono a livello organizzativo, l'allineamento DMARC è una corrispondenza. Di conseguenza, in questo scenario, anche i sottodomini saranno allineati al DMARC.
L'e-mail dovrebbe superare l'autenticazione DMARC da parte del destinatario se il dominio dell'intestazione è conforme a uno dei requisiti di allineamento.
Esempio di allineamento DMARC rilassato
v=DMARC1; p=reject; rua=mailto: [email protected]; aspf=r; adkim=r
Impostazioni di allineamento decodificate: I tag DMARC "aspf" e "adkim" sono i rispettivi tag di allineamento per definire la modalità scelta, mentre "r" sta per relaxed.
2. Allineamento rigoroso DMARC
Se i proprietari del dominio abilitano l'allineamento rigoroso sia per SPF che per DKIM, ciò significa essenzialmente che avete implementato una modalità rigorosa per la vostra implementazione DMARC complessiva.
Per entrambi i protocolli, in una modalità di allineamento rigorosa, solo se il dominio nell'intestazione From e i domini nelle intestazioni Return-path (per SPF) e DKIM signature (per DKIM) corrispondono esattamente, la verifica dell'allineamento DMARC è una corrispondenza. Pertanto, in questo scenario, i sottodomini non saranno allineati al DMARC.
Allineamento rigoroso DMARC con esempi
v=DMARC1; p=reject; rua=mailto: [email protected]; aspf=s; adkim=s
Impostazioni di allineamento decodificate: I tag DMARC "aspf" e "adkim" sono i rispettivi tag di modalità di allineamento per definire la modalità desiderata, mentre "s" indica l'obiettivo di allineamento, che è rigoroso.
Quale modalità di allineamento DMARC è migliore?
La scelta tra le modalità di allineamento DMARC rilassato e rigoroso dipende dalle politiche del protocollo di autenticazione delle e-mail dell'azienda, dalla tolleranza ai falsi positivi e dagli obiettivi di sicurezza generali.
La modalità Relaxed offre maggiore flessibilità ed è meno probabile che produca falsi positivi. Può essere utile quando si dispone di più sistemi o servizi di posta elettronica che inviano e-mail per conto del proprio dominio e che possono utilizzare sottodomini diversi. Tuttavia, è anche meno rigorosa e può consentire il passaggio di alcune e-mail con discrepanze minori, lasciando potenzialmente spazio a tentativi di spoofing o phishing.
Il modello Strict applica una politica di allineamento più rigorosa, garantendo che il dominio esatto nell'intestazione "From" corrisponda ai domini specificati in SPF e DKIM. Se da un lato questo modello offre una maggiore protezione contro spoofing e phishing, dall'altro può essere meno indulgente se l'infrastruttura di posta elettronica utilizza sottodomini diversi per scopi legittimi. L'implementazione di un allineamento rigoroso può richiedere un'attenta configurazione e un monitoraggio per evitare di bloccare le e-mail legittime.
Come monitorare le e-mail con un allineamento DMARC rigoroso?
PowerDMARC vi aiuta a monitorare le vostre e-mail nel rispetto di una rigorosa politica di allineamento DMARC con l'ausilio del nostro analizzatore DMARC strumento. Vi aiutiamo a tracciare le fonti di invio delle vostre e-mail, a verificare eventuali errori di allineamento e a ottimizzare la configurazione dell'autenticazione direttamente dal nostro dashboard.
Contattateci oggi stesso per iniziare!
Come verificare l'allineamento DMARC per le e-mail?
Per verificare l'allineamento DMARC dei vostri messaggi di posta elettronica, potete registrarvi sul portale PowerDMARC e seguire i passaggi indicati di seguito:
- Andare a Reporting nel menu principale
- Fare clic su Rapporti aggregati DMARC ed espandere l'elenco a discesa.
- Selezionare Per risultato dall'elenco
- Monitorate le vostre fonti di invio su base individuale per visualizzare la conformità DMARC e i dettagli di allineamento per ogni singolo risultato.
Quando l'allineamento DMARC viene superato
L'allineamento DMARC viene superato per l'e-mail se viene superato l'allineamento degli identificatori DKIM e/o SPF,
Perché l'allineamento DMARC fallisce
Il fallimento dell'allineamento DMARC si verifica quando né gli identificatori DKIM né quelli SPF si allineano per l'e-mail. Questo accade tipicamente quando il dominio nell'intestazione Mail From non corrisponde né al dominio nell'intestazione Return-Path né al dominio nell'intestazione della firma DKIM.
Alcune informazioni importanti relative all'allineamento DMARC
Che cos'è un dominio con percorso di ritorno?
Un dominio di ritorno, noto anche come indirizzo di rimbalzo o dominio Envelope From, è il dominio che riceverà i messaggi non consegnati o rimbalzati. Nelle situazioni in cui un'e-mail viene rimandata indietro o non viene consegnata, il campo dell'intestazione nascosta contiene il dominio Envelope From a cui l'e-mail viene restituita. Anche se il proprietario di un dominio utilizza servizi di terze parti per instradare i messaggi di posta elettronica, è possibile risalire al dominio di origine utilizzando l'indirizzo di rimbalzo. Si tratta di una chiara demarcazione tra i messaggi inviati da malintenzionati e un mittente reale che ha buone intenzioni.
Dominio SPF L'allineamento SPF durante un controllo DMARC è determinato dal dominio nell'indirizzo di ritorno.
Che cos'è un dominio di firma DKIM?
Un dominio di firma DKIM è il nome di dominio utilizzato durante la creazione delle firme DKIM per i messaggi, ovvero il dominio di firma. Quando la convalida dell'allineamento del dominio DKIM è in corso durante un controllo DMARC, il mittente verifica se il dominio di firma DKIM è allineato con il dominio Da. L'allineamento DMARC passa in modalità DKIM rilassata se il dominio organizzativo corrisponde. In una modalità DKIM rigorosa, l'allineamento DMARC passa solo se viene stabilita una corrispondenza esatta del dominio.
Come l'inoltro delle e-mail influisce sull'allineamento DMARC
L'inoltro di server di posta elettronica e liste di discussione di posta elettronica introduce complicazioni nel percorso di allineamento DMARC, riscrivendo l'indirizzo "header from" all'indirizzo del server di inoltro e includendo nuovi elementi nel corpo e nel contenuto del messaggio. Ciò provoca errori di allineamento SPF e DKIM a causa della mancata corrispondenza tra l'identità del dominio Mail From e l'indirizzo di bounce riscritto e il contenuto alterato del messaggio.
Come monitorare i difetti di allineamento?
Per monitorare l'allineamento è possibile attivare i rapporti aggregati e i rapporti forensi (rapporti sui guasti), che vi aiuteranno a monitorare e raggiungere i vostri obiettivi di allineamento e a risolvere più rapidamente i problemi di deliverability.
Esperto di sicurezza informatica, CEO di PowerDMARC
Maitham è un imprenditore tecnologico, esperto di sicurezza informatica, CEO e fondatore di PowerDMARC con oltre 15 anni di esperienza nel settore. Maitham ha conseguito un MBA presso l'Università di Manchester e varie certificazioni professionali, tra cui CISSP, CISM, CRISC e ISC2 CCSP.
Ultimi messaggi di Maitham Al Lawati (vedi tutti)
- Cos'è il DMARC? Una semplice guida alla protezione delle e-mail - 11 luglio 2025
- Come leggere i rapporti DMARC: Tipi, strumenti e suggerimenti - 10 luglio 2025
- Come creare e pubblicare un record DMARC - 3 marzo 2025
