• Spiegazione del "DMARC Best Guess Pass": Cosa significa e come risolverlo

Spiegazione del "DMARC Best Guess Pass": Cosa significa e come risolverlo

Blog, DMARC

Siete confusi da "DMARC Best Guess Pass" nei vostri rapporti? Scoprite cosa significa, perché si verifica, i rischi connessi e come risolvere i problemi di DMARC Best Guess Pass per proteggere le vostre e-mail.

di YunesTarada

Tempo di lettura: 5 min
Spiegazione del "DMARC Best Guess Pass": Cosa significa e come risolverlo
Indice dei contenuti-

I punti chiave da prendere in considerazione

  • "Best Guess Pass" è un termine informale nei rapporti di autenticazione delle e-mail che indica che i messaggi hanno superato i controlli SPF e/o DKIM, ma non esiste un record DMARC.
  • Non è definito nella specifica ufficiale DMARC (RFC 7489).
  • Microsoft Exchange Online Protection lo utilizza per mostrare l'allineamento con il dominio del mittente.
  • Gmail e alcuni provider applicano "best guess" principalmente all'SPF sintetizzando un record mancante.
  • La presenza di "Best Guess Pass" evidenzia un record DMARC mancante. record DMARC mancantecreando una falla nella sicurezza.
  • Pubblicare un Un record DMARC con una politica chiara (nessuna, quarantena o rifiuto) previene questo problema e rafforza la protezione del dominio.

"Best Guess Pass" non è un documento ufficiale DMARC e non compare nelle specifiche DMARC (RFC 7489). Il termine deriva dal modo in cui alcuni server di posta elettronica riceventi, come Microsoft Exchange Online Protection, gestiscono le e-mail che superano i controlli SPF o DKIM ma che non hanno un record DMARC. In questi casi, il server interpreta l'autenticazione come valida e la etichetta come "best guess pass", ovvero se il DMARC fosse stato configurato, l'e-mail sarebbe passata. Sebbene l'espressione "best guess" sia più comunemente legata a SPF, la sua comparsa nei rapporti DMARC indica un problema critico: l'assenza di una politica DMARC. Riconoscere questa lacuna è essenziale per migliorare la sicurezza delle e-mail.

Non confondete:

  • Microsoft → etichetta i rapporti DMARC con dmarc=bestguesspass.
  • Gmail → sintetizza i record SPF mancanti (non DMARC).

Come funziona il DMARC negli scenari normali

Per capire il problema della "migliore ipotesi", ricapitoliamo rapidamente come dovrebbe funzionare il DMARC. Il DMARC si basa su altri due protocolli di autenticazione delle e-mail, SPF e DKIM:

  • SPF: si tratta di un record DNS che elenca gli indirizzi IP che hanno il diritto di inviare e-mail per conto del vostro dominio. È possibile utilizzare un generatore SPF gratuito per creare il vostro record SPF se non ne avete uno. Se ne avete uno ma non siete sicuri della sua accuratezza, utilizzate un controllore SPF.
  • DKIM: questo protocollo fornisce una firma crittografica che verifica se un messaggio è stato manipolato o meno durante il transito. A generatore di record DKIM e controllore di record DKIM possono aiutarvi se avete difficoltà a configurare il DKIM.

Il DMARC verifica quindi che almeno uno di questi metodi (SPF o DKIM) non solo sia stato superato, ma sia anche allineato con il dominio dell'indirizzo "Da" (cioè quello che il destinatario vede).

In base a questa verifica, un destinatario conforme al DMARC produce uno dei due risultati ufficiali (ma i dettagli della segnalazione possono differire):

  • Passare: L'e-mail è autenticata e allineata.
  • Non funzionante: L'e-mail non è autenticata o allineata.

Il vostro Politica DMARC indica al destinatario come gestire le e-mail che non superano il controllo:

  • p=nessuno: Solo monitoraggio. Consegnare l'e-mail. Si noti che, mentre i messaggi di posta elettronica vengono consegnati, inizia il reporting aggregato, che è il principale vantaggio di p=none.
  • p=quarantena: Invia l'e-mail alla cartella spam o posta indesiderata.
  • p=rifiuta: Blocca completamente l'e-mail.

Cosa causa un "DMARC Best Guess Pass"?

Il risultato "Best Guess Pass" appare tipicamente quando non esiste un record DMARC e i controlli SPF/DKIM sottostanti passano.

Ecco lo scenario tipico:

  1. L'utente o un'altra parte autorizzata invia un'e-mail dal proprio dominio.
  2. Il vostro dominio ha record SPF e/o DKIM validi.
  3. Il server ricevente controlla SPF/DKIM, che passano con un allineamento corretto.
  4. Il destinatario cerca quindi un record DMARC per vedere quale criterio applicare.
  5. Non trova alcun record DMARC.
  6. Poiché l'autenticazione sottostante è stata superata, il destinatario fa una "best guess" e lascia passare l'e-mail senza intraprendere alcuna azione DMARC. Il messaggio viene registrato come dmarc=bestguesspass.

Si tratta di un meccanismo di ripiego. Il provider cerca di evitare il blocco di e-mail potenzialmente legittime solo perché manca un record DMARC, ma evidenzia una significativa svista di configurazione.

Perché il "Best Guess Pass" è un problema?

Perché il "passaggio al meglio" è un problema?

Affidarsi a un "Best Guess Pass" è rischioso e mina lo scopo del DMARC.

Crea confusione

Questo stato non ufficiale rende i rapporti DMARC più difficili da interpretare. Si potrebbe pensare che il proprio dominio sia protetto quando invece non lo è.

Indebolisce la visibilità della sicurezza 

Un "Best Guess Pass" non vi dice nulla sulle e-mail fraudolente. Poiché non disponete di una politica DMARC, non riceverete segnalazioni sui tentativi di spoofing, rimanendo così ciechi di fronte agli attacchi che colpiscono il vostro dominio.

Consente il phishing e lo spoofing

Senza un p=quarantena o p=rifiuto non avete alcuna difesa. I truffatori possono ancora creare uno spoofing del vostro dominio e i server di ricezione che non eseguono questo controllo "best guess" (cioè la maggior parte di essi) non avranno istruzioni per bloccare le e-mail fraudolente.

Come risolvere i problemi di "DMARC Best Guess Pass

La soluzione è semplice: pubblicare un record DMARC per il proprio dominio. In questo modo si eviteranno le congetture e si dirà al mondo esattamente cosa fare con le vostre e-mail.

1. Impostare correttamente SPF e DKIM

Prima di creare un record DMARC, assicuratevi che i vostri record SPF e DKIM siano configurati correttamente. Dovrebbero includere tutti i servizi di invio legittimi.

2. Verifica dell'allineamento del dominio

Assicurarsi che il dominio utilizzato per SPF (il dominio del percorso di ritorno) e/o il dominio nella firma DKIM (il tag d=) sia in linea con il dominio dell'indirizzo "Da".

3. Pubblicare un record DMARC

Iniziate con una politica di monitoraggio (p=nessuno). Questo permette di raccogliere dati senza influenzare la deliverability delle email. Un record iniziale di base si presenta così: v=DMARC1; p=none; rua=mailto:[email protected];

  • Inserite questo record TXT all'indirizzo _dmarc.yourdomain.com.

4. Utilizzare una piattaforma di reporting DMARC

I rapporti DMARC grezzi sono file XMLe sono piuttosto difficili da leggere. A piattaforma di monitoraggio trasformerà questi rapporti in cruscotti leggibili. Vi fornirà informazioni chiare su chi sta inviando e-mail dal vostro dominio.

Migliori pratiche per prevenire i risultati di un passo falso

Migliori pratiche per prevenire i risultati dei test falsi

Verifica dei record DNS

Controllate sempre i vostri record SPF, DKIM e DMARC per assicurarvi che siano accurati e aggiornati.

Monitorare quotidianamente i rapporti DMARC

Tenete d'occhio i vostri rapporti DMARC per individuare eventuali nuove fonti di invio o potenziali fallimenti dell'autenticazione.

Implementare una politica più rigorosa

Una volta che si è certi che tutte le e-mail legittime passano i controlli DMARC, si può passare gradualmente a una politica più severa, come p=quarantena e infine p=rifiuto. Questo vi aiuterà a bloccare attivamente le e-mail fraudolente.

Formazione delle squadre

Formate i vostri team IT e di sicurezza in modo che sappiano interpretare i dati DMARC e rispondere alle potenziali minacce. minacce.

Riassunto

La dicitura "Best Guess Pass" non è un segno di sicurezza della posta elettronica, ma un segnale di avvertimento. Significa che la sicurezza delle e-mail del vostro dominio è incompleta e si basa sul comportamento non standard di alcuni provider di caselle di posta. Dovete andare oltre le congetture e impostare il DMARC per assumere il controllo della reputazione e della sicurezza del vostro dominio.

Il nostro team di esperti di PowerDMARC può aiutarvi. Ci occupiamo di tutto ciò che riguarda il DMARC in modo che possiate comunicare con certezza, non con confusione. Contattateci oggi stesso!

Domande frequenti

Perché nei miei report compare la dicitura "Best Guess Pass"? 

È probabile che questo risultato venga visualizzato nei report di Microsoft 365 o Exchange. Significa che il dominio di invio ha impostato SPF/DKIM, ma non ha un record DMARC. Il sistema rileva che l'e-mail avrebbe superato il DMARC se fosse esistito un criterio.

Il "Best Guess Pass" è un rischio per la sicurezza? 

Sì, significa che un criterio di applicazione del DMARC (quarantena o rifiuto) è assente. Senza l'applicazione (quarantena/rifiuto), non è possibile indicare ai destinatari di bloccare o deviare le e-mail non autorizzate.

Come posso impedire che "Best Guess Pass" appaia nei report?

Il proprietario del dominio mittente deve pubblicare un record DMARC valido nel proprio DNS. Se si tratta del vostro dominio, seguite i passi della sezione 5.

La dicitura "Best Guess Pass" significa che le mie e-mail sono sicure? 

No, significa che il vostro dominio manca di un livello critico di sicurezza. Le vostre e-mail non possono essere sicure se non avete un record DMARC configurato correttamente.

Ultimi messaggi di Yunes Tarada (vedi tutti)
Phishing industriale: come gli attacchi di phishing si rivolgono a settori diversiindustria-phishingMigrazione del vostro fornitore DMARCMigrazione del fornitore DMARC: Una guida pratica e a valore aggiunto