Che cos'è la "Verifica della destinazione esterna" DMARC? | Ricevere segnalazioni DMARC al di fuori del proprio dominio
di
Tempo di lettura: 5 min
Se i domini esterni presenti nel DMARC non danno il permesso di ricevere i vostri report, questa guida fa al caso vostro. Sapevate che potete ricevere rapporti DMARC al di fuori del proprio dominio? È possibile inviare i rapporti DMARC a un indirizzo e-mail che non rientra nell'ambito del proprio dominio tramite la verifica della destinazione esterna DMARC. Se si possiede il dominio azienda.comè possibile inviare le segnalazioni a un indirizzo (esempio) [email protected]dove company.com non ha alcuna autorità su mailreports.net e si tratta di due domini completamente separati.
Tuttavia, per ottenere questo risultato, il dominio di ricezione dei report (mailreports.net) deve fornire l'approvazione a ricevere i rapporti contenenti i dati DMARC del vostro dominio (azienda.com). (company.com).
Il metodo che lo rende possibile è definito "Verifica del dominio esterno" e oggi discuteremo di cosa si tratta e di come vi aiuta nel vostro percorso di autenticazione.
I punti chiave da prendere in considerazione
- È possibile ricevere rapporti DMARC a un indirizzo e-mail esterno non associato al proprio dominio attraverso la Verifica del dominio esterno.
- La verifica del dominio esterno richiede il consenso esplicito del dominio destinatario del report per impedire l'accesso non autorizzato ai report DMARC.
- Senza la verifica del dominio esterno, i malintenzionati potrebbero dirottare i record DMARC per inviare segnalazioni sensibili a destinatari non previsti.
- La pubblicazione di record DMARC specifici sul dominio esterno aiuta a facilitare efficacemente il processo di verifica della destinazione esterna.
- L'utilizzo di voci wildcard per la consegna esterna può comportare dei rischi, in quanto consente a qualsiasi dominio di inviare segnalazioni, potenzialmente sommergendo di spam il dominio ricevente.
Verifica del dominio esterno DMARC - Spiegazioni
Supponiamo di possedere il dominio azienda.com e che abbiate abilitato il DMARC per il vostro dominio. Ora volete ricevere informazioni sulle vostre fonti di invio delle e-mail attraverso i report aggregati DMARC, ma per evitare di spammare la casella di posta dei vostri domini e sottodomini interni, volete reindirizzare questi report a una destinazione esterna, ad esempio mailreports.net.
Si tratta di una tattica comune esercitata dalle aziende che hanno più domini registrati, terze parti e un flusso massiccio di informazioni da e verso i loro domini.
A tal fine, il record DMARC successivo dovrebbe avere un aspetto simile a questo:
v=DMARC1; p=quarantena; rua=mailto:[email protected]
[Per creare gratuitamente il vostro record personalizzato, utilizzate il nostro generatore di record DMARC strumento]
Il tag rua specifica l'indirizzo e-mail sul quale si riceveranno i rapporti DMARC. Si noti che il fatto che sia stato pubblicato un record sul DNS che richiede l'invio dei dati a mailreports.net non significa che sarà così. Non è così semplice.
Il dominio che riceve i report deve fornire il consenso digitale a ricevere i report da parte di azienda.comaltrimenti non possono essere inviati. Questa procedura è nota come verifica del dominio esterno o verifica della destinazione esterna (come indicato in RFC 7489 7.1).
Semplificate la verifica delle destinazioni esterne con PowerDMARC!
Perché è necessaria la verifica della destinazione esterna? Potenziali minacce e vulnerabilità
I seguenti motivi possono spingervi a optare per la verifica del dominio esterno:
- I domini esterni nel DMARC non autorizzano l'invio dei report.
- Siete proprietari di un dominio che non gestisce alcun server di posta elettronica
- Senza la verifica del dominio esterno, gli aggressori informatici possono facilmente creare un record DMARC che menziona un dominio esterno (di una vittima) per ricevere segnalazioni. Le segnalazioni di tutte le e-mail sbagliate inviate dall'aggressore inonderanno la casella di posta della vittima.
Grazie alla verifica della destinazione esterna, è possibile impedire agli attori delle minacce di compiere le loro azioni dannose e i proprietari dei domini possono indirizzare le segnalazioni a un dominio esterno che gestisce i server di posta.
Come funziona la verifica del dominio esterno?
Verifica delle destinazioni dei report esterni
Quando un dominio con un record DMARC pubblicato invia un'e-mail, il server di ricezione delle e-mail verifica se il dominio organizzativo presso il quale è stato pubblicato il record corrisponde esattamente al dominio organizzativo indicato nel tag rua (o ruf) del record DMARC.
Se non c'è corrispondenza e se è stato specificato un dominio esterno per ricevere i rapporti, viene avviato il processo di verifica.
A tal fine, il DNS dell'host che riceve i report viene interrogato per verificare se ha acconsentito a ricevere i report. Se nel DNS dell'host viene trovato un record DMARC che attesta tale consenso, il controllo di verifica viene superato e i report vengono inviati al dominio esterno. Se fallisce, i report non vengono consegnati.
A volte, a causa del timeout del DNS e di altri problemi minori, può verificarsi un errore temporaneo che impedisce ai server di ricezione di completare temporaneamente il processo di verifica della destinazione esterna. Tuttavia, il processo viene riproposto in un secondo momento.
Configurazioni di verifica della destinazione esterna per domini (e sottodomini) specifici
Riprendiamo l'esempio precedente per determinare come garantire che il processo di verifica della destinazione esterna non restituisca un risultato di errore per domini e sottodomini specifici.
Esempio di nome di dominio: azienda.com
Esempio di dominio esterno di ricezione dei rapporti: mailreports.net
Sul dominio mailreports.net deve essere pubblicato un record DNS DMARC con le seguenti informazioni:
| Campo | Descrizione | Valore |
| Ospite | Qui si pubblica il record su | company.com._report._dmarc.mailreports.net |
| Valore | Il valore del vostro record TXT | v=DMARC1; |
Nota: Sostituire i nomi dei domini con il proprio dominio e con qualsiasi dominio esterno su cui si desidera ricevere i rapporti. Questo record NON deve essere pubblicato sul proprio dominio, ma sul dominio esterno a cui si desidera inviare i rapporti.
E il gioco è fatto! Durante la verifica della destinazione esterna, questa operazione informerà i server di ricezione delle e-mail che il dominio esterno preferito, menzionato nel tag rua o ruf, acconsente effettivamente a ricevere segnalazioni DMARC per conto del vostro dominio.
Configurazioni opzionali per la verifica della destinazione esterna
Invece di pubblicare il record di cui sopra per dare l'autorizzazione a domini specifici per l'invio di report al loro indirizzo, i domini esterni spesso utilizzano un record record jolly (che inizia con un asterisco "*").
Si tratta semplicemente di una scorciatoia per evitare sforzi aggiuntivi, poiché un record jolly denota essenzialmente che il dominio esterno dominio esterno acconsente a ricevere rapporti DMARC da QUALSIASI dominio (e non solo dal proprio dominio). (e non solo dal vostro dominio specifico).
Di seguito è riportata la sintassi (esempio) di un record jolly utilizzato per la verifica di un dominio esterno:
| Campo | Descrizione | Valore del record jolly |
| Ospite | Qui si pubblica il record su | *._report._dmarc.domain.com |
| Valore | Il valore del vostro record TXT | v=DMARC1; |
Rischi potenziali associati all'uso di caratteri jolly
L'utilizzo di voci wildcard per la verifica dei domini esterni non è una pratica consigliata e comporta potenziali rischi. Infatti, quando un dominio acconsente a ricevere segnalazioni da qualsiasi dominio, i malintenzionati possono utilizzare questa funzione per spammare le caselle di posta elettronica con segnalazioni in massa provenienti da domini dannosi, senza alcun meccanismo per regolare o filtrare le segnalazioni. Questo può essere potenzialmente dannoso per il dominio che riceve le segnalazioni e può causare problemi anche a voi che utilizzate quel dominio per ricevere le vostre segnalazioni.
Come si gestisce la verifica del dominio esterno in PowerDMARC?
Per i clienti che hanno creato un account PowerDMARC e che ricevono i rapporti sull'analizzatore di rapporti analizzatore di rapporti DMARC non devono preoccuparsi della verifica dei domini esterni, perché ce ne occupiamo noi. Tutti i report inviati dai ricevitori vengono automaticamente instradati e inviati alla nostra piattaforma, ordinatamente analizzati e organizzati per essere visualizzati senza che dobbiate pubblicare record per semplificare il processo di verifica della destinazione esterna. Tutto ciò che dovete fare è specificare il nostro indirizzo rua (o ruf) personalizzato nel vostro record DMARC.
Registratevi ora per semplificare il processo di validazione delle destinazioni esterne e di implementazione del DMARC con una prova gratuita del DMARC. prova DMARC.
Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC
Ahona è la Marketing Manager di PowerDMARC, con oltre 5 anni di esperienza nella scrittura di argomenti di cybersecurity, specializzata in sicurezza dei domini e delle e-mail. Ahona ha conseguito una laurea in Giornalismo e Comunicazione, consolidando la sua carriera nel settore della sicurezza dal 2019.
Ultimi messaggi di Ahona Rudra (vedi tutti)
- Microsoft rafforza le regole sui mittenti di e-mail: Aggiornamenti chiave da non perdere - 3 aprile 2025
- Configurazione DKIM: Guida passo-passo alla configurazione di DKIM per la sicurezza delle e-mail (2025) - 31 marzo 2025
- PowerDMARC riconosciuto come leader di rete per DMARC nei rapporti G2 Spring 2025 - 26 marzo 2025
