• Falsi positivi DMARC: Cause, correzioni e guida alla prevenzione

Falsi positivi DMARC: Cause, correzioni e guida alla prevenzione

Blog

Le e-mail legittime non superano i controlli DMARC? Scoprite le principali cause dei falsi positivi DMARC e come risolverli e prevenirli per proteggere la deliverability delle e-mail.

di Ahona Rudra

Tempo di lettura: 6 min
Falsi positivi DMARC: Cause, correzioni e guida alla prevenzione
Indice dei contenuti-

DMARC è un protocollo di autenticazione delle e-mail che si basa su SPF e DKIM. Aiuta i proprietari dei domini a specificare come i server di posta elettronica riceventi debbano gestire le e-mail che non superano l'autenticazione. I criteri chiave del DMARC sono nessuno, quarantena o rifiuto. Esse consentono di controllare se le e-mail non autenticate devono essere consegnate, inviate allo spam o bloccate completamente.

Un falso positivo DMARC si verifica quando un'e-mail legittima viene erroneamente contrassegnata come "non riuscita". Ciò può essere dovuto a configurazioni errate e lacune nelle impostazioni SPF, DKIM o DMARC. Le cause più comuni includono domini non allineati, firme DKIM mancanti o politiche troppo rigide applicate senza un adeguato monitoraggio. A causa di queste lacune, le e-mail aziendali possono essere perse o reindirizzate allo spam. Questo può avere un impatto significativo sulle operazioni aziendali, sull'efficacia della comunicazione e sull'immagine del vostro marchio.

I punti chiave da prendere in considerazione

  • I falsi positivi DMARC si verificano quando le e-mail legittime non superano i controlli DMARC a causa di configurazioni errate o problemi di allineamento.
  • Questi fallimenti possono portare a problemi di consegna e di deliverability delle e-mail, danni alla reputazione, riduzione del ROI, ecc. 
  • Le cause più comuni dei falsi positivi DMARC sono disallineamento SPF o DKIM, inoltro di email, chiavi DKIM scadutee mittenti terzi non autorizzati.
  • I segnali di falsi positivi possono apparire nei rapporti di fallimento DMARC, nei log dei rimbalzi o attraverso il rifiuto inaspettato di e-mail interne o di partner. 
  • È possibile ridurre o eliminare i falsi positivi monitorando e regolando i criteri DMARC, autorizzando i servizi di terze parti e gestendo l'inoltro delle e-mail.

Perché si verificano i falsi positivi DMARC?

I falsi positivi DMARC possono derivare da un gran numero di fattori.

Cattiva gestione dei record DNS

I record DNS fungono da istruzioni per aiutare i destinatari delle e-mail a convalidare l'autenticazione SPF, DKIM e DMARC. Consentono al DMARC di trovare gli indirizzi giusti per verificare l'autenticità e la legittimità dei mittenti di e-mail. La corretta gestione dei record DNS SPF, DKIM e DMARC garantisce che i server di ricezione possano autenticare correttamente le vostre e-mail. Senza un record DMARC, i ricevitori di e-mail non applicheranno i criteri DMARC, rendendo il vostro dominio vulnerabile allo spoofing.

Disallineamento SPF/DKIM

Il DMARC richiede che il dominio nell'intestazione "Da" corrisponda ai domini utilizzati nell'autenticazione SPF e DKIM. Se le vostre politiche di allineamento sono troppo rigide, questo può causare il fallimento di e-mail legittime nel caso in cui questi domini differiscano. In particolare, quando il dominio di autenticazione SPF (in genere dal percorso di ritorno) o il dominio di firma DKIM non si allineano con l'indirizzo "Da", il DMARC può fallire. 

Inoltro di e-mail

Le e-mail inoltrate passano spesso attraverso server intermedi che non sono elencati nel record SPF del mittente. Questo può far fallire l'SPF. L'inoltro di solito interrompe l'SPF, ma le firme DKIM di solito sopravvivono a meno che lo spedizioniere o la mailing list non modifichino il messaggio (ad esempio aggiungendo piè di pagina o intestazioni). Le lacune di SPF o DKIM possono causare il fallimento di DMARC. 

Liste di distribuzione

Le mailing list talvolta modificano le e-mail aggiungendo piè di pagina o intestazioni. Possono anche riscrivere completamente l'indirizzo "Da". Queste modifiche rompono le firme DKIM e causano un disallineamento SPF. Questo perché l'indirizzo di rimbalzo della mailing list è diverso da quello del mittente originale, quindi DMARC fallisce.

Chiavi DKIM scadute o ruotate

Le chiavi DKIM non scadono automaticamente, ma dovrebbero essere ruotate regolarmente. Alcune firme DKIM possono includere un tag x= che stabilisce un tempo di scadenza della firma, anche se è facoltativo e non molto applicato. Durante la rotazione delle chiavi è necessaria un'attenta gestione per garantire che le chiavi pubbliche rimangano pubblicate fino a quando tutte le e-mail firmate con la vecchia chiave non siano state consegnate.

Utilizzo dell'indirizzo IP dinamico 

Non è affatto sorprendente che il DMARC funzioni meglio con indirizzi IP stabili. Gli indirizzi IP dinamici spesso si spostano e rendono difficile raggiungere la destinazione prevista. Per questo motivo, un indirizzo IP dinamico ha maggiori probabilità di essere bloccato dai servizi di reputazione delle e-mail. Inoltre, è probabile che un indirizzo IP dinamico abbia record DNS inversi incoerenti. Questo, a sua volta, li rende più problematici e dà la preferenza agli indirizzi IP stabili. 

Mittenti terzi non autorizzati

Le e-mail inviate da terze parti che non sono incluse nei record SPF o DKIM del dominio molto probabilmente non riusciranno ad essere autenticate. Questo può causare il fallimento del DMARC e può potenzialmente innescare falsi positivi anche se questi mittenti sono legittimi; se non sono autorizzati correttamente, allora essere legittimi non è sufficiente. 

Come rilevare i falsi positivi DMARC

Ecco alcuni modi per individuare i falsi positivi DMARC. 

Rapporti aggregati DMARC (RUA)

Quando si esaminano i rapporti DMARC aggregati (RUA) rapportiè possibile vedere e monitorare facilmente le tendenze di accettazione e fallimento delle comunicazioni e-mail. Questi rapporti basati su XML vengono inviati ogni giorno all'indirizzo indicato nel vostro record DMARC. Includono un riepilogo dei risultati dell'autenticazione sia per SPF che per DKIM, in modo da poter rilevare qualsiasi aumento insolito dei fallimenti. Tale aumento inaspettato può essere un buon indicatore di falsi positivi.

Rapporti forensi (RUF)

L'abilitazione dei rapporti forensi DMARC (RUF) vi fornirà una diagnostica dettagliata e in tempo reale su tutte le e-mail che non superano i controlli DMARC. I rapporti sono piuttosto completi e includono informazioni a livello di messaggio. Possono includere i dati del mittente, l'oggetto e i risultati dell'autenticazione. Grazie alla profondità dei dati presenti in queste e-mail, diventa molto più facile identificare quali e-mail legittime vengono inviate allo spam o respinte.

Registri di rimbalzo delle e-mail

Controllare i log dei rimbalzi o dei rifiuti del server di posta è un altro buon metodo per individuare i falsi positivi. Se i bounce si ripetono o se si verificano frequenti rifiuti di e-mail interne o di partner, il vostro ecosistema e-mail potrebbe essere affetto da falsi positivi DMARC.

Sintomi comuni

Le vostre e-mail interne o di partner legittimi scompaiono o vengono rifiutate senza motivo? Se si verificano ancora errori di consegna anche quando si sono configurati correttamente i record SPF, DKIM e DMARC, questo è un altro segno di falsi positivi.

Come risolvere e prevenire i falsi positivi DMARC

Esistono diversi metodi efficaci per prevenire e/o correggere i falsi positivi. 

Garantire l'allineamento SPF/DKIM

Per SPF, assicurarsi che il dominio Return-Path (MAIL FROM) sia allineato con l'indirizzo From visibile. Per DKIM, assicurarsi che il dominio d= corrisponda all'indirizzo From visibile. In alternativa, si può considerare di passare da un allineamento rigoroso a quello rilassato se si vuole risolvere facilmente il problema dei falsi positivi.

Autorizzare i servizi di terze parti

Un altro buon metodo è quello di aggiornare i record SPF per includere tutti i mittenti terzi legittimi. È possibile farlo utilizzando il meccanismo di inclusione o elencando i loro IP di invio. Assicuratevi che questi fornitori generino chiavi DKIM per il vostro dominio o sottodominio e pubblichino le chiavi pubbliche nel vostro DNS. 

Assicuratevi che i vostri record DNS siano ben gestiti 

Per gestire correttamente i propri record DNS, è sempre possibile utilizzare uno strumento di strumento di ricerca DNS per verificare la disponibilità di un record DMARC. Dovrebbe essere un record TXT con il vostro nome di dominio effettivo.

Sarebbe anche utile controllare la sintassi del record DMARC, in modo che tutte le direttive siano formattate correttamente e che si utilizzi la giusta punteggiatura (ad esempio, il punto e virgola). 

Gestire l'inoltro delle e-mail

Abbiamo già imparato che l'inoltro può interrompere SPF e DKIM. Per evitare questo problema, è necessario implementare ARC(Authenticated Received Chain). Questo può aiutare a preservare i risultati dell'autenticazione attraverso i passaggi di inoltro. È inoltre possibile configurare i servizi di inoltro per aggiungere le firme DKIMche possono aiutare a evitare i falsi positivi, il tutto durante l'inoltro.

Sfruttare una corretta gestione dei sottodomini 

Una buona implementazione DMARC comprende non solo il dominio ma anche la gestione dei sottodomini. Ciò significa che è necessario configurare i record SPF, DKIM e DMARC per ogni sottodominio e specificare chiaramente le politiche DMARC corrispondenti. 

Monitoraggio e adeguamento delle politiche

Infine, è importante sapere quali sono le politica DMARC da utilizzare in una determinata fase del percorso di implementazione del DMARC. Ad esempio, mentre un criterio DMARC rigoroso (ad esempio, p=rifiuto) può essere necessario nelle fasi successive, si consiglia di iniziare con un criterio DMARC rilassato come p=nessuno. Iniziare con un criterio meno rigido può aiutare a raccogliere dati e a identificare i falsi positivi.

Una volta ottenute le informazioni necessarie, si può passare gradualmente alla quarantena e infine al rifiuto. Ma fatelo solo quando siete sicuri che tutte le fonti legittime siano state autenticate correttamente.

Le migliori pratiche per ridurre i falsi positivi

Ecco una rapida lista di controllo da utilizzare per ridurre o addirittura eliminare i falsi positivi:

  1. Non passate direttamente a p=reject quando non avete ancora effettuato un monitoraggio e dei test sufficienti. Un'applicazione paziente e graduale del DMARC può aiutarvi a evitare i problemi associati alle e-mail legittime che finiscono nello spam. 
  2. Controllate e aggiornate regolarmente i vostri record DNS per SPF, DKIM e DMARC. In questo modo si garantisce che tutti i mittenti legittimi siano coperti. 
  3. Verificate sempre la vostra configurazione con i checker DMARC prima di applicare politiche rigide come p=reject. Oltre a utilizzare i verificatori online, assicuratevi anche di esaminare attentamente i rapporti per identificare eventuali errori o lacune.
  4. Evitate gli indirizzi IP dinamici (sapete già perché!). 
  5. Collaborare con fornitori di terze parti (come i CRM e gli ESP) per assicurarsi che le loro pratiche di invio siano conformi al DMARC e autorizzate per il vostro dominio.

Riassunto 

I falsi positivi possono essere davvero fastidiosi, ma in realtà sono più facili da risolvere di quanto si possa immaginare. Un allineamento corretto, un monitoraggio attento e un'applicazione graduale delle politiche DMARC possono aiutarvi a rilevarli e a prevenirli in tempo. Inoltre, ricordate di verificare i rapporti DMARC e di regolare le configurazioni per un'implementazione DMARC e una consegna o deliverability delle e-mail senza problemi. 

Iniziare a usare PowerDMARC analizzatore DMARC gratuito per monitorare tutti i protocolli di autenticazione delle e-mail sotto un unico tetto e sbarazzarsi dei falsi positivi!

CTA

Ultimi messaggi di Ahona Rudra (vedi tutti)
Il governo neozelandese impone il DMARC nell'ambito del nuovo quadro normativo per la sicurezza delle e-mailEmail governative sicureStudio di caso DMARC MSP: Come PrimaryTech ha semplificato la sicurezza dei domini dei clienti con...