L'e-mail è uno dei mezzi di comunicazione più utilizzati. Ma è altamente soggetta a essere attaccata da hacker e spammer. Pertanto, l'implementazione di SPF, DKIMe DMARC proteggono le conversazioni via e-mail e impediscono agli attori delle minacce di dirottarle. Questo blog si propone di discutere i principali parametri DMARC che vi aiuteranno a iniziare il processo.
Cos'è DMARC?
Per capire quali sono i parametri da associare al DMARC, occorre innanzitutto sapere cos'è il DMARC e come funziona.
DMARC è l'acronimo di Domain-based Message Authentication Reporting and Conformance. È un protocollo di autenticazione delle e-mail che consente di creare e pubblicare una politica di sicurezza specifica per il processo di autenticazione delle e-mail. Indica alla casella di posta elettronica del destinatario come trattare le e-mail non autentiche inviate dal vostro dominio ufficiale.
Come funziona DMARC?
DMARC è implementato insieme a SPF e DKIM. Il proprietario del dominio crea e pubblica un record DNS DMARC presso il proprio provider DNS. Quando viene inviata un'e-mail da quel dominio (da voi e dai vostri dipendenti o dai criminali informatici), il server di posta del destinatario ne convalida l'autenticità verificando se il dominio ha un record DMARC pubblicato sul DNS.
Oltre a questo, il server del destinatario esegue i controlli DKIM e SPF per sapere se il mittente è effettivamente chi dice di essere. Vengono eseguiti i seguenti controlli:
- Se il messaggio ha una firma Firma DKIM?
- Se l'indirizzo IP del mittente corrisponde ai mittenti autorizzati nel record SPF?
- Le intestazioni dei messaggi superano i test di allineamento del dominio?
Una volta ottenuti i risultati SPF e DKIM, il server di posta applica il criterio. Alla fine, un rapporto chiamato DMARC Aggregate Report viene inviato all'indirizzo e-mail specificato per la ricezione dei rapporti.
Politiche DMARC
Uno dei principali parametri DMARC è costituito dai tre criteri DMARC. È possibile monitorare per un certo periodo di tempo e poi decidere come trattare le caselle di posta dei destinatari per le e-mail non autenticate inviate dal proprio dominio. Ecco i tre criteri:
Politica di monitoraggio: p=nessuno
Questo criterio DMARC indica ai server di posta elettronica di inviare le segnalazioni all'indirizzo indicato nel tag rua o ruf del record DMARC. Si tratta di una politica di solo monitoraggio che viene implementata nella fase iniziale della conformità DMARC per analizzare l'attività del vostro canale e-mail.
Offre informazioni sul canale e-mail, ma non indica ai server di ricezione come trattare le e-mail che non superano i controlli DMARC.
Politica di quarantena: p=quarantena
Questo parametro del record DMARC indica ai server di ricezione di inserire i messaggi di posta elettronica che non superano l'autenticazione DMARC nella cartella spam. Le e-mail che superano il test di autenticazione finiscono nella posta in arrivo. In questo modo si riducono le possibilità di indirizzare accidentalmente un'e-mail di phishing, ma tali e-mail dannose finiranno comunque nella cartella spam.
Politica di rifiuto: p=rifiuto
Il parametro p=rifiuta DMARC indica ai server di posta elettronica di rifiutare completamente l'inserimento delle e-mail che non superano i controlli di autenticazione DMARC. Tutte le email superate vengono consegnate alla casella di posta. Tuttavia, è possibile che si verifichino dei falsi fallimenti, il che significa che a volte le e-mail significative e autentiche non raggiungono i destinatari.
Tipi di tag DMARC e loro funzione
I tag DMARC specificano alcuni aspetti dei parametri DMARC e non tutti sono importanti e utilizzati come gli altri. Si dividono in tre categorie.
- Richiesto: Si tratta di tag obbligatori. Ogni record TXT DMARC deve iniziare con il tag obbligatorio 'v' o versione e aggiungere il valore 'DMARC1'.
- Facoltativo ma consigliato: Non è necessario aggiungere questi tag, ma aiutano a generare i rapporti.
- Opzionale: È possibile ignorare completamente questi tag.
Funzioni dei tag DMARC
Ci sono in totale 11 tag importanti per i parametri del record DMARC e i tag "v" e "p" sono obbligatori. Vediamo qual è la funzione di ciascun tag.
| Nome del tag DMARC | Tipo | Funzione |
| v (versione) | Richiesto | Questo tag DMARC specifica la versione. Al momento esiste una sola versione, quindi il suo valore è fissato a v=DMARC1. |
| p (politica) | Richiesto | Il parametro DMARC indica la modalità del criterio DMARC. Indica al destinatario di segnalare, mettere in quarantena o rifiutare le e-mail che non superano i controlli di autenticazione. |
| adkim | Opzionale | È l'abbreviazione della modalità di allineamento DKIM. Il suo valore può essere Strict (s) o Relaxed (r).
In modalità rilassata, la convalida mostra un risultato positivo se il record DKIM verificato si rivolge a un dominio d=sample.com e se l'indirizzo e-mail del mittente appartiene alla categoria email@news.sample.com. Nella modalità rigorosa, la convalida mostra un risultato positivo quando l'e-mail proviene da un indirizzo del dominio sample.com. I sottodomini non vengono convalidati. |
| aspf | Opzionale | Questo parametro DMARC indica la modalità di allineamento SPF. Il suo valore può essere Strict (s) o Relaxed (r). Il valore predefinito è Relaxed "r". |
| sp (politica dei sottodomini) | Opzionale | Il tag DMARC sp specifica il criterio del sottodominio. La modalità del criterio è configurata per il dominio principale (p). |
| fo (segnalazione di guasti) | Opzionale | Il valore predefinito del tag DMARC fo è 0. Si riferisce alle opzioni di segnalazione dei guasti che i proprietari dei domini possono scegliere.
Le opzioni disponibili sono: fo=0: se l'email non supera l'allineamento SPF e DKIM, viene inviato un rapporto DMARC di fallimento/forensic. fo=1: un rapporto DMARC di fallimento/forense viene inviato all'utente quando l'email non supera l'allineamento SPF o DKIM. fo=d: viene inviata una segnalazione di fallimento DKIM se la firma DKIM dell'email non viene convalidata, indipendentemente dall'allineamento fo=s: viene inviato un rapporto di fallimento SPF se l'e-mail non supera la valutazione SPF, indipendentemente dall'allineamento. |
| ruf (segnalazione di fallimento RUI) | Opzionale ma raccomandato | Specifica dove deve essere inviato il rapporto DMARC forensic ruf. Attualmente, solo alcune aziende conformi al DMARC lo inviano. |
| rua (rapporto aggregato RUI) | Opzionale ma raccomandato | Mentre i parametri DMARC vengono spiegati, il tag rua mostra l'indirizzo e-mail o il server web a cui le società di segnalazione devono consegnarlo. |
| rf (formato del rapporto) | Opzionale | Il valore predefinito di questo tag DMARC è "afrf". Registra i formati dei rapporti forensi. |
| pct (percentuale) | Opzionale | Il valore predefinito è "100". Questo tag indica la percentuale di email per le quali viene tentata la modalità di criterio
Ad esempio, "pct = 40" filtrerà il 40% delle e-mail. |
| ri (intervallo di tempo per il rapporto) | Opzionale | Il valore predefinito del tag ri è '86400'. Specifica l'intervallo di tempo in secondi tra due rapporti aggregati consecutivi. |
Sintesi
I parametri DMARC lavorano insieme per aiutarvi a prevenire attacchi di phishing e spoofing tentati a nome del vostro marchio. Funziona insieme a SPF e DKIM, dove le politiche DMARC vengono applicate per indicare al server ricevente come gestire le e-mail che non superano i controlli di convalida. I tre tag sono p= none (non viene intrapresa alcuna azione sulle email fallite), p=quarantine (le email fallite finiscono nella cartella spam invece che nella posta in arrivo) e p=reject (alle email fallite viene completamente impedito di entrare nelle caselle di posta dei destinatari).
- Aumento delle truffe fiscali e degli attacchi di imitazione dell'e-mail del fisco durante la stagione fiscale - 2 maggio 2024
- La sicurezza delle e-mail per combattere le truffe di criptovaluta - 30 aprile 2024
- Come trovare il miglior fornitore di soluzioni DMARC per la vostra azienda? - 25 aprile 2024