Sovrascrittura dei criteri DMARC: Spiegazione
Questo articolo spiega in dettaglio cosa sono gli override dei criteri DMARC, come funzionano, qual è la differenza tra un override dei criteri DMARC e un fallimento dei criteri DMARC e se l'override dei record DMARC è legittimo o meno.
Sovrascrittura dei criteri DMARC: Spiegazione
L'override dei criteri DMARC avviene quando il server di posta elettronica ricevente sovrascrive il criterio DMARC impostato dal mittente. Questo accade quando il mittente ha specificato che vuole che la sua e-mail venga rifiutata se non corrisponde ai criteri di un server di posta in arrivo, ma il server di posta elettronica ricevente decide che non è appropriato per il proprio insieme di criteri.
Ad esempio, se il mittente ha specificato una politica rigorosa (come "p=rifiuta tutta la posta senza SPF o DKIM") e il server di posta elettronica ricevente ha una politica rilassata o libera (come "accetta tutta la posta senza SPF o DKIM"). In questa situazione, il server ricevente può ignorare la politica DMARC del mittente con la propria politica locale e consegnare il messaggio alla casella di posta del destinatario anche se non supera i controlli DMARC.
Comprendere il meccanismo di esclusione dei criteri DMARC
Il DMARC viene utilizzato per comunicare le impostazioni dei criteri che i destinatari delle e-mail possono utilizzare per applicare alle e-mail inviate dal vostro dominio.
Ad esempio, è possibile utilizzare un criterio per DMARC per indicare al server di posta elettronica del destinatario cosa deve fare (p=rifiuto o p=nessuno o p=quarantena) se un controllo SPF o DKIM fallisce nelle e-mail inviate dal vostro dominio.
Questo riassume la potenza del DMARC, giusto?
Ma cosa succede se il server di posta elettronica ricevente ha una propria serie di criteri locali per trattare le e-mail in ricezione? Si atterrà ai criteri DMARC impostati dal mittente o sovrascriverà i criteri del mittente con i propri criteri locali?
Beh...
La specifica DMARC richiede che i destinatari della posta si impegnino in buona fede a rispettare le politiche DMARC pubblicate dai proprietari dei domini. Quindi, se un test dell'intestazione SPF, DKIM e From del mittente fallisce su un messaggio, si dovrebbe attivare ciò che è specificato nella politica DMARC del mittente (p), come quarantena, rifiuto o NESSUNO.
Supponiamo che la situazione sia questa:
Il vostro dominio (mypersonaldomain.org) ha una politica DMARC (p=none).
Il server di posta elettronica gestito dal destinatario (theirdomain.org) rifiuta tutta la posta che non supera il controllo SPF. Ciò significa che se un'e-mail inviata a (theirdomain.org) non supera il controllo SPF, verrà rifiutata. Giusto?
Ma...
Cosa succede se un'e-mail proveniente dal vostro dominio (mypersonaldomain.org) con politica DMARC p=none viene ricevuta da somedomain.org e non supera il controllo SPF?
In questo caso, dipenderà dal server di posta ricevente (come è configurato) accettare la politica DMARC impostata dal mittente OPPURE rifiutare l'e-mail sovrascrivendo la politica del mittente con le regole definite nella sua politica locale di p=rifiuto in caso di fallimento della verifica SPF.
Microsoft 365 ne è un esempio in tempo reale, in quanto invia tutte le e-mail p=rifiutate nella cartella di posta indesiderata/spam dell'utente invece di rifiutarle. Questo perché O365 ritiene che sia giusto che sia il destinatario a prendere la decisione finale sulla destinazione finale.
I cinque valori delle sovrascritture dei criteri DMARC
inoltrata - È probabile che l'e-mail sia stata inoltrata, in base ad algoritmi locali che hanno identificato modelli di inoltro. È prevedibile che l'autenticazione fallisca.
politica_locale - il criterio locale del destinatario della posta esenta l'email dall'azione richiesta dal proprietario del dominio. Ad esempio, quando il criterio richiesto è impostato su "rifiuta" ma il controllo ARC è stato superato, un destinatario di posta può ignorare questa decisione e scegliere di non rifiutare un'e-mail.
| Cos'è ARC?
ARC sta per Catena ricevuta autenticata (ARC). Con ARC, i protocolli DKIM e SPF di un'e-mail non saranno più interrotti da inoltri o mailing list. Questo perché ARC preserva i risultati dell'autenticazione delle e-mail attraverso router, intermediari e altri sistemi ("hop") che possono modificare un messaggio nel passaggio da un nodo all'altro di Internet. Quindi, se è presente una catena ARC, il server di posta ricevente che altrimenti scarterebbe i messaggi potrebbe scegliere di valutare i risultati dei test e fare un'eccezione, consentendo ai messaggi legittimi provenienti da questi flussi di posta indiretti di raggiungere le loro destinazioni. |
mailing_list - L'e-mail è stata inviata da una mailing list, quindi il programma di filtraggio ha deciso che probabilmente non era legittima.
sampled_out - Il messaggio non è applicabile al criterio perché l'impostazione "pct" è stata impostata nel record DMARC.
forwarder_affidato - Il fallimento è stato anticipato da prove che collegavano l'e-mail a un elenco di forwarder affidabili gestito localmente.
altre - Alcune polizze contengono eccezioni che non sono state trattate dalle altre voci dell'elenco.
Sovrascrittura dei criteri DMARC: E' ammissibile?
La sezione 6 dell'RFC 7489 afferma che i server di posta devono rispettare e gestire i messaggi in linea con la politica del mittente. Sebbene le sovrascritture siano contrarie allo spirito del DMARC, i provider di caselle postali si riservano il diritto di sovrascrivere i criteri del mittente. Quindi sì, è consentito al server ricevente sovrascrivere la politica DMARC con la propria politica locale.
Ciò significa che un server di posta elettronica potrebbe comunque consegnare un messaggio contraffatto anche se la politica che dovrebbe seguire dice il contrario.
È necessario inviare rapporti di esclusione dei criteri DMARC?
Le sovrascritture dei criteri DMARC avvengono principalmente quando:
- l'euristica del destinatario identifica un messaggio che non ha superato l'autenticazione ma che potrebbe essere stato inviato da una fonte autorizzata.
- un provider di mailbox ha un messaggio che non ha superato il DMARC a causa di inoltro di e-mail ma è abbastanza sicuro della sua legittimità, può ignorare il criterio e consegnarlo comunque.
Sebbene l'override delle politiche DMARC sia consentito, le sezioni 6 e 7.2 della RFC 7489 stabiliscono che quando un destinatario sceglie di discostarsi dalle politiche pubblicate dal proprietario del dominio, deve segnalare tale fatto e le ragioni per cui lo ha fatto (utilizzando un formato di feedback aggregato) al proprietario del dominio.
Come sono consentite le sovrascritture dei criteri DMARC?
Il DMARC è composto da due parti:
Politica DMARC - È impostata dall'organizzazione mittente (sul DNS pubblico dell'organizzazione mittente, insieme a SPF e DKIM) e definisce il modo in cui la parte ricevente deve gestire i messaggi non conformi alle proprie politiche.
Verifica DMARC - È utilizzata dall'organizzazione ricevente (sul gateway di sicurezza della posta elettronica dell'organizzazione ricevente) e controlla ogni messaggio ricevuto da una particolare organizzazione per le politiche elencate nei record DMARC di quell'azienda. Tuttavia, la possibilità di ignorare l'applicazione dei criteri DMARC di un'organizzazione mittente è valida anche per le organizzazioni riceventi.
Impostazione di un Criterio DMARC è una "RICHIESTA, NON UN OBBLIGO": significa essenzialmente che state richiedere ai server di posta ai server di posta di indicare come devono gestire i messaggi di posta elettronica inviati da o che impersonano il vostro dominio.
Tuttavia, i destinatari delle e-mail non sono tenuti a seguire una serie di linee guida rigorose nell'elaborazione delle e-mail in arrivo. Possono sviluppare le loro politiche sui messaggi che accettano o rifiutano e applicare tali standard di conseguenza.
Ad esempio, se il destinatario dell'e-mail considera il messaggio valido. Quindi, se un'e-mail non supera il controllo DMARC, il destinatario può comunque applicare i propri criteri locali e consegnarla alle caselle di posta. Inoltre, i criteri del destinatario delle e-mail possono prevalere su quelli del proprietario del dominio.
Come può un'organizzazione ricevente ignorare il mio criterio DMARC?
Altre organizzazioni possono sovrascrivere la configurazione dei criteri DMARC tramite i propri strumenti di verifica DMARC e decidere la propria serie di criteri su come agire sui messaggi in arrivo. A seconda del sistema, un utente con privilegi di amministrazione può essere in grado di ignorare tutti i domini o solo alcuni.
Va notato che i criteri DMARC sono impostati dal proprietario del dominio e ogni criterio si applica solo ai domini di quell'organizzazione. Pertanto, una politica DMARC non può influenzare gli indirizzi di altre organizzazioni o i loro messaggi.
Fallimento del criterio DMARC e annullamento del criterio DMARC: Qual è la differenza?
Fallimento del DMARC è quando un server di posta non implementa correttamente il DMARC, il che comporta il fallimento della verifica SPF e DKIM da parte del destinatario. L'impossibilità di verificare la legittimità del mittente può indurre le caselle di posta a contrassegnarlo come spam o a rifiutare i suoi messaggi. In questo caso, il server di posta ricevente rispetta la politica del mittente e non la sostituisce con la propria politica locale.
L'annullamento dei criteri DMARC si verifica quando il server di posta elettronica ricevente non rispetta il criterio del mittente. Invece, sovrascrive il criterio DMARC del mittente con il proprio criterio locale. Ciò significa che se il messaggio del mittente ha un criterio rigoroso di p=rifiuto senza verifica SPF o DKIM, la posta ricevente ignorerà il criterio e consegnerà comunque il messaggio alla casella di posta.
Tenete sotto controllo le sostituzioni dei criteri DMARC con PowerDMARC
L'aggiornamento delle sovrascritte ai criteri DMARC è una parte fondamentale della prevenzione dello spoofing e dell'impersonificazione delle e-mail. Tuttavia, la maggior parte delle organizzazioni non ha il tempo o le risorse necessarie per tenere traccia delle sovrascritte ai criteri DMARC.
Non è possibile bloccare gli scavalcamenti dei criteri DMARC, ma è possibile tenerne traccia con il nostro servizio DMARC. Vi forniremo rapporti completi su quali organizzazioni superano la vostra modalità di policy e su quali tipi di messaggi sono stati consentiti dal destinatario. Questo aiuterà il mittente a tenerne traccia e a prendere le misure necessarie in caso di spoofing o impersonificazione.
Iscriviti alla nostra Prova gratuita del DMARC oggi stesso e testalo tu stesso!
