Spiegazione dell'RFC DMARC: Uno standard fondamentale per l'autenticazione moderna delle e-mail

DMARC (Domain-based Message Authentication Reporting and Conformance) è un protocollo di autenticazione delle e-mail specificato nella RFC 7489 (Informational); il suo successore, la bozza IETF DMARCbis, aggiorna e chiarisce il protocollo ed è destinato a obsoletizzare la RFC 7489. 

Il DMARC si basa su SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail) per proteggere i domini di posta elettronica da spoofing, phishing e uso non autorizzato. Pubblicando una politica DMARC nel DNS, i proprietari dei domini istruiscono i server di posta elettronica riceventi su come gestire i messaggi che non superano i controlli di autenticazione. Questa base tecnica rende il DMARC una pietra miliare della sicurezza e dell'affidabilità della posta elettronica moderna.

Che cos'è l'RFC DMARC?

L'IETF ha pubblicato il DMARC come RFC 7489 (Informational) nel marzo 2015. Definisce come i proprietari dei domini possono pubblicare politiche DNS che indicano ai ricevitori cosa fare quando un messaggio non supera la valutazione DMARC.

Il protocollo è stato originariamente sviluppato da un consorzio di settore che comprendeva Google, Microsoft, Yahoo, PayPal e altri, che lavorano sotto la bandiera di DMARC.org. Il loro obiettivo era quello di ridurre le frodi via e-mail creando un modo comune per segnalare e applicare l'autenticazione a livello di dominio; questo lavoro è stato successivamente sottoposto all'IETF. IETFche lo ha pubblicato come RFC 7489. Sebbene la RFC 7489 sia una RFC informativa piuttosto che un documento Standards Track, è diventata il riferimento de facto per l'implementazione di DMARC.

Cosa prevede la RFC 7489?

RFC 7489 definisce il quadro completo per DMARC. Sebbene il documento sia di per sé tecnico, i suoi obiettivi principali sono semplici:

Fornire un meccanismo politico

Con il DMARC, i proprietari dei domini possono pubblicare politiche chiare che indicano ai destinatari cosa fare con le e-mail che non superano i controlli di autenticazione.

Beneficiare di una reportistica completa 

Il DMARC è anche un protocollo di reporting. Ciò significa che i proprietari dei domini possono ottenere dati su quali e-mail superano l'autenticazione e quali no. Questo li aiuta a distinguere le e-mail legittime da quelle dannose.

Ridurre le frodi via e-mail

Il DMARC verifica se il dominio RFC5322.From è in linea con gli identificatori autenticati tramite SPF o DKIM. Questo riduce lo spoofing diretto dei domini; non impedisce i domini look-alike o l'inganno del nome visualizzato e può essere influenzato dai flussi di posta indiretti. 

Basarsi sugli standard esistenti

DMARC utilizza i risultati di SPF e/o DKIM e aggiunge l'allineamento degli identificatori, i criteri (p=) e la segnalazione (rua/ruf). 

Ripartizione tecnica dei requisiti

Il DMARC valuta l'allineamento e applica i criteri. In particolare, aggiunge un nuovo importante requisito: l'allineamento degli identificatori.

Come DMARC utilizza i risultati SPF e DKIM

Il DMARC non si limita a verificare se SPF o DKIM passano, ma richiede l'allineamento dell'identificatore con il dominio RFC5322.From.

Allineamento SPF

Il DMARC utilizza il dominio RFC5321.MailFrom (o HELO) autenticato SPF e richiede che sia allineato con il dominio RFC5322.From. Deve essere almeno una corrispondenza organizzativa in modalità rilassata (aspf=r, default) o una corrispondenza esatta in modalità rigorosa (aspf=s).

Allineamento DKIM

Il DMARC utilizza il dominio DKIM d= e richiede che sia allineato con il dominio RFC5322.From. Deve essere almeno una corrispondenza organizzativa in modalità rilassata (adkim=r, default) o una corrispondenza esatta in modalità rigorosa (adkim=s).

Questo requisito di allineamento è il superpotere del DMARC. Collega direttamente i risultati dell'autenticazione al dominio visibile del marchio, chiudendo così una falla che gli aggressori sfruttavano in precedenza.

Modalità politiche (p=)

Il record DMARC specifica una delle tre politiche che i ricevitori devono seguire quando un'e-mail non supera i controlli DMARC:

• p=nessuno: solo monitoraggio; richiesta di rapporti.
• p=quarantena: segnala che la posta in arrivo è sospetta (gestione tipica: spam/spazzatura).
• p=rifiuto: un segnale forte che indica che la posta non riuscita deve essere rifiutata. Sebbene l'RFC consenta eccezioni alla politica locale (ad esempio, per i mittenti noti e validi), i principali provider di solito rispettano questa politica rigorosamente per i tentativi di spoof non autenticati.

Funzioni di reporting (RUA e RUF)

Il DMARC fornisce un utile feedback attraverso due tipi di rapporti:

Rapporti aggregati (RUA)

Rapporti RUA sono riepiloghi XML leggibili dal computer (in genere ogni giorno) dei risultati DMARC. Includono dati come l'indirizzo IP di invio, i risultati SPF/DKIM, i dettagli di allineamento e il numero di messaggi. Tuttavia, questi file XML grezzi non sono facilmente leggibili dall'uomo e sono difficili da analizzare manualmente senza strumenti specializzati. Il PowerDMARC DMARC Report Analyzer automatizza questo processo e converte dati complessi in grafici e diagrammi intuitivi.

Rapporti di errore specifici per i messaggi (RUF, spesso chiamati "forensi")

Sono facoltativi e raramente inviati per motivi di privacy. Molti destinatari li eliminano o li disabilitano. Il DMARCbis documenta queste preoccupazioni e fa riferimento a una bozza separata di segnalazione dei guasti, deprecando sempre più le segnalazioni RUF.

DMARCbis e le prossime modifiche

Gli standard tecnologici cambiano rapidamente e il DMARC non fa eccezione. DMARCbis è l'imminente aggiornamento delle specifiche del protocollo DMARC, formalizzato dall'IETF. Si ispira alle lezioni apprese negli ultimi anni e mira a far passare il DMARC da una RFC "informativa" a una "proposta di standard" formale. 

Non si tratta di una rivoluzione o di un abbandono del DMARC, ma di un'evoluzione. I principali cambiamenti e chiarimenti del DMARCbis includono:

p=comportamento di quarantena

Il DMARCbis chiarisce la semantica della quarantena e le indicazioni per i destinatari, ma lascia ancora la discrezionalità a questi ultimi. 

Nuovi termini e ristrutturazioni

Pur basandosi sull'RFC 7489 originale, DMARCbis è stato ristrutturato ed è ora più facile da leggere per l'utente medio.

La specifica è ora suddivisa in tre documenti separati (RFC). Questi includono: 

• Il documento principale
• Il segnalazione aggregata specifica
• Il segnalazione dei guasti specifica

Anche alcuni termini e frasi sono stati modificati per una maggiore chiarezza, ad esempio:

• "Ricevitore del rapporto" invece di "Consumatore del rapporto".
• "Politica di valutazione del proprietario del dominio" invece di "Politica DMARC".
• "Applicazione" per p=quarantena e p=rifiuto
• Modalità "Monitoraggio" per p=nessuno

Problemi di rendicontazione

L'inoltro può infrangere l'SPF, mentre le mailing list spesso infrangono il DKIM. DMARCbis ora sconsiglia l'uso di un criterio p=reject se le mailing list sono destinatari comuni. 

Anche le regole di rendicontazione degli aggregati sono state rese più severee il formato XML dei rapporti è stato aggiornato per riflettere i nuovi tag.

Scoraggiare la RUF

Il DMARCbis scoraggia l'uso dei rapporti RUF a causa di problemi di privacy e fa riferimento alla segnalazione dei guasti in una bozza separata.

Passeggiata sugli alberi DNS

Il metodo originale per determinare il dominio organizzativo si basava molto sull'elenco dei suffissi pubblici (PSL), che poteva essere incompleto. DMARCbis specifica formalmente un algoritmo "DNS Tree Walk" più flessibile e affidabile per scoprire la politica DMARC applicabile.

Tag di record DMARC nuovi o rimossi

Alcuni tag DMARC come "pct", "rf" e "ri" sono stati completamente rimossi. Vengono invece aggiunti nuovi tag di record DMARC, come "np", "psd" e "t". 

Importanza per le organizzazioni

La comprensione dell'RFC DMARC può aiutare le organizzazioni in diversi modi, tra cui:

Aumento della conformità

Google, Yahoo, Microsoft e Apple Mail ora richiedono mittenti di massa di pubblicare un record DMARC insieme ad altri controlli (SPF/DKIM, allineamento, bassi tassi di spam, ecc.). La mancata conformità può avere un grave impatto sulla deliverability delle e-mail.

Evitare le configurazioni errate

Un'incomprensione dei concetti fondamentali dell'RFC, in particolare l'allineamento, può portare al blocco di e-mail legittime. Conoscere l'RFC 7489 può aiutare a risolvere i problemi e a configurare correttamente i criteri fin dall'inizio. 

Per evitare errori, si può anche utilizzare un Generatore di record DMARC per creare un criterio valido. Se si dispone già di un record e si ha solo bisogno di verificarlo, si può utilizzare PowerDMARC's DMARC Record Checker per assicurarsi che sia stato pubblicato correttamente prima di passare a un criterio di applicazione.

Molti vantaggi per la sicurezza 

Un criterio DMARC correttamente applicato con p=reject è una delle difese più efficaci contro lo spoofing del dominio diretto, che è uno dei principali fattori di compromissione delle e-mail aziendali e di molti attacchi di phishing. Implementando il DMARC, potete salvaguardare i vostri dipendenti, clienti e la reputazione del vostro marchio da un'ampia gamma di frodi basate sulle e-mail.

Riassunto

L'RFC DMARC fornisce un solido quadro di riferimento per la protezione dei domini dalle frodi via e-mail. Delinea standard e linee guida semplici e chiare per l'impostazione e l'applicazione del DMARC. Se si seguono attentamente le regole del DMARC RFC, si può migliorare la sicurezza delle e-mail, proteggere la reputazione del marchio e migliorare la deliverability. 

Ma ciò che è ancora meglio è che l'implementazione e la gestione efficace del DMARC non devono essere un processo manuale. La piattaforma PowerDMARC semplifica l'intero percorso, dalla rapida impostazione al monitoraggio e all'applicazione accurati. 

Entrate in contatto con il PowerDMARC e lasciate che gli esperti si prendano cura della vostra sicurezza e-mail con competenza!

Domande frequenti

Quando è stato pubblicato l'RFC 7489?

La RFC 7489 è stata pubblicata nel marzo 2015.

Chi può utilizzare il DMARC?

Qualsiasi organizzazione o individuo che invia e-mail da un dominio può e deve utilizzare il DMARC. Non ci sono costi di licenza o restrizioni, il che lo rende uno standard accessibile a tutti per proteggere il proprio dominio dallo spoofing.

Perché i principali provider di posta elettronica richiedono il DMARC per i mittenti di massa?

L'utente medio di solito non è in grado di capire se un messaggio o un'e-mail sono veri o falsi. Per questo motivo, i provider di caselle di posta elettronica devono prestare attenzione a quali e-mail lasciare che raggiungano la casella di posta principale. Il DMARC aiuta a risolvere questo problema. Consente a mittenti, destinatari e provider di caselle postali di collaborare contro le frodi via e-mail. A partire da febbraio 2024, Google/Yahoo richiederà l'autenticazione SPF o DKIM, DMARC con p=none o più forte, bassi tassi di reclamo per spam e allineamento RFC5322.From.

Esistono strumenti che facilitano l'impostazione e l'applicazione del DMARC?

PowerDMARC offre molti strumenti e servizi di questo tipo, tra cui il generatore DMARC, il checker, i servizi in hosting e altro ancora!

• Informazioni su
• Ultimi messaggi

Ayan Bhuiya

Shift Lead, esperto di sicurezza delle infrastrutture e delle e-mail presso PowerDMARC

Con oltre 13 anni di esperienza nella sicurezza informatica, Ayan Bhuiya è specializzato in infrastrutture, continuità aziendale, gestione del rischio e sicurezza delle e-mail. Attualmente ricopre il ruolo di Shift Lead presso PowerDMARC. Ha conseguito un diploma post-laurea in Networking e Sicurezza e vanta una comprovata esperienza nella conduzione di iniziative strategiche di sicurezza per mitigare le minacce e garantire la resilienza aziendale.

Ultimi messaggi di Ayan Bhuiya (vedi tutti)

• 6 modi in cui una violazione dei dati personali può minacciare la sicurezza della tua azienda - 1 aprile 2026
• Direttiva NIS2: cos’è, requisiti, scadenze e come conformarsi - 26 marzo 2026
• Essential Eight vs SMB 1001: un confronto completo per la moderna sicurezza informatica australiana - 12 febbraio 2026