dmarc vs spf

Se non avete seguito tutto il dibattito su DMARC vs SPF, cerchiamo di capire cosa sono e come possono aiutarvi. Se siete nuovi all'autenticazione delle email, è probabile che vi siate imbattuti in termini fugaci come DMARC e SPF e che vogliate capirli meglio per decidere quale sia il più adatto a voi.

Sender Policy Framework, aka SPF, consente di memorizzare una lista di indirizzi IP autorizzati che sono autorizzati a inviare e-mail ai vostri clienti per vostro conto(RFC 4408). D'altra parte, DMARC aiuta a specificare una politica per le email che falliscono l'autenticazione, aiutando i proprietari di domini a controllare l'austerità dei loro protocolli di sicurezza implementati. Detto questo, elaboriamo DMARC vs SPF. 

Ho distribuito SPF, ho ancora bisogno di DMARC?

SPF non fornisce ai proprietari di domini un meccanismo per inviare rapporti di consegne fallite e tentativi di impersonificazione. È qui che entra in gioco DMARC. Se abilitate la segnalazione DMARC per i vostri domini, sarete in grado di ottenere notifiche sui vostri risultati di autenticazione SPF, che includono, ma non si limitano a, le consegne fallite e i tentativi di spoofing. Questa è una caratteristica importante che dovrebbe essere un'aggiunta indispensabile alla vostra suite di sicurezza e-mail anche se avete solo SPF distribuito per i vostri domini.

Il monitoraggio dei vostri domini può essere utile per elaborare informazioni su come le vostre email stanno performando e misurare il tasso di successo delle vostre campagne di email marketing. Ti aiuta anche a rispondere agli attacchi più velocemente e a mettere in lista nera gli indirizzi dei mittenti sospetti. 

Posso implementare DMARC senza DKIM?

Sì. E' possibile pubblicare un record DMARC anche senza la presenza di un record DKIM nel vostro DNS. Questo perché, affinché le vostre email siano considerate conformi a DMARC, devono passare l'autenticazione SPF o DKIM e non entrambe. Se non avete un record DKIM in atto, gli MTA riceventi controllano solo l'allineamento SPF che determina l'autenticità dei messaggi, mentre DKIM fallisce automaticamente per ogni messaggio.

Tuttavia, questa non è una situazione ideale. Scopriamo perché:

Il problema dell'inoltro delle e-mail e delle mailing list

Nel caso di email inoltrate, il tuo messaggio passa attraverso un server intermediario prima di arrivare nella casella di posta del tuo destinatario. Questo server ha un indirizzo IP diverso che potrebbe non essere incluso nel record SPF del tuo dominio. Quindi le email inoltrate rompono l'SPF dalla parte del destinatario.

Se non avete un record DKIM, fallire SPF significherebbe essenzialmente fallire DMARC. Per una politica impostata per rifiutare, le vostre email legittime inviate attraverso le mailing list non raggiungerebbero affatto i vostri destinatari. Questo è il motivo per cui avere sia SPF che DKIM implementati per il vostro dominio, e ottenere una completa conformità DMARC allineando le vostre email contro entrambi i protocolli è un modo migliore per assicurare una deliverability senza problemi.

DMARC Vs SPF: per riassumere

 

Per riassumere la discussione su DMARC vs SPF, la nostra raccomandazione è di iniziare pubblicando un record TXT per SPF e un record DMARC mantenendo la politica a nessuno mentre si abilita il reporting aggregato. In questo modo è possibile tenere sotto controllo il volume delle e-mail che vengono inoltrate o inviate tramite mailing list. Una politica "none" non avrà alcun effetto sulla deliverability delle vostre email e vi permetterà di monitorare efficacemente i vostri domini.

Tuttavia, per migliorare le vostre difese contro gli attacchi imminenti di phishing e spoofing avete bisogno di una politica più applicata (p=reject/quarantine) per DMARC. La sola implementazione di SPF non offre alcuna protezione contro le frodi via e-mail, per le quali una politica DMARC è imperativa.

Vantaggi di una soluzione software DMARC

Raccomandiamo l'uso di PowerDMARC's analizzatore di rapporti DMARC per ottenere consigli da esperti e ottenere il massimo dai vostri standard di autenticazione e-mail oggi. Questo vi aiuterebbe:

  • Passare a una politica di rifiuto alla velocità più rapida del mercato, senza influenzare la tua deliverability 
  • Ottenere il 100% di conformità DMARC sulle vostre e-mail in uscita
  • Monitora i tuoi canali di posta elettronica mentre sei su p=none per fare chiarezza sul volume delle e-mail inoltrate 
  • Prendete decisioni sulle modalità e le configurazioni della vostra politica di protocollo più velocemente e godetevi un roll-out senza intoppi dei vostri standard di autenticazione e-mail implementati