La risposta è sì, è possibile configurare DMARC senza DKIM.
Ma è una buona idea farlo?
Questo articolo analizza la questione. E discute le conseguenze della configurazione di DMARC senza DKIM.
Comprendere gli standard di autenticazione DMARC
DMARC è un protocollo che consente di autenticare i messaggi e-mail provenienti dal proprio dominio. Utilizza una serie di regole per determinare se un messaggio e-mail è legittimo o meno.
SPF e DKIM sono altri due protocolli utilizzati per l'autenticazione nel contesto del DMARC.
SPF è l'acronimo di Sender Policy Framework, che specifica come i provider di posta elettronica possono verificare l'identità dei mittenti e bloccare i messaggi di spam.
DKIM è l'acronimo di DomainKeys Identified Mail (posta identificata con chiavi di dominio) e funziona criptando il messaggio al momento dell'invio, quindi utilizzando la crittografia a chiave pubblica per firmarlo nuovamente quando raggiunge il server di destinazione.
DMARC, SPF e DKIM - combinati tra loro, costituiscono i tre pilastri dell'autenticazione delle e-mail. Garantiscono che le vostre e-mail non vengano falsificate, manomesse o violate da terzi.
Algoritmo di valutazione DMARC
L'algoritmo di valutazione DMARC è un valore booleano che tiene conto dei risultati di autenticazione di SPF e DKIM. Quindi determina se accettare o meno un messaggio e-mail come legittimo.
Il risultato dipende da due possibili esiti:
1. Passa: L'e-mail supera entrambe le autenticazioni SPF e DKIM OPPURE solo una di queste. Quindi è considerata pulita. E quindi viene accettata dal server ricevente.
Per tradurre l'algoritmo di autenticazione "pass" in semplici equazioni:
| Passaggio di autenticazione DMARC = record SPF con un allineamento valido dell'identificatore SPF +/o record DKIM con un allineamento valido dell'identificatore DKIM |
OPPURE (quando manca il DKIM)
| Passaggio di autenticazione DMARC = record SPF con un allineamento di identificatori SPF valido |
OPPURE (quando manca l'SPF)
| Passaggio di autenticazione DMARC = record DKIM con un allineamento di identificatori DKIM valido |
2. Non riuscito: Il messaggio non ha superato entrambi i controlli di autenticazione SPF e DKIM, indicando che è malformato o contiene contenuti dannosi.
È possibile impostare DMARC senza DKIM?
Il DMARC passa nei tre scenari seguenti:
- sono presenti sia SPF che DKIM validi
- SPF valido senza DKIM è presente
- DKIM valido senza SPF è presente
Quindi sì, è possibile impostare DMARC senza DKIM.
Il DMARC si basa su SPF e DKIM per l'autenticazione, ma si tratta di tecnologie ortogonali.
In senso generale, SPF è un meccanismo di "autorizzazione del percorso", ovvero consente a un IP di inviare messaggi per conto di un determinato dominio. DKIM, invece, è un meccanismo di "integrità del contenuto", ovvero garantisce che ciò che si invia non cambi quando raggiunge il server.
Ciò significa che non dipendono l'uno dall'altro per la loro efficacia; possono essere utilizzati in parallelo o anche indipendentemente l'uno dall'altro.
Tuttavia, si consiglia di utilizzare sia SPF che DKIM insieme a DMARC, in quanto lavorano insieme per fornire funzionalità di autenticazione DMARC più robuste. Il DMARC senza DKIM, sebbene possibile, non è una pratica consigliata.
Come vengono trattate dai client di posta elettronica le e-mail senza DKIM?
La maggior parte dei client di posta elettronica tratta le e-mail che non hanno il DKIM come spam.
In alcuni casi, il messaggio può essere segnalato dal server di posta elettronica del destinatario e contrassegnato come spam.
Alcuni provider di servizi di posta elettronica possono anche mostrare i messaggi ai destinatari come provenienti da un dominio diverso da quello previsto.
Ad esempio, in Outlook e Gmail, le vostre e-mail senza DKIM verranno visualizzate nella casella di posta del destinatario con l'indirizzo FROM corretto, ma con la dicitura "inviato da" o "tramite" qualcun altro.
Ciò può confondere i destinatari e indurli a credere che il messaggio sia stato inviato da qualcun altro invece che da voi.
Esempio #1 (Outlook)
Fig.1 Senza DKIM: Outlook mostra l'indirizzo "inviato da" nella casella di posta del destinatario.
Fig.2 Con DKIM: Outlook mostra solo l'indirizzo FROM.
Esempio n. 2 (Gmail)
Fig.3 Senza DKIM: Gmail mostra l'indirizzo "via" nella casella di posta del destinatario.
Figura 4 Con DKIM: Gmail mostra solo l'indirizzo FROM.
Se il DKIM è presente nella vostra e-mail, tuttavia, i problemi di cui sopra non si verificheranno. Il server di invio non viene più visualizzato sullo schermo del cliente, quindi c'è meno possibilità che finisca nelle cartelle di spam o di posta indesiderata. Inoltre, l'unica informazione di cui dispongono è l'indirizzo FROM, il che significa un alto livello di fiducia per le aziende mittenti che cercano clienti attraverso strategie di email marketing.
Conseguenze dell'impostazione di DMARC con e DMARC senza DKIM
L'impostazione del DMARC con DKIM può aiutare a evitare che i messaggi di posta elettronica vengano segnalati dai filtri antispam e bloccati.
Tuttavia, l'impostazione di DMARC senza DKIM può comportare un aumento dei falsi positivi e dei ritardi quando il destinatario cerca di verificare l'indirizzo e-mail del mittente.
In questa sezione, esamineremo alcune delle possibili conseguenze dell'impostazione di DMARC con e DMARC senza DKIM.
1. Quando si verifica l'affidabilità delle e-mail
Con il solo approccio basato su SPF, la protezione DMARC sarebbe limitata agli indirizzi invisibili del "mittente della busta" (MAIL FROM o Return-path). Questi sono utilizzati per ricevere i bounce (rapporti di mancata consegna) dai mittenti.
Tuttavia, quando DKIM è combinato con SPF, la protezione DMARC è abilitata per l'indirizzo "header From:" e per gli indirizzi visibili ai destinatari. In questo modo, la fiducia nelle e-mail è maggiore rispetto all'utilizzo del DMARC con il solo SPF.
2. Quando si inoltrano le e-mail
L'autenticazione SPF funziona inviando un messaggio di posta elettronica contenente il proprio record SPF (l'indirizzo IP del server da cui si desidera inviare le e-mail) a un altro server. L'altro server verifica se questo indirizzo IP è registrato presso di lui e risponde con il proprio record SPF; se non ne ha uno, rifiuta la richiesta.
Nel caso dell'inoltro di e-mail, l'autenticazione SPF può fallire perché non ci sono garanzie che l'indirizzo IP del server intermedio sia presente nell'elenco SPF del dominio di invio. Di conseguenza, un'email legittima senza firma firma DKIM fallisce l'autenticazione DMARC, dando luogo a un falso negativo.
Se il DKIM fosse stato configurato su questo dominio, il falso negativo non si sarebbe verificato.
Ma perché?
La firma DKIM (d=) è allegata al corpo stesso dell'e-mail, mentre SPF è allegata all'intestazione "Return-Path".
Nel caso dell'inoltro di e-mail, il corpo dell'e-mail non viene toccato o modificato, pertanto la firma DKIM (d=) contenuta nel corpo dell'e-mail rimane intatta. Ciò significa che l'identità del mittente può essere verificata con la coppia di chiavi pubbliche e private inclusa nel corpo dell'e-mail e l'autenticazione DMARC è superata.
L'SPF, invece, è collegato all'intestazione "Return-Path", che cambia nel caso dell'inoltro di e-mail. Pertanto, la sua validità non viene verificata, dando luogo a un falso negativo.
Per concludere, l'autenticazione SPF fallisce a causa dell'inoltro delle e-mail, ma DKIM sopravvive all'inoltro delle e-mail perché è allegato al corpo dell'e-mail. Pertanto, è importante impostare DMARC anche con DKIM.
3. Quando si aggiorna l'indirizzo IP
Quando si invia un'e-mail, il server ricevente controlla l'intestazione dell'e-mail per verificare se è stata manomessa. In caso affermativo, il server ricevente rifiuta il messaggio e invia una notifica.
È qui che entra in gioco l'SPF. L'SPF controlla che il vostro indirizzo IP sia elencato come valido nel record SPF del server di invio (in altre parole, che non ci siano indirizzi IP contraffatti).
Se l'indirizzo IP cambia, il record SPF deve essere aggiornato con il nuovo indirizzo. Il tempo necessario dipende dalla frequenza con cui si cambia l'indirizzo IP: nella maggior parte dei casi, sono necessarie fino a 48 ore perché il nuovo record SPF diventi effettivo.
Cosa succede se il vostro provider di posta elettronica aggiunge un nuovo IP alla sua gamma? In questo caso, la consegna delle e-mail potrebbe essere ritardata a causa del tempo di propagazione dell'aggiornamento del record SPF.
Tuttavia, una volta configurati sia DKIM che SPF, è possibile aggirare il problema utilizzando la firma crittografica di DKIM per dimostrare che il server di posta di sender@yourdomain.com è stato autorizzato a inviarlo.
Ciò significa che anche se il loro intervallo IP cambia, DKIM sarà comunque in grado di verificare che le e-mail provenienti da determinati domini siano autentiche e legittime.
Utilizzo di DMARC senza DKIM: i possibili scenari OK/FAIL
Quando si utilizzano i meccanismi DKIM e SPF, si utilizzano due strumenti diversi per raggiungere lo stesso obiettivo: prevenire lo spoofing.
Entrambi funzionano in modo indipendente, ma possono anche fallire in modo indipendente. Ad esempio, SPF può fallire indipendentemente da DKIM e DKIM può fallire indipendentemente da SPF.
Ecco i quattro possibili scenari OK/FAIL dell'impostazione del DMARC senza e con DKIM:
| Scenario | Significato | Stato di consegna delle e-mail |
| SPF ok, DKIM ok | Assicura che le e-mail siano inviate da una fonte legittima. Il server è autorizzato a inviare posta perché dispone di un record SPF valido e di una firma DKIM valida. | Consegnato nella casella di posta |
| SPF ok, DKIM fallisce | Significa che la posta viene consegnata da un server autorizzato, ma la convalida della firma DKIM non riesce. | Consegnato nella cartella spam o posta indesiderata |
| SPF fallisce, DKIM ok | Significa che la firma DKIM della posta è valida, ma il server di invio non ha l'autorizzazione a consegnare la posta. | Consegnato nella cartella spam o posta indesiderata |
| SPF non funziona, DKIM non funziona | Se sia SPF che DKIM falliscono, l'e-mail è considerata spoofing e verrà rifiutata dal server di posta abilitato DMARC del destinatario. | Non consegnato / rifiutato |
Un'implementazione DMARC completa è la necessità del momento!
SPF e DKIM sono i meccanismi di protezione delle e-mail più comuni utilizzati per implementare un record DMARC corretto per prevenire lo spoofing delle e-mail. Quando un'implementazione DMARC corretta viene applicata all'infrastruttura e-mail esistente, i messaggi e-mail vengono consegnati come previsto. Ciò significa meno reclami per spam, meno falsi positivi nelle blacklist e migliori statistiche di deliverability per tutti i vostri abbonati.
PowerDMARC offre un sistema completo di DMARC con criteri DKIM, SPF e DMARC creati per il vostro dominio. In questo modo, vi aiuta a ottenere risultati più affidabili dalle vostre e-mail.
Generare il record DKIM online o prendete la vostra prova gratuita di DMARC per una soluzione completa al mondo complesso e in continua evoluzione della sicurezza delle e-mail.
- Aumento delle truffe fiscali e degli attacchi di imitazione dell'e-mail del fisco durante la stagione fiscale - 2 maggio 2024
- La sicurezza delle e-mail per combattere le truffe di criptovaluta - 30 aprile 2024
- Come trovare il miglior fornitore di soluzioni DMARC per la vostra azienda? - 25 aprile 2024