DMARCbis spiegato: cosa sta cambiando e come prepararsi

Blog

Il DMARCbis (DMARC 2.0) è arrivato per sostituire il DMARC originale. Scoprite cosa cambia e come prepararsi per una transizione senza problemi.

di YunesTarada

Tempo di lettura: 4 min
DMARCbis spiegato: cosa sta cambiando e come prepararsi
Indice dei contenuti-

Il sistema Domain-based Message Authentication, Reporting, and Conformance (DMARC) sta subendo un aggiornamento significativo rispetto alla sua pubblicazione iniziale. Conosciuto come DMARCbis, la specifica ridefinita, che è ancora in fase di ancora in bozza, mira a risolvere le sfide di lunga data nell'autenticazione delle e-mail. Ecco tutto quello che c'è da sapere su cosa sta cambiando e come prepararsi.

Stato attuale: Bozza Internet 

Fase: Ultima chiamata

Data di pubblicazione prevista: Non specificata 

Obsoleta: RFC 7489 e 9091 (se approvato)

Fonte: Bozza DMARCbis

I punti chiave da prendere in considerazione

  • DMARCbis è il successore aggiornato del protocollo DMARC originale, con l'obiettivo di migliorare la chiarezza e l'allineamento. 
  • Ridefinisce l'elenco dei suffissi pubblici (PSL) con un percorso ad albero DNS più affidabile per identificare il dominio organizzativo.
  • Tag come pct, rf e ri sono stati deprecati per semplificare l'implementazione e ridurre la confusione.
  • Sono stati introdotti alcuni nuovi tag, come psd, np e t, per definire chiaramente i domini dei suffissi pubblici e aiutare a gestire l'ereditarietà dei criteri.
  • La versione del record DMARC rimane invariata (v=DMARC1) per garantire la retrocompatibilità.
  • Le configurazioni DMARC esistenti con record di dominio di base validi continueranno a funzionare senza modifiche immediate.
  • PowerDMARC può semplificare la transizione automatizzando la gestione dei record, offrendo una guida esperta e fornendo visibilità su tutti i domini.

Che cos'è il DMARCbis? 

DMARCbis è una versione aggiornata della specifica DMARC originale, sviluppata dall'IETF. IETF (Internet Engineering Task Force). Si basa sulle fondamenta di RFC 7489 e RFC 9091 e, se approvata, li supera, introducendo revisioni che chiariscono le ambiguità del protocollo. Mentre il suo predecessore era un RFC informativoil DMARCbis è in procinto di essere pubblicato come Proposta di standardche segnala un consenso più ampio e la disponibilità del settore.

Il DMARCbis si concentrerà principalmente su chiarezza, sicurezza e migliore allineamento dei domini. Nonostante la ridefinizione, il tag v=DMARC1 rimane immutato per preservare la retrocompatibilità.

Cambiamenti chiave nel DMARCbis

CaratteristicaDMARC originaleDMARCbis (Nuove modifiche)
Metodo di ricerca del dominioUtilizza l'elenco dei suffissi pubblici (PSL)Ridefinito con DNS Tree Walk (attraversa la gerarchia dei domini, si ferma a psd=y o psd=n). Massimo 8 livelli.
TagSupporta pct, rf, riRimuove pct , ri e rf (semplifica il protocollo).
Nuova etichettaNessunoAggiunge i tag psd (contrassegna esplicitamente i domini con suffisso pubblico), np e t.
Chiarezza della politicaNessuna guida sulla politica di ereditarietàRegole chiare per i proprietari di domini per controllare l'eredità tramite psd.
SpecificheComplesso, meno strutturatoDocumentazione semplificata, esempi e terminologia migliori.
Compatibilitàv=DMARC1 recordNessun cambiamento: i vecchi record funzionano ancora.

1. DNS Tree Walk ridefinisce l'elenco dei suffissi pubblici

L'elenco dei suffissi pubblici (PSL) viene ridefinito con un metodo Tree Walk nativo del DNS per determinare il dominio organizzativo.


L'algoritmo DNS Tree Walk risale la gerarchia dei domini per trovare un record DMARC valido. Ciò consente di definire i confini dei domini in modo nativo nel DNS ed elimina la necessità di elenchi di suffissi di terze parti. Il percorso si ferma quando trova un record di criterio DMARC valido che include il tag psd=y (dominio suffisso pubblico) o psd=n (dominio organizzativo). Questo indica al sistema dove si trova il dominio organizzativo. 

Se non viene trovata alcuna politica di questo tipo, la ricerca continua fino a un massimo di 8 livelli.

2. Tag deprecati

I seguenti tag sono stati rimossi per semplificare il protocollo:

  • pct (applicazione della politica basata sulla percentuale)
  • rf (formato del rapporto)
  • ri (intervallo di tempo)

3. Tag nuovi e aggiornati

  • Il nuovo psd definisce in modo più chiaro i domini a suffisso pubblico, aiutando i proprietari dei domini a controllare l'ereditarietà dei criteri nei percorsi ad albero.
  • Il t è un segnale per il destinatario (validatore) che il proprietario del dominio è in fase di test e potrebbe non volere la piena applicazione del criterio (p, sp, np). Non modifica il modo in cui vengono generati i rapporti DMARC e non influisce sulle politiche già impostate su nessuno. Il comportamento è consultivo, in quanto i destinatari possono scegliere se agire o meno.
  • Il nuovo tag np (criterio non esistente) specifica il criterio DMARC da applicare ai sottodomini che non esistono (cioè, domini che non si risolvono o non sono registrati come zone attive).

4. "Requisiti di "piena partecipazione

Le nuove linee guida definiscono cosa significa per i proprietari di domini e i destinatari supportare pienamente il DMARC, stabilendo aspettative più chiare e migliorando l'interoperabilità.

5. Miglioramento del formato delle specifiche

Il documento è stato ristrutturato con esempi migliori, una terminologia più chiara e un layout più pulito, per facilitare l'implementazione a tutti gli stakeholder.

Cosa rimane invariato?

  • I record DMARC esistenti che utilizzano v=DMARC1 rimangono validi.
  • I meccanismi DMARC di base per SPF, DKIM e allineamento sono ancora validi.
  • I tag dei criteri (p, sp, rua, ruf) rimangono centrali per la funzionalità del DMARC.

Impatto sulle implementazioni DMARC esistenti

L'aggiornamento di DMARCbis è retrocompatibile e non ha alcun impatto sulle distribuzioni esistenti compatibili con RFC 7489. I nuovi tag sono opzionali, quindi le configurazioni attuali non ne risentono. Sebbene sia consigliabile controllare i record per semplificare l'autenticazione, non è necessario intervenire immediatamente se il DMARC è configurato correttamente.

Come prepararsi al DMARCbis

Anche se le cambiamenti non siano dirompentile organizzazioni dovrebbero iniziare a prepararsi per garantire la sicurezza della posta elettronica in futuro. Ecco come fare:

  1. Rivedere i record DMARC: Verificate i vostri record attuali per assicurarvi che tag presto deprecati come pct o rf siano stati rimossi. Assicurarsi che il dominio di base (organizzativo) abbia una politica DMARC valida.
  2. Comprendere il modello Tree Walk: Assicurarsi che i sottodomini ereditino i criteri come previsto dal nuovo meccanismo gerarchico. Per le configurazioni complesse, simulare la logica DNS Tree Walk per verificare il comportamento.
  3. Considerare il tag psd: Familiarizzare con psd=n o psd=y per definire esplicitamente i confini del dominio, se la struttura del dominio lo richiede.
  4. Educare il team di sicurezza: Assicuratevi che i vostri team di sicurezza e di posta elettronica siano consapevoli di questi cambiamenti imminenti e ne comprendano le implicazioni per l'autenticazione e la deliverability.

Come può aiutare PowerDMARC

PowerDMARC può aiutare le organizzazioni a passare senza problemi al DMARCbis attraverso una combinazione di automazione, visibilità e guida esperta. 

  • Impostazione e gestione automatizzata di DMARC, SPF e DKIM tramite un cruscotto di autenticazione e-mail centralizzato. 
  • Reportistica semplificata che offre una visibilità completa sui canali e-mail 
  • Soluzioni in hosting per l'aggiornamento continuo dei criteri e l'ottimizzazione dei record
  • Un team di esperti dedicati per aiutarvi a risolvere problemi e cambiamenti in tempo reale.

Siete pronti a semplificare il DMARC? Contattate PowerDMARC per ottenere una consulenza gratuita 1:1 con uno dei nostri esperti interni oggi stesso!

Pensieri finali 

DMARCbis offre maggiore flessibilità, chiarezza e controllo, soprattutto se si desidera gestire separatamente i criteri DMARC per i sottodomini. Anche se non è necessaria un'azione urgente, potete scegliere di fare i preparativi necessari per una migliore gestione dell 'autenticazione del dominio.

CTA

Ultimi messaggi di Yunes Tarada (vedi tutti)
Studio di caso DMARC MSP: 1-MSP migliora la sicurezza dei clienti e l'identità del marchio con...1msp-powerdmarc-storia del successoDMARC per le e-mail fredde: Nessuno, quarantena o rifiuto? (La migliore politica per la consegna...