DMARCbis spiegato: cosa sta cambiando e come prepararsi
di
Ultimo aggiornamento: 4 minuti di lettura
Il sistema Domain-based Message Authentication, Reporting, and Conformance (DMARC) sta subendo un aggiornamento significativo rispetto alla sua pubblicazione iniziale. Conosciuto come DMARCbis, la specifica ridefinita, che è ancora in fase di ancora in bozza, mira a risolvere le sfide di lunga data nell'autenticazione delle e-mail. Ecco tutto quello che c'è da sapere su cosa sta cambiando e come prepararsi.
Stato attuale: Bozza Internet
Fase: Ultima chiamata
Data di pubblicazione prevista: Non specificata
Obsoleta: RFC 7489 e 9091 (se approvato)
Fonte: Bozza DMARCbis
I punti chiave da prendere in considerazione
- DMARCbis è il successore aggiornato del protocollo DMARC originale, con l'obiettivo di migliorare la chiarezza e l'allineamento.
- Ridefinisce l'elenco dei suffissi pubblici (PSL) con un percorso ad albero DNS più affidabile per identificare il dominio organizzativo.
- Tag come pct, rf e ri sono stati deprecati per semplificare l'implementazione e ridurre la confusione.
- Sono stati introdotti alcuni nuovi tag, come psd, np e t, per definire chiaramente i domini dei suffissi pubblici e aiutare a gestire l'ereditarietà dei criteri.
- La versione del record DMARC rimane invariata (v=DMARC1) per garantire la retrocompatibilità.
- Le configurazioni DMARC esistenti con record di dominio di base validi continueranno a funzionare senza modifiche immediate.
- PowerDMARC può semplificare la transizione automatizzando la gestione dei record, offrendo una guida esperta e fornendo visibilità su tutti i domini.
Che cos'è il DMARCbis?
DMARCbis è una versione aggiornata della specifica DMARC originale, sviluppata dall'associazione IETF (Internet Engineering Task Force). Si basa sulle fondamenta di RFC 7489 e RFC 9091 e, se approvato, li elimina, introducendo revisioni che chiariscono le ambiguità del protocollo. Mentre il suo predecessore era un RFC informativoIl DMARCbis è in procinto di essere pubblicato come Standard propostoche segnala un consenso più ampio e la disponibilità dell'industria.
Il DMARCbis si concentrerà principalmente su chiarezza, sicurezza e migliore allineamento dei domini. Nonostante la ridefinizione, il tag v=DMARC1 rimane immutato per preservare la retrocompatibilità.
Cambiamenti chiave nel DMARCbis
| Caratteristica | DMARC originale | DMARCbis (Nuove modifiche) |
|---|---|---|
| Metodo di ricerca del dominio | Utilizza l'elenco dei suffissi pubblici (PSL) | Ridefinito con DNS Tree Walk (attraversa la gerarchia dei domini, si ferma a psd=y o psd=n). Massimo 8 livelli. |
| Tag | Supporta pct, rf, ri | Rimuove pct , ri e rf (semplifica il protocollo). |
| Nuova etichetta | Nessuno | Aggiunge i tag psd (contrassegna esplicitamente i domini con suffisso pubblico), np e t. |
| Chiarezza della politica | Nessuna guida sulla politica di ereditarietà | Regole chiare per i proprietari di domini per controllare l'eredità tramite psd. |
| Specifiche | Complesso, meno strutturato | Documentazione semplificata, esempi e terminologia migliori. |
| Compatibilità | v=DMARC1 record | Nessun cambiamento: i vecchi record funzionano ancora. |
1. DNS Tree Walk ridefinisce l'elenco dei suffissi pubblici
L'elenco dei suffissi pubblici (PSL) viene ridefinito con un metodo Tree Walk nativo del DNS per determinare il dominio organizzativo.
L'algoritmo DNS Tree Walk risale la gerarchia dei domini per trovare un record DMARC valido. Ciò consente di definire i confini dei domini in modo nativo nel DNS ed elimina la necessità di elenchi di suffissi di terze parti. Il percorso si ferma quando trova un record di criterio DMARC valido che include il tag psd=y (dominio suffisso pubblico) o psd=n (dominio organizzativo). Questo indica al sistema dove si trova il dominio organizzativo.
Se non viene trovata alcuna politica di questo tipo, la ricerca continua fino a un massimo di 8 livelli.
2. Tag deprecati
I seguenti tag sono stati rimossi per semplificare il protocollo:
- pct (applicazione della politica basata sulla percentuale)
- rf (formato del rapporto)
- ri (intervallo di tempo)
3. Tag nuovi e aggiornati
- Il nuovo psd definisce in modo più chiaro i domini a suffisso pubblico, aiutando i proprietari dei domini a controllare l'ereditarietà dei criteri nei percorsi ad albero.
- Il t è un segnale per il destinatario (validatore) che il proprietario del dominio è in fase di test e potrebbe non volere la piena applicazione del criterio (p, sp, np). Non modifica il modo in cui vengono generati i rapporti DMARC e non influisce sulle politiche già impostate su nessuno. Il comportamento è consultivo, in quanto i destinatari possono scegliere se agire o meno.
- Il nuovo tag np (criterio non esistente) specifica il criterio DMARC da applicare ai sottodomini che non esistono (cioè, domini che non si risolvono o non sono registrati come zone attive).
4. "Requisiti di "piena partecipazione
Le nuove linee guida definiscono cosa significa per i proprietari di domini e i destinatari supportare pienamente il DMARC, stabilendo aspettative più chiare e migliorando l'interoperabilità.
5. Miglioramento del formato delle specifiche
Il documento è stato ristrutturato con esempi migliori, una terminologia più chiara e un layout più pulito, per facilitare l'implementazione a tutti gli stakeholder.
Cosa rimane invariato?
- I record DMARC esistenti che utilizzano v=DMARC1 rimangono validi.
- I meccanismi DMARC di base per SPF, DKIM e allineamento sono ancora validi.
- I tag dei criteri (p, sp, rua, ruf) rimangono centrali per la funzionalità del DMARC.
Impatto sulle implementazioni DMARC esistenti
L'aggiornamento di DMARCbis è retrocompatibile e non ha alcun impatto sulle distribuzioni esistenti compatibili con RFC 7489. I nuovi tag sono opzionali, quindi le configurazioni attuali non ne risentono. Sebbene sia consigliabile controllare i record per semplificare l'autenticazione, non è necessario intervenire immediatamente se il DMARC è configurato correttamente.
Come prepararsi al DMARCbis
Anche se le cambiamenti non siano dirompentile organizzazioni dovrebbero iniziare a prepararsi per garantire la sicurezza della posta elettronica in futuro. Ecco come fare:
- Rivedere i record DMARC: Verificate i vostri record attuali per assicurarvi che tag presto deprecati come pct o rf siano stati rimossi. Assicurarsi che il dominio di base (organizzativo) abbia una politica DMARC valida.
- Comprendere il modello Tree Walk: Assicurarsi che i sottodomini ereditino i criteri come previsto dal nuovo meccanismo gerarchico. Per le configurazioni complesse, simulare la logica DNS Tree Walk per verificare il comportamento.
- Considerare il tag psd: Familiarizzare con psd=n o psd=y per definire esplicitamente i confini del dominio, se la struttura del dominio lo richiede.
- Educare il team di sicurezza: Assicuratevi che i vostri team di sicurezza e di posta elettronica siano consapevoli di questi cambiamenti imminenti e ne comprendano le implicazioni per l'autenticazione e la deliverability.
Come può aiutare PowerDMARC
PowerDMARC può aiutare le organizzazioni a passare senza problemi al DMARCbis attraverso una combinazione di automazione, visibilità e guida esperta.
- Impostazione e gestione automatizzata di DMARC, SPF e DKIM tramite un cruscotto di autenticazione e-mail centralizzato.
- Reportistica semplificata che offre una visibilità completa sui canali e-mail
- Soluzioni in hosting per l'aggiornamento continuo dei criteri e l'ottimizzazione dei record
- Un team di esperti dedicati per aiutarvi a risolvere problemi e cambiamenti in tempo reale.
Siete pronti a semplificare il DMARC? Contattate PowerDMARC per ottenere una consulenza gratuita 1:1 con uno dei nostri esperti interni oggi stesso!
Pensieri finali
DMARCbis offre maggiore flessibilità, chiarezza e controllo, soprattutto se si desidera gestire separatamente i criteri DMARC per i sottodomini. Anche se non è necessaria un'azione urgente, potete scegliere di fare i preparativi necessari per una migliore gestione dell 'autenticazione del dominio.
Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC
Yunes è un Operations Team Lead di PowerDMARC, esperto di autenticazione e sicurezza delle e-mail. Yunes è un Azure Administrator Associate certificato da Microsoft con certificazioni in CompTIA A+ e molte altre.
Ultimi messaggi di Yunes Tarada (vedi tutti)
