inoltro di e-mail

Quando un'email viene inviata dal server di invio, direttamente al server ricevente, SPF e DKIM (se impostati correttamente) autenticano l'email normalmente e di solito la convalidano effettivamente come legittima o non autorizzata. Tuttavia, questo non è il caso se l'email passa attraverso un server di posta intermedio prima di essere consegnata al destinatario, come nel caso dei messaggi inoltrati. Questo blog ha lo scopo di illustrare l'impatto dell'inoltro delle email sui risultati dell'autenticazione DMARC.

Come già sappiamo, DMARC fa uso di due protocolli standard di autenticazione e-mail, cioè SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail), per convalidare i messaggi in entrata. Discutiamoli brevemente per capire meglio come funzionano prima di passare a come l'inoltro può influenzarli.

Struttura della politica del mittente

SPF è presente nel tuo DNS come un record TXT, che mostra tutte le fonti valide che sono autorizzate a inviare e-mail dal tuo dominio. Ogni email che lascia il tuo dominio ha un indirizzo IP che identifica il tuo server e il provider di servizi di posta elettronica utilizzato dal tuo dominio che è elencato all'interno del tuo DNS come un record SPF. Il server di posta del destinatario convalida l'email contro il tuo record SPF per autenticarla e di conseguenza segna l'email come SPF pass o fail.

Mail identificata da DomainKeys

DKIM è un protocollo standard di autenticazione e-mail che assegna una firma crittografica, creata utilizzando una chiave privata, per convalidare le e-mail nel server ricevente, dove il ricevitore può recuperare la chiave pubblica dal DNS del mittente per autenticare i messaggi. Molto simile a SPF, la chiave pubblica DKIM esiste anche come record TXT nel DNS del proprietario del dominio.

L'impatto dell'inoltro delle e-mail sui risultati dell'autenticazione DMARC

Durante l'inoltro delle email, l'email passa attraverso un server intermedio prima di essere consegnata al server ricevente. Prima di tutto è importante capire che l'inoltro delle email può essere fatto in due modi: o le email possono essere inoltrate manualmente, il che non influisce sui risultati dell'autenticazione, o possono essere inoltrate automaticamente, nel qual caso la procedura di autenticazione subisce un colpo se il dominio non ha il record per la fonte di invio intermedia nel suo SPF.

Naturalmente, di solito durante l'inoltro delle email il controllo SPF fallisce poiché l'indirizzo IP del server intermediario non corrisponde a quello del server di invio, e questo nuovo indirizzo IP di solito non è incluso nel record SPF del server originale. Al contrario, l'inoltro delle email di solito non ha impatto sull'autenticazione DKIM, a meno che il server intermediario o l'entità che inoltra non faccia certe alterazioni nel contenuto del messaggio.

Si noti che per un'email per passare l'autenticazione DMARC, l'email dovrebbe passare o l'autenticazione SPF o DKIM e l'allineamento. Poiché sappiamo che SPF inevitabilmente fallisce durante l'inoltro delle email, se nel caso in cui la fonte di invio è DKIM neutrale e si basa solo su SPF per la convalida, l'email inoltrata sarà resa illegittima durante l'autenticazione DMARC.

La soluzione? Semplice. Dovreste immediatamente optare per la piena conformità DMARC nella vostra organizzazione, allineando e autenticando tutti i messaggi in entrata sia con SPF che DKIM!

Raggiungere la conformità DMARC con PowerDMARC

È importante notare che per ottenere la conformità DMARC, le email devono essere autenticate con SPF o DKIM o entrambi. Tuttavia, a meno che i messaggi inoltrati non vengano convalidati contro DKIM, e si affidino solo a SPF per l'autenticazione, DMARC inevitabilmente fallirà come discusso nella nostra sezione precedente. Questo è il motivo per cui PowerDMARC vi aiuta a raggiungere la completa conformità DMARC allineando e autenticando efficacemente le email contro entrambi i protocolli di autenticazione SPF e DKIM. In questo modo, anche se i messaggi inoltrati autentici falliscono SPF, la firma DKIM può essere utilizzata per convalidarli come legittimi e l'email passa l'autenticazione DMARC, arrivando successivamente nella casella di posta del destinatario.

Casi eccezionali: DKIM fallito e come risolverlo?

In certi casi, l'entità che inoltra può alterare il corpo della posta facendo aggiustamenti nei confini MIME, implementando programmi anti-virus, o ricodificando il messaggio. In questi casi, sia l'autenticazione SPF che DKIM fallisce e le email legittime non vengono consegnate.

Nel caso in cui sia SPF che DKIM falliscano, PowerDMARC è in grado di identificare e visualizzare ciò nelle nostre viste aggregate dettagliate e protocolli come Authenticated Received Chain possono essere sfruttati dai server di posta per autenticare tali email. In ARC, l'header Authentication-Results può essere passato al prossimo 'hop' nella linea di consegna del messaggio, per mitigare efficacemente i problemi di autenticazione durante l'inoltro delle email.

Nel caso di un messaggio inoltrato, quando il server di posta elettronica del destinatario riceve un messaggio che ha fallito l'autenticazione DMARC, cerca di convalidare l'e-mail per una seconda volta, contro la catena di ricezione autenticata fornita per l'e-mail estraendo l'ARC Authentication-Results del salto iniziale, per controllare se è stato convalidato come legittimo prima che il server intermediario lo inoltrasse al server ricevente.

Quindi iscrivetevi oggi stesso a PowerDMARC e raggiungete la conformità DMARC nella vostra organizzazione!