• Inoltro di e-mail e il suo impatto sull'autenticazione DMARC - risultati

Inoltro di e-mail e il suo impatto sull'autenticazione DMARC - risultati

Blog

L'inoltro delle e-mail può avere un impatto drastico sui risultati dell'autenticazione SPF e DKIM e portare al fallimento di DMARC. Leggete di più ora

di Ahona Rudra

Tempo di lettura: 4 min
Inoltro di e-mail e il suo impatto sull'autenticazione DMARC - risultati
Indice dei contenuti-

Quando un'e-mail viene inviata dal server di invio direttamente al server di ricezione, SPF e DKIM (se impostati correttamente) autenticano normalmente l'e-mail e di solito la convalidano efficacemente come legittima o non autorizzata. Tuttavia, non è così se l'e-mail passa attraverso un server di posta intermedio prima di essere consegnata al destinatario, come nel caso dei messaggi inoltrati. Questo blog intende illustrare l'impatto dell'inoltro delle e-mail sui risultati dell'autenticazione DMARC.

Come già sappiamo, DMARC fa uso di due protocolli standard di autenticazione e-mail, cioè SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail), per convalidare i messaggi in entrata. Discutiamoli brevemente per capire meglio come funzionano prima di passare a come l'inoltro può influenzarli.

Struttura della politica del mittente

SPF è presente nel tuo DNS come un record TXT, che mostra tutte le fonti valide che sono autorizzate a inviare e-mail dal tuo dominio. Ogni email che lascia il tuo dominio ha un indirizzo IP che identifica il tuo server e il provider di servizi di posta elettronica utilizzato dal tuo dominio che è elencato all'interno del tuo DNS come un record SPF. Il server di posta del destinatario convalida l'email contro il tuo record SPF per autenticarla e di conseguenza segna l'email come SPF pass o fail.

Mail identificata da DomainKeys

DKIM è un protocollo standard di autenticazione e-mail che assegna una firma crittografica, creata utilizzando una chiave privata, per convalidare le e-mail nel server ricevente, dove il ricevitore può recuperare la chiave pubblica dal DNS del mittente per autenticare i messaggi. Molto simile a SPF, la chiave pubblica DKIM esiste anche come record TXT nel DNS del proprietario del dominio.

L'impatto dell'inoltro delle e-mail sui risultati dell'autenticazione DMARC

Durante l'inoltro delle email, l'email passa attraverso un server intermedio prima di essere consegnata al server ricevente. Prima di tutto è importante capire che l'inoltro delle email può essere fatto in due modi: o le email possono essere inoltrate manualmente, il che non influisce sui risultati dell'autenticazione, o possono essere inoltrate automaticamente, nel qual caso la procedura di autenticazione subisce un colpo se il dominio non ha il record per la fonte di invio intermedia nel suo SPF.

Naturalmente, di solito durante l'inoltro delle e-mail il controllo SPF fallisce perché l'indirizzo IP del server intermediario non corrisponde a quello del server di invio e questo nuovo indirizzo IP non è solitamente incluso nel record SPF del server originale. Al contrario, l'inoltro delle e-mail di solito non influisce sull'autenticazione DKIM delle e-mail, a meno che il server intermediario o l'entità di inoltro non apporti alcune modifiche al contenuto del messaggio.

Si noti che per un'email per passare l'autenticazione DMARC, l'email dovrebbe passare o l'autenticazione SPF o DKIM e l'allineamento. Poiché sappiamo che SPF inevitabilmente fallisce durante l'inoltro delle email, se nel caso in cui la fonte di invio è DKIM neutrale e si basa solo su SPF per la convalida, l'email inoltrata sarà resa illegittima durante l'autenticazione DMARC.

La soluzione? Semplice. Dovete immediatamente optare per la piena conformità DMARC della vostra azienda, allineando e autenticando tutti i messaggi in entrata sia con SPF che con DKIM!

Raggiungere la conformità DMARC con PowerDMARC

È importante notare che per ottenere la conformità DMARC, le e-mail devono essere autenticate con SPF o DKIM o con entrambi. Tuttavia, se i messaggi inoltrati non vengono convalidati rispetto a DKIM e si affidano solo a SPF per l'autenticazione, il DMARC fallirà inevitabilmente, come discusso nella sezione precedente. Ecco perché PowerDMARC vi aiuta a raggiungere la completa conformità DMARC allineando e autenticando efficacemente i messaggi di posta elettronica rispetto a entrambi i protocolli di autenticazione SPF e DKIM. In questo modo, anche se i messaggi inoltrati autentici non superano l'SPF, la firma DKIM può essere utilizzata per convalidarli come legittimi e l'e-mail supera l'autenticazione DMARC, arrivando quindi nella casella di posta del destinatario.

Casi eccezionali: DKIM fallito e come risolverlo?

In certi casi, l'entità che inoltra può alterare il corpo della posta facendo aggiustamenti nei confini MIME, implementando programmi anti-virus, o ricodificando il messaggio. In questi casi, sia l'autenticazione SPF che DKIM fallisce e le email legittime non vengono consegnate.

Se SPF e DKIM falliscono, PowerDMARC è in grado di identificarli e visualizzarli nelle nostre viste aggregate dettagliate e protocolli come Authenticated Received Chain possono essere sfruttati dai server di posta per autenticare tali e-mail. In ARC, l'intestazione Authentication-Results può essere passata al successivo 'hop' nella linea di consegna del messaggio, per mitigare efficacemente i problemi di autenticazione durante l'inoltro delle e-mail.

Nel caso di un messaggio inoltrato, quando il server di posta elettronica del destinatario riceve un messaggio che ha fallito l'autenticazione DMARC, cerca di convalidare l'e-mail per una seconda volta, contro la catena di ricezione autenticata fornita per l'e-mail estraendo l'ARC Authentication-Results del salto iniziale, per controllare se è stato convalidato come legittimo prima che il server intermediario lo inoltrasse al server ricevente.

Quindi iscrivetevi oggi stesso a PowerDMARC e raggiungete la conformità DMARC nella vostra organizzazione!

Ultimi messaggi di Ahona Rudra (vedi tutti)
La vostra guida completa al sistema ARC (Authenticated Received Chain) per la ...catena di autenticazione ricevutablog mta stsMigliorare la sicurezza delle e-mail con MTA-STS e la segnalazione SMTP TLS