Perché gli alias delle e-mail non funzionano con il DMARC (e come risolverli)
di
Ultimo aggiornamento: 5 Tempo di lettura: 5 minuti
Un alias e-mail è un indirizzo e-mail alternativo che reindirizza i messaggi a una casella di posta elettronica principale. Un alias non ha una propria casella di posta elettronica ed è semplicemente responsabile dell'inoltro dei messaggi a uno o più indirizzi e-mail designati.
Il DMARC può fallire per gli alias di posta elettronica a seconda di come il messaggio viene modificato durante l'inoltro. In questo blog, analizzeremo i vari scenari che riguardano DMARC per gli alias e-mail.
I punti chiave da prendere in considerazione
- Gli alias di posta elettronica spesso violano il DMARC a causa del disallineamento dei domini SPF e DKIM durante l'inoltro.
- L'SPF fallisce perché il server di inoltro non è autorizzato nel record SPF del mittente originale.
- DKIM può sopravvivere, ma può fallire se il contenuto del messaggio viene alterato (ad esempio, aggiunta di piè di pagina).
- ARC conserva i risultati originali dell'autenticazione, aiutando le e-mail inoltrate legittime a superare il DMARC.
- Per garantire una configurazione senza problemi, iniziate con DMARC p=none, monitorate i rapporti e applicate gradualmente criteri più severi.
- PowerDMARC aiuta a eludere i malfunzionamenti del DMARC fornendo un supporto umano rapido e pratico e servizi gestiti.
Motivi del fallimento del DMARC per gli alias di posta elettronica
Il DMARC può fallire per gli alias di e-mail, a seconda di come è configurato l'alias e di come il processo di inoltro altera il messaggio originale. Se si inviano e-mail personalizzate perfettamente legittime, i seguenti scenari possono influire sull'autenticazione:
1. L'inoltro può infrangere l'SPF
SPF verifica se un IP mittente è autorizzato a inviare e-mail per conto di un dominio. Quando un alias di posta elettronica inoltra un'e-mail, il server di inoltro diventa il "mittente" che potrebbe non essere elencato nel record SPF del dominio di invio. Ciò causa il fallimento dell'SPF.
Per esempio:
- Da: [email protected]
- Percorso di ritorno: [email protected]
- Poiché il dominio "From" e il dominio Return-Path non sono allineati, l'SPF fallisce.
Il DMARC verifica che il dominio dell'indirizzo "Da" visibile corrisponda ai domini utilizzati per l'autenticazione (SPF o DKIM). In questo caso, se la vostra politica DMARC si basa esclusivamente sull'autenticazione SPF, anche DMARC fallirà.
2. DKIM può sopravvivere, ma non sempre
DKIM può sopravvivere agli scenari di inoltro, poiché l'autenticazione dipende dal contenuto del messaggio. Quando un alias inoltra un'e-mail, spesso il contenuto del messaggio rimane intatto, con modifiche all'intestazione. Tuttavia, non è sempre così. Alcuni inoltratori alterano anche il contenuto del messaggio e inseriscono piè di pagina aggiuntivi, il che può causare il fallimento del DKIM.
In questi casi, anche se la vostra politica DMARC si basa anche su DKIM, DMARC inevitabilmente fallirà per il messaggio.
Come diagnosticare i guasti dell'alias DMARC
Ecco due semplici passaggi da seguire per diagnosticare i guasti dell'alias DMARC.
Metodo manuale: Controllare i rapporti DMARC per verificare i difetti di allineamento
Esaminate i rapporti DMARC aggregati o falliti per i messaggi inviati da domini alias.
Look for alignment failures in DMARC aggregate reports under the <policy_evaluated> section, where you’ll see <spf>fail</spf> or <dkim>fail</dkim>.
Esempio di rapporto di fallimento:
"motivo": "spf fail",
"header_from": "[email protected]",
"disposizione": "reject"
Ciò significa che l'e-mail proveniente dal vostro alias non ha superato l'allineamento SPF. Ha attivato il vostro criterio DMARC e ha causato il rifiuto.
Metodo automatizzato: Utilizzo di un analizzatore di rapporti DMARC
È possibile utilizzare l'analizzatore di rapporti Analizzatore di rapporti DMARC per convertire i complessi rapporti DMARC XML in grafici e diagrammi di facile comprensione. Vi aiuta a:
- Monitoraggio continuo del traffico e-mail
- Tracciare i problemi di deliverability e i fallimenti di autenticazione
- Interpretare i dati di autenticazione in modo semplice ed efficace
- Programmare rapporti PDF su richiesta che possono essere esportati in formato PDF o CSV.
Correzioni per i problemi di alias DMARC
Prima di effettuare le correzioni riportate di seguito, verificate sempre le modifiche con il vostro team tecnico.
1. Allineamento SPF per gli alias
Aggiungere gli IP di invio o i meccanismi di inclusione del servizio di inoltro o di terzi al record SPF del dominio alias.
Esempio:
v=spf1 include:_spf.google.com include:helpscout.com ~all
In questo modo si garantisce che i server di inoltro siano autorizzati nell'SPF, in modo simile alla whitelist dei mittenti affidabili. In questo modo si garantisce che il bouncer (SPF) li lasci entrare senza conflitti o problemi.
2. Firma DKIM per il dominio Alias
Configurare il sistema di posta o il provider per firmare le e-mail in uscita con DKIM utilizzando il dominio alias, non solo l'indirizzo di inoltro.
È come apporre lo stemma di famiglia(firma DKIM) su ogni lettera inviata da casa vostra (dominio alias). In questo modo, tutti sapranno esattamente da dove proviene la lettera, anche se viene recapitata da qualcun altro.
3. Abilitare l'ARC per il proprio dominio
Catena di ricezione autenticata (ARC) preserva i risultati di autenticazione originali di un messaggio (SPF, DKIM e DMARC) durante il passaggio dell'e-mail attraverso server intermedi. Infine, consente al server di ricezione finale (ad esempio, Gmail, Outlook) di fidarsi dell'autenticazione originale, anche se questa viene interrotta durante il percorso. Tuttavia, è importante notare che non tutti i provider di posta elettronica rispettano l'ARC (ad esempio, alcuni possono ancora rifiutare le e-mail inoltrate).
4. Strategia dei sottodomini
Invece di usare gli alias, create sottodomini dedicati per scopi diversi (ad esempio, [email protected]).
Per capire meglio, pensate di creare caselle di posta elettronica separate per ogni membro della famiglia (sottodomini) invece di condividerne una. In questo modo, ognuno avrà le proprie chiavi e il proprio indirizzo, rendendo molto più facile la gestione e la sicurezza della posta.
Raccomandazioni sui criteri DMARC per gli alias
Seguite le seguenti raccomandazioni DMARC applicabili agli alias, ma anche ad altri casi d'uso.
Iniziare con p=nessuno
Iniziare con p=none per monitorare l'attività DMARC senza impattare sulla consegna delle e-mail. Questo aiuta a identificare i problemi di allineamento legati agli alias senza rischiare la consegna delle e-mail. È come installare telecamere di sicurezza prima di chiudere le porte. Permette di osservare prima ciò che accade, in modo da sapere esattamente dove sono i problemi.
Applicazione graduale
Passare a p=quarantena solo dopo aver risolto i problemi di allineamento SPF/DKIM dei propri alias. In questo modo si filtrano le e-mail sospette riducendo al minimo l'impatto sui messaggi legittimi. Si tratta di mettere la posta sospetta in un'area di attesa (quarantena) invece di buttarla via, finché non si è sicuri che sia sicura.
Passare a p=rifiuto con cautela
Usare p=reject solo quando si sa che tutti gli alias sono completamente autenticati e allineati. Il rifiuto rigoroso può bloccare le e-mail legittime se gli alias non sono configurati correttamente. L'uso prematuro di reject può bloccare i messaggi legittimi, causando problemi di consegna delle e-mail.
Consigli professionali per prevenire problemi futuri
Ecco alcuni suggerimenti per evitare problemi legati agli alias in futuro.
Utilizzare gli analizzatori DMARC
Tenete sempre traccia dei guasti DMARC specifici per alias utilizzando strumenti di analisi e monitoraggio DMARC come PowerDMARC. Questi strumenti possono aiutarvi a individuare e risolvere rapidamente i problemi relativi alle e-mail inoltrate o con alias.
Test prima della distribuzione
Anche il più piccolo degli errori può causare problemi di autenticazione e di deliverability. Utilizzate strumenti online come i checker SPF, DKIM e DMARC di PowerDMARC per verificare le configurazioni DNS di autenticazione delle e-mail.
Documentazione
Infine, è bene tenere sempre un registro dettagliato di tutte le modifiche SPF e DKIM. Con una buona documentazione, la risoluzione dei problemi sarà molto più semplice. È anche molto utile per gli audit o per l'aggiornamento della configurazione della posta elettronica.
Riassunto
I fallimenti degli alias DMARC sono spesso dovuti a un disallineamento delle intestazioni. Questo problema può essere risolto con un monitoraggio regolare, autorizzando intermediari noti e utilizzando protocolli di autenticazione come ARC. Iniziare con la politica DMARC p=nessuno e poi passare gradualmente a p=quarantena e/o p=rifiuto può aiutare a ottenere un'applicazione efficace del DMARC, evitando al contempo i fallimenti di deliverability.
Se avete bisogno dell'assistenza di un esperto per iniziare a utilizzare l'autenticazione via e-mail, possiamo aiutarvi! Programmate una demo gratuita per scoprire i vantaggi dei servizi di autenticazione e-mail gestiti da PowerDMARC!
Specialista dei contenuti presso PowerDMARC
Milena è un'abile scrittrice e creatrice di contenuti con oltre 7 anni di esperienza nella creazione di contenuti coinvolgenti su IT, cybersicurezza, eventi virtuali e altro. Ha una comprovata esperienza nella realizzazione di lavori di alta qualità per riviste internazionali e si è laureata in istituzioni prestigiose come la New York University Abu Dhabi, l'UWC China e il College of Europe.
Ultimi messaggi di Milena Baghdasaryan (vedi tutti)
