Come creare e pubblicare un record DMARC

Blog

Rimanete conformi ai mandati del settore aggiungendo un record DMARC al vostro DNS. La nostra guida passo-passo semplifica la creazione e la pubblicazione del record DMARC.

di Maitham Al Lawati

Tempo di lettura: 8 min
Come creare e pubblicare un record DMARC
Indice dei contenuti-

DMARC, o Domain-based Message Authentication, Reporting and Conformance, è un protocollo tecnico per l'autenticazione dei messaggi in uscita. Il DMARC funge da prima linea di difesa contro una serie di minacce basate sulle e-mail, tra cui il phishing e lo spoofing

Per configurare il DMARCè necessario creare un record DMARC. Il record DMARC creato è un record TXT che viene pubblicato sul DNS. Questo dà il via al processo di autenticazione delle e-mail. Impostando un record DMARC, i proprietari dei domini possono indicare ai destinatari come rispondere alle e-mail inviate da fonti non autorizzate o illegittime.

I punti chiave da prendere in considerazione

  1. Un record DMARC è una voce DNS TXT che aiuta ad autenticare le e-mail in uscita e a prevenire gli attacchi di spoofing e phishing.
  2. La scelta della giusta politica DMARC è essenziale per controllare la gestione delle e-mail non autorizzate.
  3. Per implementare il DMARC, il record deve essere pubblicato nel Domain Name System (DNS) utilizzando strumenti come cPanel, GoDaddy o Cloudflare.
  4. Anche i domini che non inviano attivamente e-mail dovrebbero avere un record DMARC restrittivo, in particolare "p=reject", per prevenire potenziali abusi.
  5. Per ottenere risultati ottimali, si consiglia di mantenere un singolo record DMARC per dominio e di implementare l'applicazione gradualmente per evitare problemi di consegna delle e-mail.
  6. Soluzioni come PowerDMARC automatizzano la gestione dei record DMARC e semplificano il monitoraggio grazie all'uso dell'intelligenza artificiale delle minacce.

Che cos'è un record DMARC?

Un record DMARC è un record DNS TXT che specifica come i server di posta elettronica devono gestire i messaggi che non superano i controlli di autenticazione (SPF e DKIM). Aiuta i proprietari dei domini a prevenire lo spoofing e il phishing delle e-mail, indicando ai server dei destinatari se rifiutare, mettere in quarantena o consentire le e-mail non autorizzate.

Componenti principali di un record DMARC

1. Modalità dei criteri DMARC

Il criterio DMARC definisce il modo in cui i destinatari devono gestire le e-mail che non superano l'autenticazione DMARC. È indicata con "p". Può avere uno dei tre valori seguenti: 

  • p=nessuno: Per non intraprendere alcuna azione contro le e-mail non autorizzate.
  • p=quarantena: Per contrassegnare le e-mail sospette.
  • p=rifiuta: Per rifiutare le e-mail non autorizzate prima che raggiungano i destinatari.

2. Opzioni di segnalazione DMARC

  • Rapporti aggregati (rua=): Si tratta di rapporti sintetici inviati all'indirizzo e-mail specificato, che mostrano i risultati dell'autenticazione per tutte le e-mail provenienti dal dominio.
  • Rapporti forensi (ruf=): Si tratta di rapporti dettagliati sui guasti inviati quando un'e-mail non supera l'autenticazione DMARC.

3. Modalità di allineamento DMARC

  • Allineamento SPF (aspf=): Determina se il dominio del mittente nell'intestazione From: si allinea al record SPF. È possibile scegliere un allineamento rigoroso (s) per una corrispondenza esatta o un allineamento rilassato (r) per una corrispondenza organizzativa.
  • Allineamento DKIM (adkim=): Determina se il dominio della firma DKIM si allinea con il dominio dell'intestazione From:. È possibile scegliere un allineamento rigoroso (s) per una corrispondenza esatta o un allineamento rilassato (r) per una corrispondenza organizzativa.

Come creare un record DMARC?

Per creare un record DNS DMARC per il vostro dominio, assicuratevi di avere: 

a) uno strumento affidabile per generare il record

b) accesso alla console di gestione DNS per pubblicare il record

Seguite i passaggi indicati di seguito per creare il vostro record:

1. Generare il record DMARC 

Iscriviti per accedere al nostro portale utilizzando un indirizzo e-mail o iscrivendosi utilizzando Gmail/Office 365. Andate su Strumenti di analisi > PowerToolbox > Generatore di record DMARC per iniziare a creare il vostro record DMARC.

Iscriviti al portale PowerDMARC

Generatore di registrazioni DMARC

3. Definire un criterio DMARC per il proprio record DMARC.

Decidere una criterio DMARC a seconda del livello di applicazione desiderato (nessuno, quarantena o rifiuto). Ecco come scegliere il criterio di registrazione DMARC:

  • Se si desidera che non vengano intraprese azioni contro le e-mail indesiderate inviate dal proprio dominio, scegliere "nessuna".
  • Se si desidera mettere in quarantena le e-mail che non superano il DMARC, scegliere "quarantena".
  • Se si desidera rifiutare o scartare le e-mail che non superano l'autenticazione, in modo da ridurre al minimo gli attacchi di spoofing e phishing, scegliere "rifiuta".

Definire una politica DMARC e fare clic su "Genera".

Anche se non tutti i campi sono obbligatori, vi consigliamo di configurare alcuni utili campi opzionali nel vostro record DMARC. Scopriamo quali sono: 

  1. Campo di segnalazione aggregato (rua): Se si configura il campo rua, si riceveranno i dati di autenticazione DMARC direttamente al proprio indirizzo e-mail. 
  2. Campo di segnalazione forense (ruf): Ottenete informazioni sugli incidenti forensi, come gli attacchi informatici, configurando il campo ruf nel vostro record DMARC. 
  3. Modalità di allineamento DKIM/SPF" Scegliere se optare per un allineamento rilassato o rigoroso per SPF e/o DKIM. 

Come pubblicare un record DMARC?

Per pubblicare un record DMARC, sono necessari alcuni prerequisiti: 

  • È necessario avere accesso alla console di gestione del DNS. 
  • È necessario avere l'autorizzazione a modificare e aggiungere nuovi record DNS per il proprio dominio.

Pubblicare il record DMARC con cPanel 

1. Accedere alla console di gestione DNS di cPanel 

2. Nella sezione Domini, fare clic su Editor zone DNS o Editor zone avanzato. 

Cliccare sull'editor di zone DNS

3. Aggiungere un record DMARC di tipo TXT (tex), compilando i dettagli come mostrato di seguito. Nel campo "TXT data" o "value" è necessario incollare il record DMARC precedentemente creato.

Aggiungi una registrazione di tipo TXT

Pubblicare un record DMARC con Godaddy

  1. Accedete al vostro portafoglio domini GoDaddy per accedere alla zona DNS.
  2. Alla voce Nome di dominio, trovare e selezionare il dominio di invio delle e-mail.
  3. Sotto il nome del dominio, fare clic su DNS
  4. Ora selezionate Aggiungi nuovo record e iniziate a pubblicare il vostro record con i seguenti dettagli:

Tipo: TXT

Nome: _dmarc

Valore: incollare il valore del record DMARC

Pubblicare un record DMARC con Cloudflare 

  1. Accedere al proprio account Cloudflare.  
  2. Selezionare l'account e il dominio desiderato.  
  3. Andare su DNS e fare clic su Aggiungi record  
  4. Incollare il record DMARC generato nella sezione Aggiungi record, come nell'esempio seguente:

 

Verifica del record DMARC

Per verificare il vostro record DMARC ed evitare il comune "Nessun record DMARC trovato" è possibile utilizzare il nostro strumento di verifica gratuito.

1. Registratevi gratuitamente e andate su Strumenti di analisi > PowerToolbox > DMARC Record Checker.

2. Esaminare lo stato del record DMARC, la sintassi e i tag per individuare eventuali errori.

Errori comuni dei record DMARC

StatoCosa significaCosa si può fare
ValidoIl vostro record DMARC è corretto e privo di erroriNon fare nulla
Non validoIl vostro record DMARC presenta errori. Ciò può essere dovuto a una sintassi incompleta o errata.Rivedete la vostra sintassi, consultate la nostra guida completa sui tag DMARC o contattateci per ricevere l'assistenza di un esperto.
Nessun record trovatoNel vostro DNS non era presente alcun record DMARC.Create un record DMARC per il vostro dominio e pubblicatelo sul vostro DNS.

Una volta rilevati gli errori nel record, è necessario apportare le modifiche necessarie al DNS e salvarle. È possibile ricontrollare il record una volta che le modifiche sono state elaborate. 

Record DMARC per i domini non spediti 

La maggior parte delle persone si limita a proteggere i propri domini attivi, ma non sa che gli aggressori possono creare uno spoofing anche dei domini non di invio per inviare e-mail false a vostro nome! Per evitare che ciò accada, ecco i passaggi da implementare DMARC per i domini non di invio:

  • Pubblicare un record DMARC non permissivo: iniziate pubblicando un record DMARC per il dominio inattivo con un criterio applicato come p=reject.
  • Ignorare i rapporti: Poiché il dominio non invia e-mail, non è necessario impostare i rapporti RUA o RUF per esso.
  • Pubblicare un record SPF restrittivo: Impostare v=spf1 -all per impedire l'invio di e-mail.
  • Disattivare i servizi di posta elettronica integrati: Se il dominio è ancora collegato a server di posta elettronica esterni, potrebbe essere una buona idea limitarli se il dominio non viene più utilizzato.

Conseguenze della mancata protezione dei domini inattivi 

La mancata implementazione del DMARC per i domini non di invio può portare a diverse conseguenze, come ad esempio: 

  • Aumento del rischio di attacchi spoofing e phishing 
  • Danno alla reputazione del marchio e del dominio 
  • Abuso di dominio che passa inosservato per lunghi periodi di tempo

Singolo record DMARC per dominio

Quando si configura il record DMARC, è importante pubblicare una singola voce di record per ogni dominio. Più record DMARC per un singolo dominio possono causare conflitti e fallimenti di autenticazione ingiustificati! 

Perché i record DMARC multipli sono un problema

  1. Fallimenti dell'autenticazione e-mail: I destinatari delle e-mail potrebbero non sapere quale record DMARC seguire.
  2. Misconfigurazioni e incongruenze: Politiche contrastanti (ad esempio, un record che usa p=none e un altro che usa p=reject) portano a un'applicazione imprevedibile.
  3. Segnalazione imprecisa: I rapporti DMARC possono essere incompleti o inaffidabili.

Migliori pratiche per una corretta implementazione del DMARC

Per garantire una corretta configurazione dei record DMARC, ecco le migliori pratiche di implementazione: 

  • Pubblicare un singolo record per DMARC per dominio.
  • Evitare di configurare l'opzione DMARC sp a meno che non si voglia che i sottodomini abbiano un criterio diverso.
  • Utilizzare uno strumento di controllo DMARC per convalidare il record dopo la pubblicazione.
  • Monitorate regolarmente i rapporti DMARC per assicurarvi che le attività sospette non passino inosservate. 

Passi successivi alla pubblicazione di un record DMARC

Una volta terminata la pubblicazione del record DMARC, il passo successivo dovrebbe essere quello di concentrarsi sulla protezione del proprio dominio da truffatori e imitatori. Questo è il vostro obiettivo principale quando implementate i protocolli di sicurezza e i servizi di autenticazione delle e-mail. 

La semplice pubblicazione di un record DMARC con un criterio p=none non offre alcuna protezione contro gli attacchi di spoofing del dominio e le frodi via e-mail. Per questo è necessario passare a Applicazione del DMARC.

Per passare all'applicazione del DMARC, un approccio graduale è la scelta migliore per ottenere risultati ideali senza alcun impatto negativo sulla deliverability. Ecco un processo graduale da seguire: 

  • Iniziare con un criterio p=none, che rappresenta la modalità di monitoraggio. 
  • Abilitate il reporting DMARC per il vostro dominio per analizzare il traffico e-mail e la deliverability. 
  • Passare alla quarantena, mantenendo la percentuale a 10 e aumentandola gradualmente al 100% nell'arco di un paio di settimane.
  • Una volta che siete sicuri della vostra configurazione, passate a p=rifiuto, mantenendo pct sulla percentuale più bassa e poi aumentando gradualmente fino all'applicazione completa per il 100% del volume di posta. 

Come PowerDMARC semplifica la gestione dei record DMARC

Per le organizzazioni che gestiscono più domini, o semplicemente per coloro che non desiderano affrontare il fastidio di configurare e mantenere manualmente i record DMARC, c'è PowerDMARC. Una soluzione semplice e facile da usare che automatizza la gestione dei record DMARC sotto un unico tetto. Dotato di una tecnologia di intelligenza artificiale e di una reportistica dettagliata, PowerDMARC ha aiutato oltre 2000 clienti in tutto il mondo a semplificare il loro percorso DMARC. 

Per iniziare, è possibile effettuare una prova gratuita di 15 giorni di prova della piattaforma oggi stesso!

Domande frequenti sui record DMARC

1. Perché ho bisogno di un record DMARC?

I record DMARC aiutano a prevenire l'impersonificazione dei domini, riducendo così il rischio di varie minacce basate sulle e-mail, come phishing, spoofing e attacchi ransomware. Senza un record DMARC, il vostro dominio corre un rischio maggiore di essere compromesso o utilizzato in modo improprio dagli attori delle minacce. 

2. Quali sono gli errori di registrazione DMARC più comuni?

Alcune comuni configurazioni errate del DMARC includono:

  • Avere più record DMARC, poiché un dominio può avere un solo record DMARC.
  • Errori di sintassi come una formattazione errata (ad esempio, mancanza di punti e virgole o spazi).
  • Valori di policy non validi, come l'uso di tag errati come p=rejected invece di p=reject.
  • Gli indirizzi e-mail di segnalazione errati, come ad esempio gli indirizzi e-mail rua o ruf, portano a segnalazioni non consegnate.

3. È possibile avere più record DMARC per un singolo dominio?

No, un dominio può avere un solo record DMARC. Se esistono più record, i provider di posta elettronica possono ignorare la configurazione, causando errori di autenticazione e lacune nella sicurezza.

4. Quanto tempo impiega un record DMARC a propagarsi?

Il tempo di propagazione dei record DMARC in genere varia da pochi minuti a 48 ore, a seconda delle impostazioni di caching DNS e TTL (Time-to-Live).

5. Cosa succede se il mio record DMARC non è valido?

Se un record DMARC non è valido, può causare una serie di problemi, come tentativi di autenticazione o controlli falliti e problemi di recapito delle e-mail; inoltre, il vostro dominio potrebbe essere vulnerabile allo spoofing. 

6. Cosa succede se il dominio non ha pubblicato un record DMARC?

Se siete un mittente di massa con un record DMARC non pubblicato, dovrete affrontare il rifiuto delle e-mail durante l'invio di messaggi a Google e Yahoo e Yahoo. Inoltre, il vostro dominio potrebbe diventare un obiettivo primario per gli aggressori, in quanto non ci saranno restrizioni allo spoofing.

Ultimi messaggi di Maitham Al Lawati (vedi tutti)
Spoofing del calendario di Google: Come gli aggressori lo usano per le truffe di phishingPadroneggiare la deliverability delle e-mail: Migliori pratiche per campagne di successo