I proprietari di domini spesso commettono l'errore di pensare che il loro percorso di autenticazione delle e-mail si concluda con l'applicazione. Non sanno che la vita dopo il p=reject è una fase importante che determina la forza complessiva della postura di sicurezza e-mail del loro dominio. Per una protezione continua contro gli attacchi di spoofing e phishing, è indispensabile formulare una strategia di sicurezza delle e-mail che inizi solo dopo aver ottenuto l'enforcement.
Che cos'è P=Rifiuto?
La Politica DMARC Esistono 3 modalità definitive di applicazione che si possono implementare, che sono:
- p=nessuno (nessuna azione intrapresa)
- p=quarantena (mette in quarantena le e-mail che non superano il DMARC)
- p=rifiuta (rifiuta i messaggi di posta elettronica in caso di DMARC fallisce)
Rifiuta è il criterio massimo di applicazione del DMARC e aiuta i proprietari dei domini a bloccare le e-mail di spoofing o di phishing prima che raggiungano le caselle di posta dei clienti. Coloro che desiderano sfruttare il DMARC per proteggere i propri domini dai vettori di attacco basati sulle e-mail possono trovare p=reject una modalità di policy adatta.
Come raggiungere la modalità P=Rifiuto?
Il più delle volte, i proprietari dei domini cercano di affrettare il processo di implementazione del protocollo e si aspettano di ottenere l'applicazione il prima possibile. Questo però non è consigliabile. Spieghiamo perché:
Rischi associati al DMARC in fase di rifiuto
- Il passaggio all'applicazione a un ritmo molto veloce può portare a problemi di recapito delle e-mail.
- Può portare alla perdita di messaggi di posta elettronica legittimi.
- Può causare fallimenti DMARC per le e-mail inviate al di fuori del proprio dominio.
Qual è la prassi raccomandata?
Sebbene il criterio di rifiuto sia accompagnato da una serie di avvertenze e di disclaimer, la sua efficacia nel prevenire una serie di attacchi di frode via e-mail è innegabile. Vediamo quindi come passare al rifiuto in modo sicuro:
- Iniziare con p=nessuno
Invece di iniziare con un criterio imposto, si consiglia di iniziare con qualcosa che offra maggiore flessibilità e libertà: e questo è esattamente ciò che fa p=none. Questo criterio, anche se non fa molto in termini di protezione, può servire come eccellente strumento di monitoraggio per aiutare nel percorso di implementazione.
- Abilitare la segnalazione DMARC
Il monitoraggio dei canali e-mail può aiutare a prevenire errori di consegna dovuti a protocolli non configurati correttamente. Può consentire di visualizzare e rilevare gli errori e di risolverli più rapidamente.
Il reporting DMARC può aiutarvi a identificare l'efficacia della vostra politica di autenticazione delle e-mail.
Anche se l'autenticazione delle e-mail non è una pallottola d'argento, può essere uno strumento efficace nel vostro arsenale di sicurezza. Grazie alla reportistica DMARC, potete verificare se i vostri sforzi stanno funzionando e dove è necessario modificare la vostra strategia.
Esistono due tipi di rapporti:
- Aggregate (RUA) è stato progettato per aiutarvi a tracciare le fonti di invio delle vostre e-mail, gli indirizzi IP dei mittenti, i domini organizzativi e la geolocalizzazione.
- Forensic (RUF) è progettato per funzionare come segnalazione di incidenti quando si verifica un evento forense come lo spoofing.
- Configurare sia SPF che DKIM insieme a DMARC
Troppi cuochi non guastano il brodo quando si tratta di implementare il DMARC. Gli esperti di sicurezza consigliano piuttosto di abbinare il DMARC sia all'SPF che al DKIM per una maggiore protezione e per ridurre la possibilità di falsi positivi. In questo modo si possono anche evitare fallimenti DMARC indesiderati.
DMARC ha bisogno di SPF o DKIM per passare l'autenticazione.
Ciò svolge un ruolo fondamentale nell'implementazione sicura di una politica di rifiuto, garantendo che anche se SPF fallisce e DKIM passa o viceversa, MARC passerà per il messaggio previsto.
- Includere tutte le fonti di invio
La mancata indicazione delle fonti di invio nel record SPF può essere particolarmente dannosa quando si cerca di evitare fallimenti DMARC indesiderati. È importante stilare un elenco di tutte le fonti di invio delle vostre e-mail (che includono fornitori di e-mail e provider di servizi di terze parti come Gmail, Microsoft O365, Yahoo Mail, Zoho, ecc.)
Questo è particolarmente importante se si utilizza SPF solo in combinazione con DMARC. Ogni volta che si aggiunge o si rimuove una fonte di invio, il record SPF deve riflettere le stesse modifiche.
Riassumere la propria vita dopo il p=rifiuto
Il monitoraggio dei protocolli di autenticazione delle e-mail è una parte essenziale della vita dopo il p=reject. Non solo garantisce il mantenimento dell'efficacia delle vostre misure di sicurezza, ma vi offre anche una visione più approfondita delle loro funzionalità per determinare ciò che funziona meglio per voi. A analizzatore DMARC vi aiuta a passare senza problemi da p=none a reject, a evitare problemi di deliverability, a monitorare i vostri canali e-mail, ad aggiornare le politiche di protocollo e a risolvere i problemi su un'unica piattaforma, in modo semplice.
