Messaggi

Avere più record DMARC sul tuo dominio è un completo no-no, ed ecco perché! Sappiamo che l'implementazione di protocolli di autenticazione e-mail come DMARC è essenziale per la reputazione di un'organizzazione e la sicurezza dei dati, e per fare questo i proprietari di domini devono pubblicare un record TXT nel loro DNS. Ma una domanda che spesso riemerge ancora e ancora nella comunità è che "Posso avere più record DMARC sul mio dominio?" La risposta è no. Più record DMARC sullo stesso dominio possono invalidare il tuo record e quindi la politica di autenticazione DMARC impostata per il tuo dominio non funziona.

Come viene processato un record DMARC dagli MTA?

Un record DMARC pubblicato nel DNS del tuo dominio assomiglia a questo:

TXT mydomain.com v=DMARC1; p=reject; rua=mailto:[email protected]

Pertanto, quando un dominio che ha DMARC configurato per esso invia un'email, l'MTA che riceve l'email recupera tutti i record TXT che iniziano con v=DMARC1. L'MTA interroga il DNS del dominio di invio e può imbattersi nei seguenti scenari:

  1. Trova un singolo record DMARC valido nel DNS del dominio di origine e processa l'email secondo le specifiche della politica DMARC
  2. Non trova alcun record DMARC per il dominio di invio e l'elaborazione DMARC cessa automaticamente, l'email viene consegnata senza verificare la fonte
  3. Trova più record DMARC sullo stesso dominio e in questo caso anche l'elaborazione DMARC viene interrotta e la policy applicata non viene eseguita

Record DMARC multipli: Come risolvere il problema?

Quando configuri DMARC per il tuo dominio e imposti una policy, vuoi che gli MTA rispondano alle tue email in un modo che si allinei con le tue intenzioni. Questo è il modo in cui DMARC può proteggere il tuo dominio contro l'impersonificazione e lo spoofing. Per aiutare il protocollo configurato a funzionare efficacemente, raccomandiamo i seguenti passi:

  • Assicurati di non aver pubblicato più record DMARC per il tuo dominio
  • Assicurati che il tuo record DMARC non contenga errori di sintassi
  • Invece di generare manualmente il tuo record DMARC, usa strumenti affidabili come il nostrogeneratore di record DMARC gratuito per fare il lavoro per te
  • Abilita i rapporti DMARC per il tuo dominio per monitorare il tuo flusso di e-mail e i risultati dell'autenticazione di volta in volta, in modo da poter monitorare i problemi di consegna e prendere provvedimenti contro le fonti di invio malevole
  • Assicurati di stare sotto il limite di ricerca SPF 10 per evitare un risultato permerrore

Un'alternativa ai vari passi che puoi fare per implementare DMARC correttamente per il tuo dominio ed evitare record DMARC multipli sarebbe semplicemente iscriverti al nostro analizzatore DMARC.

PowerDMARC gestisce la maggior parte delle complessità in background per automatizzare il vostro percorso di autenticazione delle e-mail e aiutarvi a mitigare eventuali errori di configurazione che possono causare problemi nella consegna delle e-mail.

In questo articolo, vorremmo sfatare accuratamente le 6 principali ragioni per il fallimento di DMARC e come è possibile mitigarle per migliorare la deliverability. Il fallimento di DMARC per i vostri messaggi è un motivo di preoccupazione se siete un'organizzazione che fa molto affidamento sulle e-mail per le comunicazioni sia esterne che interne. Ci sono metodi e strumenti che potete usare online (gratuitamente) per fermare il DMARC fail per le vostre email.

Prima di passare al perché DMARC non funziona, vediamo cos'è e come ti aiuta:

DMARC è un'attività chiave nella vostra politica di autenticazione della posta elettronica per aiutare a prevenire che le email "spoofed" falsificate passino i filtri antispam transazionali. Ma, è solo un pilastro di un programma generale anti-spam, e non tutti i rapporti DMARC sono creati uguali. Alcuni vi diranno l'esatta azione che i ricevitori di posta hanno fatto su ogni messaggio, e altri vi diranno solo se un messaggio ha avuto successo o no. Capire perché un messaggio non è andato a buon fine è importante quanto sapere se è andato a buon fine.

Ragioni comuni che possono far fallire DMARC

Identificare il motivo del fallimento di DMARC può essere complicato. Tuttavia, andrò oltre alcune ragioni tipiche, i fattori che contribuiscono ad esse, in modo che voi, come proprietario del dominio, possiate lavorare per correggere il problema più prontamente.

Fallimenti nell'allineamento DMARC

DMARC fa uso dell'allineamento dei domini per autenticare le vostre e-mail. Questo significa che DMARC verifica se il dominio menzionato nell'indirizzo Da (nell'intestazione visibile) è autentico confrontandolo con il dominio menzionato nell'intestazione nascosta Return-path (per SPF) e nell'intestazione della firma DKIM (per DKIM). Se entrambi corrispondono, l'email passa DMARC, altrimenti DMARC fallisce.

Quindi, se le vostre email stanno fallendo DMARC può essere un caso di disallineamento del dominio. Cioè né gli identificatori SPF né DKIM sono allineati e l'email sembra essere inviata da una fonte non autorizzata. Questo però è solo uno dei motivi per cui DMARC fallisce.

Modalità di allineamento DMARC 

Anche la modalità di allineamento del protocollo gioca un ruolo enorme nei messaggi che passano o non passano DMARC. Puoi scegliere tra le seguenti modalità di allineamento per l'autenticazione SPF:

  • Rilassato: questo significa che se il dominio nell'intestazione Return-path e il dominio nell'intestazione From sono semplicemente una corrispondenza organizzativa, anche allora SPF passerà.
  • Rigoroso: Questo significa che solo se il dominio nell'intestazione Return-path e il dominio nell'intestazione From corrispondono esattamente, solo allora SPF passerà.

Si può scegliere tra le seguenti modalità di allineamento per l'autenticazione DKIM:

  • Rilassato: questo significa che se il dominio nella firma DKIM e il dominio nell'intestazione From è semplicemente una corrispondenza organizzativa, anche allora DKIM passerà.
  • Rigoroso: Questo significa che solo se il dominio nella firma DKIM e il dominio nell'intestazione From corrispondono esattamente, solo allora il DKIM passerà.

Si noti che per le e-mail per passare l'autenticazione DMARC, è necessario allineare SPF o DKIM.  

Non impostare la firma DKIM 

Un caso molto comune in cui il tuo DMARC può fallire è che non hai specificato una firma DKIM per il tuo dominio. In questi casi, il tuo fornitore di servizi di scambio e-mail assegna una firma DKIM di default alle tue e-mail in uscita che non si allineano con il dominio nell'intestazione Da. L'MTA ricevente non riesce ad allineare i due domini, e quindi DKIM e DMARC falliscono per il tuo messaggio (se i tuoi messaggi sono allineati sia con SPF che DKIM).

Non aggiungere sorgenti di invio al tuo DNS 

E' importante notare che quando impostate DMARC per il vostro dominio, gli MTA riceventi eseguono query DNS per autorizzare le vostre fonti di invio. Questo significa che a meno che non abbiate tutte le vostre fonti di invio autorizzate elencate nel DNS del vostro dominio, le vostre email falliranno DMARC per quelle fonti che non sono elencate poiché il ricevitore non sarebbe in grado di trovarle nel vostro DNS. Quindi, per garantire che le vostre email legittime siano sempre consegnate, assicuratevi di fare le voci su tutti i vostri fornitori di email autorizzati di terze parti che sono autorizzati a inviare email per conto del vostro dominio, nel vostro DNS.

In caso di inoltro di e-mail

Durante l'inoltro di email, l'email passa attraverso un server intermedio prima di essere consegnata al server ricevente. Durante l'inoltro delle email, il controllo SPF fallisce poiché l'indirizzo IP del server intermediario non corrisponde a quello del server di invio, e questo nuovo indirizzo IP di solito non è incluso nel record SPF del server originale. Al contrario, l'inoltro delle email di solito non ha impatto sull'autenticazione DKIM, a meno che il server intermediario o l'entità che inoltra non faccia certe alterazioni nel contenuto del messaggio.

Poiché sappiamo che SPF inevitabilmente fallisce durante l'inoltro delle email, se nel caso in cui la fonte di invio è DKIM neutrale e si basa solo su SPF per la convalida, l'email inoltrata sarà resa illegittima durante l'autenticazione DMARC. Per risolvere questo problema, dovreste immediatamente optare per la piena conformità DMARC nella vostra organizzazione, allineando e autenticando tutti i messaggi in uscita sia con SPF che con DKIM, poiché affinché un'email passi l'autenticazione DMARC, l'email dovrebbe passare sia l'autenticazione che l'allineamento SPF o DKIM.

Il tuo dominio è stato spoofato

Se avete i vostri protocolli DMARC, SPF e DKIM configurati correttamente per il vostro dominio, con le vostre politiche di applicazione e record validi senza errori, e il problema non è nessuno dei casi sopra menzionati, allora la ragione più probabile per cui le vostre email stanno fallendo DMARC è che il vostro dominio viene spoofato o falsificato. Questo avviene quando gli impersonatori e gli attori delle minacce cercano di inviare e-mail che sembrano provenire dal vostro dominio utilizzando un indirizzo IP dannoso.

Lerecenti statistiche sulle frodi via e-mail hanno concluso che i casi di spoofing sono in aumento negli ultimi tempi e sono una minaccia molto grande per la reputazione della vostra organizzazione. In questi casi, se avete DMARC implementato su una politica di rifiuto, fallirà e l'email spoofed non sarà consegnata alla casella di posta del vostro destinatario. Quindi lo spoofing del dominio può essere la risposta al perché DMARC fallisce nella maggior parte dei casi.

Perché DMARC fallisce per i fornitori di mailbox di terze parti? (Gmail, Mailchimp, Sendgrid, ecc.)

Se stai usando fornitori di caselle di posta esterni per inviare e-mail per tuo conto, devi abilitare DMARC, SPF e/o DKIM per loro. Puoi farlo contattandoli e chiedendo loro di gestire l'implementazione per te, oppure puoi prendere in mano la situazione e attivare manualmente i protocolli. Per farlo è necessario avere accesso al portale del tuo account ospitato su ciascuna di queste piattaforme (come amministratore).

Se i vostri messaggi di Gmail non riescono a ottenere il DMARC, passate al record SPF del vostro dominio e verificate se avete incluso _spf.google.com. In caso contrario, questo potrebbe essere il motivo per cui i server di ricezione non riescono a identificare Gmail come fonte di invio autorizzata. Lo stesso vale per le e-mail inviate da Mailchimp, Sendgrid e altri.

Come risolvere il fallimento di DMARC?

Per risolvere il fallimento di DMARC, ti consigliamo di iscriverti al nostro DMARC Analyzer gratuito e iniziare il tuo viaggio di segnalazione e monitoraggio DMARC.

#Step 1: Con una politica nulla, potete iniziare a monitorare il vostro dominio con DMARC (RUA) Aggregate Reports e tenere d'occhio le vostre email in entrata e in uscita, questo vi aiuterà a rispondere a qualsiasi problema di consegna indesiderato.

#Step 2: Dopo di che, vi aiutiamo a passare a una politica applicata che alla fine vi aiuterà a ottenere l'immunità contro lo spoofing del dominio e gli attacchi di phishing.

#Step 3: Eliminare gli indirizzi IP dannosi e segnalarli direttamente dalla piattaforma PowerDMARC per evitare futuri attacchi di impersonificazione, con l'aiuto del nostro motore di Threat Intelligence

#Step 4: Abilita i rapporti DMARC (RUF) Forensic per ottenere informazioni dettagliate sui casi in cui le tue email hanno fallito DMARC in modo che tu possa arrivare alla radice del problema e risolverlo più velocemente

Speriamo di poter affrontare il problema del perché DMARC non funziona per il tuo dominio e fornire una soluzione su come risolvere il problema facilmente. Per prevenire lo spoofing del dominio e monitorare il tuo flusso di e-mail con PowerDMARC, oggi stesso!