Messaggi

Se siete nuovi all'autenticazione delle e-mail e all'analizzatore analizzatore DMARCci sono alcune regole DMARC da seguire fin da oggi che possono cambiare le carte in tavola nel vostro percorso di autenticazione delle e-mail. Per riassumere alcune delle regole fondamentali:

1. Non utilizzare un criterio che non consenta l'autenticazione.

4. Impostare i record SPF anche per i propri domini

5. Impostare la firma DKIM per i propri domini.

Approfondiamo ora l'analisi di queste regole DMARC e di altre, per aiutarvi a rafforzare la vostra infrastruttura di autenticazione complessiva. 

Tutti abbiamo sentito parlare di DMARC, ma cos'è?

DMARC è l'acronimo di Domain-based Message Authentication, Reporting & Conformance. È un protocollo di sicurezza delle e-mail che aiuta a garantire che le e-mail siano autenticate prima di essere consegnate per ridurre al minimo la falsificazione dei domini. È stato creato con l'obiettivo di prevenire gli attacchi di phishing e altri attacchi via e-mail verificando che il mittente di un'e-mail sia chi dice di essere.

Come si utilizza il DMARC?

È semplice! Innanzitutto, si impostano i record DNS del proprio dominio per indicare che si desidera utilizzare il DMARC. Quindi, se qualcuno tenta di inviare un'e-mail dal vostro dominio senza utilizzare il DMARC, non sarà in grado di inviarla a meno che non disponga di una chiave pubblica associata al suo dominio, il che è possibile solo se è autorizzato. In questo modo si garantisce che solo le e-mail legittime raggiungano le caselle di posta dei destinatari, consentendo al contempo di impostare notifiche per i messaggi provenienti dall'esterno della propria rete.

Il processo funziona come segue: 

  • Un mittente imposta un DMARC per il proprio dominio con un record SPF e abilita la firma DKIM (facoltativa ma consigliata) nei propri record DNS.
  • Quando un'e-mail viene inviata da quel dominio, contiene un'intestazione con informazioni su quali impostazioni sono state utilizzate e su cosa sono state impostate. Questa intestazione può essere utilizzata da ricevitori come Gmail per verificare se il messaggio è stato inviato secondo il formato previsto o meno. 
  • Se si verifica un problema con una di queste impostazioni, il messaggio verrà segnalato come non riuscito o non riuscito, a seconda che sia stato intenzionale o meno da parte del mittente; in tal caso, il mittente può decidere di ignorarlo del tutto finché non avrà risolto la causa del problema.

Una cosa che ci piace del DMARC è la sua facilità di configurazione, che può essere effettuata in pochi passaggi!

Regole DMARC 101 per le aziende 

Quando si imposta un criterio DMARCci sono alcune regole da seguire. Ecco un elenco delle 5 regole DMARC più importanti:

  1. Il criterio deve essere un record TXT e deve essere pubblicato nel DNS. Se non si dispone di un record TXT nel DNS, non è stato implementato il protocollo.
  2. Il criterio deve essere p=rifiuto o p=quarantena se si vogliono bloccare i messaggi non autenticati. 
  3. Se si utilizzano più policy e si impostano diversi livelli di autenticazione per ciascuna di esse (ad esempio "il mio marchio" o "la mia organizzazione"), assicurarsi che tutte abbiano record SPF e firme DKIM unici! In caso contrario, verranno raggruppate tutte sotto un'unica regola e non si sincronizzeranno bene.
  4. Il DMARC richiede anche la creazione di record SPF e/o DKIM per il vostro dominio. Questa regola è obbligatoria anche se non si vuole usare il DMARC, perché aiuta a prevenire gli attacchi di spoofing, in cui un aggressore può usare l'indirizzo e-mail o il nome di dominio di qualcun altro per inviare e-mail di phishing che sembrano legittime ma in realtà non provengono da una fonte autorizzata.
  5. Un'altra importante regola DMARC richiede la pubblicazione di un record DMARC contenente il vostro indirizzo e-mail, in modo che altre organizzazioni possano segnalare eventuali problemi relativi alle vostre e-mail utilizzando questo sistema. Questi sono noti come rapporti DMARC. 

Regole DMARC aggiuntive per una maggiore protezione

  1. Considerate la possibilità di impostare una politica DMARC per i vostri domini parcheggiati (domini inattivi), poiché anche questi possono essere spoofati dagli aggressori per impersonare con successo il vostro marchio. 
  2. È assolutamente sconsigliato creare più record SPF o DMARC per lo stesso dominio. Un singolo dominio dovrebbe contenere un solo record SPF e DMARC. Tuttavia, si può scegliere di configurare più di un record DKIM per lo stesso dominio per consentire la rotazione periodica delle chiavi per una migliore protezione.  
  3. È possibile saltare l'impostazione di un criterio per i sottodomini, a meno che non si desideri implementare una modalità di applicazione diversa per questi ultimi. Questo perché i criteri DMARC per il dominio principale vengono ereditati automaticamente dai sottodomini. 
  4. Se si desidera ricevere rapporti DMARC al di fuori del proprio dominio (su un indirizzo e-mail esterno che non rientra nell'ambito del proprio dominio), è necessario abilitare la verifica del dominio esterno per indicare ai server che il dominio esterno acconsente a ricevere tali rapporti. 
  5. Infine, è importante notare che il DMARC non è una pallottola d'argento e non protegge da tutti gli attacchi. È necessario disporre di un antivirus e di un firewall affidabili, oltre al DMARC, per aumentare la sicurezza. 

In quale fase del processo di autenticazione è necessario implementare le regole DMARC?

Se si è agli inizi, non è necessario rispettare tutte le regole DMARC di cui sopra all'inizio del processo di autenticazione. Ad esempio, un criterio p=rifiuto all'inizio può causare complicazioni nella deliverability. Si consiglia invece di iniziare con una politica di nessuno per monitorare i canali e-mail prima di impegnarsi nell'applicazione.

Qui le cose si complicano un po'. È fondamentale stabilire il ritmo più adatto a voi e alla vostra azienda. Iniziate lentamente, implementando politiche rilassate per i vostri protocolli, in modo da avere un controllo completo su di essi, fino a quando non sarete pronti a optare per l'applicazione.