Messaggi

Se siete su questa pagina a leggere questo blog, è probabile che vi siate imbattuti in uno dei seguenti suggerimenti:

  • Nessun record SPF trovato
  • Manca il record SPF
  • Nessun record SPF
  • Record SPF non trovato
  • Nessun record SPF pubblicato
  • Impossibile trovare il record SPF

Il prompt indica semplicemente che il tuo dominio non è configurato con lo standard di autenticazione email SPF. Un record SPF è un record DNS TXT che viene pubblicato nel DNS del tuo dominio per autenticare i messaggi controllando gli indirizzi IP autorizzati che sono autorizzati a inviare e-mail per conto del tuo dominio, inclusi nel tuo record SPF. Quindi, naturalmente, se il tuo dominio non è autenticato con il protocollo SPF, potresti imbatterti in un messaggio "Nessun record SPF trovato".

Cos'è Sender Policy Framework (SPF)?

Lo standard di autenticazione e-mailSPF è un meccanismo utilizzato per impedire agli spammer di falsificare le e-mail. Utilizza i record DNS per verificare che il server di invio sia autorizzato a inviare e-mail dal nome di dominio. SPF, che sta per Sender Policy Framework, ti permette di identificare i mittenti autorizzati delle e-mail sul tuo dominio.

SPF è un sistema di autenticazione "path-based", il che implica che è legato al percorso che l'email prende dal server di invio originale al server ricevente. SPF non solo permette alle organizzazioni di autorizzare gli indirizzi IP ad usare i loro nomi di dominio quando inviano le e-mail, ma fornisce anche un modo in cui un server di posta elettronica ricevente può verificare tale autorizzazione.

È necessario configurare l'SPF?

Probabilmente ti è stato detto che hai bisogno dell'autenticazione SPF (Sender Policy Framework) delle email. Ma un'azienda ne ha davvero bisogno? E se sì, ci sono altri benefici? Questa domanda di solito viene capita quando l'azienda diventa un grande scambiatore di e-mail per la propria organizzazione. Con SPF, è possibile tracciare il comportamento delle e-mail per individuare i messaggi fraudolenti e proteggere la vostra azienda da problemi legati allo spam, spoofing e attacchi di phishing. SPF vi aiuta a raggiungere la massima deliverability e la protezione del marchio verificando l'identità dei mittenti.

Come funziona l'SPF?

  • I record SPF sono record del Domain Name System (DNS) appositamente formattati e pubblicati dagli amministratori di dominio che definiscono quali server di posta sono autorizzati a inviare posta per conto di quel dominio.
  • Con SPF configurato per il tuo dominio, ogni volta che un'email viene inviata dal tuo dominio, il server di posta del destinatario cerca le specifiche per il dominio di ritorno nel file
  • DNS. In seguito ha cercato di abbinare l'indirizzo IP del mittente agli indirizzi autorizzati definiti nel vostro record SPF.
  • Secondo le specifiche della politica SPF, il server ricevente decide se consegnare, rifiutare o contrassegnare l'email nel caso in cui fallisca l'autenticazione.

Scomposizione della sintassi di un record SPF

Prendiamo l'esempio di un record SPF per un dominio fittizio con la sintassi corretta:

v=spf1 ip4:29.337.148 include:domain.com -all

 

Fermare il messaggio "Nessun record SPF trovato

Se volete smettere di ricevere il fastidioso messaggio "Nessun record SPF trovato", tutto quello che dovete fare è configurare SPF per il vostro dominio pubblicando un record DNS TXT. Puoi usare il nostro generatore di record SPF gratuito per creare un record istantaneo con la sintassi corretta, da pubblicare nel tuo DNS.

Tutto quello che dovete fare è:

  • Scegli se vuoi permettere ai server elencati come MX di inviare email per il tuo dominio
  • Scegli se vuoi permettere all'indirizzo IP corrente del dominio di inviare email per questo dominio
  • Compila gli indirizzi IP autorizzati a inviare e-mail dal tuo dominio
  • Aggiungi qualsiasi altro hostname o dominio del server che può consegnare o inoltrare la posta per il tuo dominio
  • Scegli la tua modalità di politica SPF o il livello di severità del server ricevente tra Fail (le email non conformi saranno rifiutate), Soft-fail (le email non conformi saranno accettate ma contrassegnate), e Neutral (le email saranno probabilmente accettate)
  • Clicca su Generare il record SPF per creare immediatamente il tuo record

Nel caso in cui tu abbia già configurato SPF per il tuo dominio, puoi anche usare il nostro SPF record checker gratuito per cercare e validare il tuo record SPF e rilevare i problemi.

È sufficiente pubblicare un record SPF?

La risposta è no. SPF da solo non può impedire che il tuo marchio venga impersonato. Per una protezione ottimale contro lo spoofing del dominio diretto, gli attacchi di phishing e BEC, è necessario configurare DKIM e DMARC per il tuo dominio.

Inoltre, SPF ha un limite di 10 ricerche DNS. Se si supera questo limite il vostro SPF si romperà e l'autenticazione fallirà anche per le email legittime. Questo è il motivo per cui avete bisogno di un flattener SPF dinamico che vi aiuterà a rimanere sotto il limite di 10 lookup DNS, oltre a tenervi aggiornati sulle modifiche apportate dai vostri fornitori di scambio e-mail.

Speriamo che questo blog ti abbia aiutato a risolvere il tuo problema e che tu non debba più preoccuparti del messaggio "Nessun record SPF trovato". Iscriviti a una prova gratuita di autenticazione email per migliorare la tua deliverability e sicurezza email oggi stesso!

 

Una forma in continua evoluzione e dilagante di criminalità informatica che prende di mira le e-mail come potenziale mezzo per condurre la frode è conosciuta come Business Email Compromise. Prendendo di mira organizzazioni commerciali, governative e non-profit, l'attacco BEC può portare a enormi quantità di perdita di dati, violazione della sicurezza e compromissione dei beni finanziari. È un malinteso comune che i criminali informatici di solito si concentrano sulle multinazionali e sulle organizzazioni a livello aziendale. Le PMI in questi giorni sono altrettanto un bersaglio per le frodi via e-mail, come i più grandi operatori del settore. 

Come può la BEC influenzare le organizzazioni?

Esempi di attacco BEC includono sofisticati attacchi di ingegneria sociale come il phishing, la frode del CEO, le fatture false e lo spoofing delle e-mail, per citarne alcuni. Può anche essere definito come un attacco di impersonificazione in cui un attaccante mira a frodare una società, fingendo di essere persone in posizioni autoritarie. Impersonare persone come il CFO o il CEO, un partner d'affari o chiunque su cui si ripone ciecamente la propria fiducia, è ciò che guida il successo di questi attacchi.

Il febbraio del 2021 ha catturato le attività della cyber gang russa Cosmic Lynx, che ha adottato un approccio sofisticato verso il BEC. Il gruppo era già stato collegato alla conduzione di oltre 200 campagne BEC da luglio 2019, prendendo di mira oltre 46 paesi in tutto il mondo, concentrandosi su gigantesche MNC che hanno una presenza globale. Con email di phishing estremamente ben scritte, stanno rendendo impossibile per le persone distinguere tra messaggi reali e falsi.

Il lavoro a distanza ha reso le applicazioni di videoconferenza entità indispensabili, post-pandemia. I criminali informatici stanno approfittando di questa situazione inviando e-mail fraudolente che impersonano una notifica dalla piattaforma di videoconferenza, Zoom. Questo ha lo scopo di rubare le credenziali di accesso per condurre massicce violazioni dei dati aziendali.

È chiaro che la rilevanza del BEC sta rapidamente emergendo e aumentando negli ultimi tempi, con gli attori delle minacce che escogitano modi più sofisticati e innovativi per farla franca con le frodi. L'attacco BEC colpisce più del 70% delle organizzazioni in tutto il mondo e porta alla perdita di miliardi di dollari ogni anno. Questo è il motivo per cui gli esperti del settore stanno arrivando con protocolli di autenticazione e-mail come DMARC, per offrire un alto livello di protezione contro l'impersonificazione.

Cos'è l'autenticazione e-mail?

L'autenticazione delle e-mail può essere definita come un insieme di tecniche impiegate per fornire informazioni verificabili sull'origine delle e-mail. Questo viene fatto autenticando la proprietà del dominio dell'agente o degli agenti di trasferimento della posta coinvolti nel trasferimento del messaggio.

Il Simple Mail Transfer Protocol (SMTP), che è lo standard industriale per il trasferimento delle e-mail, non ha questa caratteristica incorporata per l'autenticazione dei messaggi. Questo è il motivo per cui sfruttare la mancanza di sicurezza diventa estremamente facile per i criminali informatici per lanciare attacchi di phishing e spoofing del dominio. Questo evidenzia la necessità di protocolli di autenticazione e-mail efficaci come DMARC, che effettivamente mantiene le sue affermazioni!

Passi per prevenire l'attacco BEC con DMARC

 

Passo 1: Attuazione 

Il primo passo per combattere gli attacchi BEC è effettivamente configurare DMARC per il tuo dominio. Domain-based Message Authentication, Reporting and Conformance (DMARC) fa uso degli standard di autenticazione SPF e DKIM per convalidare le e-mail inviate dal vostro dominio. Specifica ai server riceventi come rispondere alle email che falliscono uno o entrambi i controlli di autenticazione, dando al proprietario del dominio il controllo sulla risposta del ricevitore. Quindi, per implementare DMARC, è necessario:

  • Identificare tutte le fonti di e-mail valide autorizzate per il tuo dominio
  • Pubblica il record SPF nel tuo DNS per configurare SPF per il tuo dominio
  • Pubblica il record DKIM nel tuo DNS per configurare DKIM per il tuo dominio
  • Pubblica il record DMARC nel tuo DNS per configurare DMARC per il tuo dominio

Al fine di evitare le complessità, è possibile utilizzare gli strumenti gratuiti di PowerDMARC (generatore di record SPF gratuito, generatore di record DKIM gratuito, generatore di record DMARC gratuito) per generare record con la sintassi corretta, istantaneamente, da pubblicare nel DNS del vostro dominio.

Passo 2: Applicazione 

La vostra politica DMARC può essere impostata su:

  • p=none (DMARC al solo monitoraggio; i messaggi che falliscono l'autenticazione verrebbero comunque consegnati)
  • p=quarantena (DMARC all'applicazione; i messaggi che falliscono l'autenticazione verrebbero messi in quarantena)
  • p=reject (DMARC al massimo dell'applicazione; i messaggi che falliscono l'autenticazione non verrebbero consegnati affatto)

Vi raccomandiamo di iniziare ad usare DMARC con una politica che permetta solo il monitoraggio, in modo da poter tenere sotto controllo il flusso di email e i problemi di consegna. Tuttavia, una tale politica non fornirebbe alcuna protezione contro il BEC. Questo è il motivo per cui alla fine si dovrebbe passare all'applicazione di DMARC. PowerDMARC vi aiuta a passare senza soluzione di continuità dal monitoraggio all'applicazione in pochissimo tempo con una policy di p=reject che vi aiuterà a specificare ai server riceventi che un'email inviata da una fonte malevola utilizzando il vostro dominio non sarà consegnata alla casella di posta del vostro destinatario.

Fase 3: Monitoraggio e reporting 

Avete impostato la vostra politica DMARC sull'enforcement e avete minimizzato con successo l'attacco BEC, ma è sufficiente? La risposta è no. Avete ancora bisogno di un meccanismo di reporting ampio ed efficace per monitorare il flusso di e-mail e rispondere a qualsiasi problema di consegna. La piattaforma SaaS multitenant di PowerDMARC vi aiuta:

  • rimani in controllo del tuo dominio
  • monitorare visivamente i risultati dell'autenticazione per ogni email, utente e dominio registrato per te
  • abbattere gli indirizzi IP abusivi che cercano di impersonare il tuo marchio

I rapporti DMARC sono disponibili sulla dashboard di PowerDMARC in due formati principali:

  • Rapporti aggregati DMARC (disponibili in 7 viste diverse)
  • Rapporti forensi DMARC (con crittografia per una maggiore privacy)

Il culmine dell'implementazione, dell'applicazione e del reporting di DMARC vi aiuta a ridurre drasticamente le possibilità di cadere preda di attacchi BEC e di impersonificazione. 

Con i filtri anti-spam ho ancora bisogno di DMARC?

Sì! DMARC funziona in modo molto diverso dai tuoi normali filtri anti-spam e gateway di sicurezza e-mail. Mentre queste soluzioni di solito sono integrate con i vostri servizi di scambio e-mail basati su cloud, possono solo offrire protezione contro i tentativi di phishing in entrata. I messaggi inviati dal vostro dominio, rimangono ancora sotto la minaccia di impersonificazione. È qui che entra in gioco DMARC.

Ulteriori suggerimenti per migliorare la sicurezza delle e-mail

 

Rimanere sempre sotto il limite dei 10 DNS Lookup 

Superare il limite di 10 ricerche SPF può invalidare completamente il vostro record SPF e far fallire l'autenticazione anche delle email legittime. In questi casi, se hai il tuo DMARC impostato su "reject", le email autentiche non verranno consegnate. PowerSPF è il tuo appiattitore di record SPF automatico e dinamico che mitiga il permerrore SPF aiutandoti a rimanere sotto il limite rigido SPF. Aggiorna automaticamente i netblock e scansiona i cambiamenti fatti dai tuoi fornitori di servizi e-mail ai loro indirizzi IP costantemente, senza alcun intervento da parte tua.

Garantire la crittografia TLS delle e-mail in transito

Mentre DMARC può proteggervi dagli attacchi di ingegneria sociale e BEC, avete ancora bisogno di attrezzarvi contro gli attacchi di monitoraggio pervasivi come Man-in-the-middle (MITM). Questo può essere fatto assicurando che una connessione protetta su TLS sia negoziata tra i server SMTP ogni volta che un'e-mail viene inviata al tuo dominio. L'hosted MTA-STS di PowerDMARC rende la crittografia TLS obbligatoria in SMTP e viene fornito con una facile procedura di implementazione.

Ottenere rapporti sui problemi nella consegna delle e-mail

Potete anche abilitare il reporting SMTP TLS per ottenere rapporti diagnostici sui problemi di consegna delle e-mail dopo aver configurato MTA-STS per il vostro dominio. TLS-RPT ti aiuta a ottenere visibilità nel tuo ecosistema di posta elettronica e a rispondere meglio ai problemi nella negoziazione di una connessione protetta che porta a errori di consegna. I report TLS sono disponibili in due visualizzazioni (report aggregati per risultato e per fonte di invio) sulla dashboard di PowerDMARC.

Amplifica il richiamo del tuo marchio con BIMI 

Con BIMI (Brand Indicators for Message Identification) puoi portare il richiamo del tuo marchio a un livello completamente nuovo aiutando i tuoi destinatari a identificarti visivamente nelle loro caselle di posta. BIMI funziona allegando il logo unico del vostro marchio ad ogni e-mail che inviate dal vostro dominio. PowerDMARC rende facile l'implementazione di BIMI con soli 3 semplici passi da parte dell'utente.

PowerDMARC è la tua destinazione unica per una serie di protocolli di autenticazione e-mail tra cui DMARC, SPF, DKIM, BIMI, MTA-STS e TLS-RPT. Iscriviti oggi per avere la tua prova gratuita di DMARC Analyzer!

La crittografia è opzionale in SMTP, il che implica che le e-mail possono essere inviate in chiaro. Mail Transfer Agent-Strict Transport Security (MTA-STS) è uno standard relativamente nuovo che permette ai fornitori di servizi di posta di applicare Transport Layer Security (TLS) per proteggere le connessioni SMTP, e di specificare se i server SMTP di invio devono rifiutarsi di consegnare le email agli host MX che non supportano TLS. È stato dimostrato che mitiga con successo gli attacchi di downgrade TLS e gli attacchi Man-In-The-Middle (MITM).

Abilitare MTA-STS non è semplicemente sufficiente, poiché è necessario un meccanismo di segnalazione efficace per rilevare i fallimenti nello stabilire un canale crittografato. SMTP TLS Reporting (TLS-RPT) è uno standard che permette di segnalare i problemi di connettività TLS che si verificano nelle applicazioni che inviano e-mail e rilevare le configurazioni errate. Permette di segnalare i problemi di consegna delle e-mail che si verificano quando un'e-mail non è criptata con TLS.

Facile implementazione di MTA-STS con PowerMTA-STS

L'implementazione di MTA-STS è un compito arduo che comporta molte complessità durante l'adozione. Dalla generazione dei file di policy e dei record alla manutenzione del server web e dei certificati di hosting, è un processo lungo. PowerDMARC vi copre! I nostri servizi MTA-STS ospitati offrono i seguenti vantaggi:

  • Pubblica i tuoi record DNS CNAME con pochi clic
  • Ci prendiamo la responsabilità di mantenere il server web della politica e di ospitare i certificati
  • È possibile apportare modifiche ai criteri MTA-STS istantaneamente e con facilità, attraverso la dashboard di PowerDMARC, senza dover apportare manualmente modifiche al DNS
  • I servizi MTA-STS ospitati da PowerDMARC sono conformi a RFC e supportano gli ultimi standard TLS
  • Dalla generazione di certificati e file di policy MTA-STS all'applicazione delle policy, vi aiutiamo a eludere le enormi complessità che comporta l'adozione del protocollo

Perché le e-mail richiedono la crittografia in transito?

Dal momento che la sicurezza ha dovuto essere adattata in SMTP per assicurarsi che fosse retrocompatibile aggiungendo il comando STARTTLS per avviare la crittografia TLS, nel caso in cui il client non supporti TLS la comunicazione cade di nuovo in chiaro. In questo modo le email in transito possono cadere preda di attacchi di monitoraggio pervasivi come il MITM, in cui i criminali informatici possono origliare i vostri messaggi, e alterare e manomettere le informazioni sostituendo o cancellando il comando di crittografia (STARTTLS), facendo tornare la comunicazione in chiaro.

È qui che MTA-STS viene in soccorso, rendendo la crittografia TLS obbligatoria in SMTP. Questo aiuta a ridurre le minacce di MITM, DNS Spoofing e attacchi Downgrade.

Dopo aver configurato con successo MTA-STS per il tuo dominio, ciò di cui hai bisogno è un efficiente meccanismo di reportistica che ti aiuti a rilevare e rispondere ai problemi di consegna delle email dovuti a problemi nella crittografia TLS a un ritmo più veloce. PowerTLS-RPT fa esattamente questo per te!

Ricevere rapporti sui problemi di consegna delle e-mail con PowerTLS-RPT

TLS-RPT è completamente integrato nella suite di sicurezza PowerDMARC in modo che, non appena ti iscrivi a PowerDMARC e abiliti il reporting SMTP TLS per il tuo dominio, ci prendiamo la briga di convertire i complicati file JSON contenenti i tuoi rapporti sui problemi di consegna delle e-mail, in documenti semplici e leggibili che puoi esaminare e comprendere con facilità!

Sulla piattaforma PowerDMARC, i report aggregati TLS-RPT sono generati in due formati per una maggiore facilità d'uso, una migliore comprensione e una migliore esperienza dell'utente:
  • Rapporti aggregati per risultato
  • Rapporti aggregati per fonte di invio

Inoltre, la piattaforma di PowerDMARC rileva automaticamente e successivamente trasmette i problemi che state affrontando, in modo che possiate affrontarli e risolverli prontamente in poco tempo.

Perché avete bisogno della segnalazione SMTP TLS?

In caso di fallimenti nella consegna delle e-mail a causa di problemi nella crittografia TLS, con TLS-RPT riceverete una notifica. TLS-RPT fornisce una maggiore visibilità su tutti i vostri canali e-mail in modo da ottenere una migliore comprensione di tutto ciò che sta accadendo nel vostro dominio, compresi i messaggi che non vengono consegnati. Inoltre, fornisce rapporti diagnostici approfonditi che consentono di identificare e arrivare alla radice del problema di consegna delle e-mail e risolverlo senza alcun ritardo.

Per avere una conoscenza pratica dell'implementazione e dell'adozione di MTA-STS e TLS-RPT, guardate la nostra guida dettagliata oggi stesso!

Configura DMARC per il tuo dominio con PowerDMARC e distribuisci le best practice di autenticazione delle email come SPF, DKIM, BIMI, MTA-STS e TLS-RPT, tutto sotto lo stesso tetto. Iscriviti oggi stesso per una prova gratuita di DMARC!

Il tasso con cui le email arrivano alle caselle di posta dei destinatari è chiamato tasso di deliverability delle email. Questo tasso può essere rallentato o ritardato o addirittura portare al fallimento della consegna quando le email finiscono nella cartella spam o vengono bloccate dai server di ricezione. Si tratta essenzialmente di un parametro importante per misurare il successo delle vostre e-mail che raggiungono le caselle di posta dei destinatari desiderati senza essere contrassegnate come spam. L' autenticazione e-mail è sicuramente una delle opzioni di autenticazione a cui i novizi possono ricorrere, per vedere un miglioramento sostanziale nella consegna delle e-mail nel tempo.

In questo blog siamo qui per parlarvi di come potete migliorare il vostro tasso di deliverability delle email con facilità e anche discutere le migliori pratiche del settore per garantire un flusso regolare di messaggi attraverso tutti i vostri canali email!

Cos'è l'autenticazione e-mail?

L'autenticazione e-mail è la tecnica utilizzata per convalidare l'autenticità della tua e-mail contro tutte le fonti autorizzate che sono autorizzate a inviare e-mail dal tuo dominio. Aiuta inoltre a convalidare la proprietà del dominio di qualsiasi Mail Transfer Agent (MTA) coinvolto nel trasferimento o nella modifica di un'e-mail.

Perché hai bisogno dell'autenticazione e-mail?

Il Simple Mail Transfer Protocol (SMTP), che è lo standard internet per il trasferimento delle e-mail, non contiene alcuna funzione per autenticare le e-mail in entrata e in uscita, permettendo ai criminali informatici di sfruttare la mancanza di protocolli sicuri in SMTP. Questo può essere usato dagli attori delle minacce per perpetrare truffe di phishing via e-mail, BEC e attacchi di spoofing del dominio in cui possono impersonare il vostro marchio e danneggiare la sua reputazione e credibilità. L'autenticazione e-mail migliora la sicurezza del vostro dominio contro l'impersonificazione e la frode, indicando ai server riceventi che le vostre e-mail sono conformi a DMARC e provengono da fonti valide e autentiche. Serve anche come punto di controllo per gli indirizzi IP non autorizzati e malevoli che inviano e-mail dal tuo dominio.

Per proteggere l'immagine del tuo marchio, minimizzare le minacce informatiche, BEC e garantire un miglior tasso di deliverability, l'autenticazione delle email è un must!

Migliori pratiche di autenticazione e-mail

Struttura dei criteri del mittente (SPF)

SPF è presente nel tuo DNS come un record TXT, che mostra tutte le fonti valide che sono autorizzate a inviare e-mail dal tuo dominio. Ogni email che lascia il tuo dominio ha un indirizzo IP che identifica il tuo server e il provider di servizi di posta elettronica utilizzato dal tuo dominio che è elencato all'interno del tuo DNS come un record SPF. Il server di posta del destinatario convalida l'email contro il tuo record SPF per autenticarla e di conseguenza segna l'email come SPF pass o fail.

Notate che SPF ha un limite di 10 lookup DNS, il cui superamento può restituire un risultato PermError e portare al fallimento di SPF. Questo può essere mitigato utilizzando PowerSPF per rimanere sempre sotto il limite di lookup!

Posta identificata come dominio (DKIM)

DKIM è un protocollo standard di autenticazione e-mail che assegna una firma crittografica, creata utilizzando una chiave privata, per convalidare le e-mail nel server ricevente, dove il ricevitore può recuperare la chiave pubblica dal DNS del mittente per autenticare i messaggi. Molto simile a SPF, la chiave pubblica DKIM esiste anche come record TXT nel DNS del proprietario del dominio.

Autenticazione, segnalazione e conformità dei messaggi basati sul dominio (DMARC)

La semplice implementazione di SPF e DKIM non è sufficiente, poiché non c'è modo per i proprietari dei domini di controllare come i server di ricezione rispondono alle e-mail che falliscono i controlli di autenticazione.

DMARC è lo standard di autenticazione e-mail più utilizzato al momento, che è stato progettato per dare ai proprietari di domini la possibilità di specificare ai server riceventi come devono gestire i messaggi che falliscono SPF o DKIM o entrambi. Questo a sua volta aiuta a proteggere il loro dominio da accessi non autorizzati e attacchi di spoofing delle e-mail.

Come può DMARC migliorare la consegnabilità delle e-mail?

  • Quando si pubblica un record DMARC nel DNS del proprio dominio, il proprietario del dominio richiede ai server di ricezione che supportano DMARC, di inviare un feedback sulle e-mail che ricevono per quel dominio, indicando automaticamente ai server di ricezione che il vostro dominio estende il supporto verso protocolli sicuri e standard di autenticazione per le e-mail, come DMARC, SPF e DKIM.
  • I rapporti aggregati DMARC vi aiutano a ottenere una maggiore visibilità nel vostro ecosistema di e-mail, consentendovi di visualizzare i risultati dell'autenticazione delle e-mail, rilevare i fallimenti dell'autenticazione e mitigare i problemi di consegna.
  • Applicando la vostra politica DMARC potete bloccare le email maligne che impersonano il vostro marchio dall'arrivare nelle caselle di posta dei vostri destinatari.

Ulteriori suggerimenti per migliorare la consegnabilità delle e-mail:

  • Abilita l'identificazione visiva del tuo marchio nelle caselle di posta dei tuoi destinatari con BIMI
  • Garantire la crittografia TLS delle e-mail in transito con MTA-STS
  • Rilevare e rispondere ai problemi di consegna delle e-mail abilitando un ampio meccanismo di segnalazione con TLS-RPT

PowerDMARC è un'unica piattaforma SaaS di autenticazione e-mail che combina tutte le best practice di autenticazione e-mail come DMARC, SPF, DKIM, BIMI, MTA-STS e TLS-RPT, sotto lo stesso tetto. Iscriviti oggi stesso a PowerDMARC e assisti a un notevole miglioramento nella consegna delle email con la nostra suite di sicurezza e autenticazione email avanzata.

Business Email Compromise o BEC è una forma di violazione della sicurezza della posta elettronica o un attacco di impersonificazione che colpisce organizzazioni commerciali, governative, non-profit, piccole imprese e startup, così come le multinazionali e le imprese per estrarre dati riservati che possono influenzare negativamente il marchio o l'organizzazione. Gli attacchi di Spear phishing, le truffe delle fatture e gli attacchi di spoofing sono tutti esempi di BEC.

I criminali informatici sono esperti intrallazzatori che intenzionalmente prendono di mira persone specifiche all'interno di un'organizzazione, specialmente quelle in posizioni autoritarie come il CEO o qualcuno simile, o anche un cliente di fiducia. L'impatto finanziario mondiale dovuto alle BEC è enorme, specialmente negli Stati Uniti, che sono emersi come l'hub principale. Leggi di più sul volume globale delle truffe BEC. La soluzione? Passare a DMARC!

Cos'è DMARC?

Domain-based Message Authentication, Reporting and Conformance (DMARC) è uno standard industriale per l'autenticazione delle e-mail. Questo meccanismo di autenticazione specifica ai server riceventi come rispondere alle email che non superano i controlli di autenticazione SPF e DKIM. DMARC può ridurre le possibilità che il vostro marchio cada in preda ad attacchi BEC di una percentuale sostanziale, e aiutare a proteggere la reputazione del vostro marchio, le informazioni riservate e le risorse finanziarie.

Nota che prima di pubblicare un record DMARC, devi implementare SPF e DKIM per il tuo dominio poiché l'autenticazione DMARC fa uso di questi due protocolli di autenticazione standard per convalidare i messaggi inviati a nome del tuo dominio.

Puoi usare il nostro generatore di record SPF e DKIM gratuito per generare i record da pubblicare nel DNS del tuo dominio.

Come ottimizzare il tuo record DMARC per proteggerti da BEC?

Al fine di proteggere il tuo dominio contro il Business Email Compromise, così come di abilitare un ampio meccanismo di reporting per monitorare i risultati di autenticazione e ottenere una visibilità completa nel tuo ecosistema di posta elettronica, ti consigliamo di pubblicare la seguente sintassi del record DMARC nel DNS del tuo dominio:

v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;

Comprendere i tag utilizzati durante la generazione di un record DMARC:

v (obbligatorio)Questo meccanismo specifica la versione del protocollo.
p (obbligatorio)Questo meccanismo specifica la politica DMARC in uso. È possibile impostare la politica DMARC su:

p=none (DMARC al solo monitoraggio, dove le email che falliscono i controlli di autenticazione arriveranno comunque nelle caselle di posta dei destinatari). p=quarantine (DMARC all'applicazione, dove le email che falliscono i controlli di autenticazione saranno messe in quarantena o messe nella cartella dello spam).

p=reject (DMARC alla massima applicazione, in cui le email che falliscono i controlli di autenticazione saranno scartate o non consegnate affatto).

Per i novizi dell'autenticazione, si raccomanda di iniziare con la vostra politica di solo monitoraggio (p=none) e poi lentamente passare all'applicazione. Tuttavia, per lo scopo di questo blog, se volete salvaguardare il vostro dominio contro BEC, p=reject è la politica raccomandata per voi per assicurare la massima protezione.

sp (opzionale)Questo tag specifica la politica dei sottodomini che può essere impostata a sp=none/quarantine/reject richiedendo una politica per tutti i sottodomini in cui le email stanno fallendo l'autenticazione DMARC.

Questo tag è utile solo se desideri impostare una politica diversa per il tuo dominio principale e i sottodomini. Se non è specificato, la stessa politica sarà applicata di default a tutti i tuoi sottodomini.

adkim (opzionale)Questo meccanismo specifica il modo di allineamento dell'identificatore DKIM che può essere impostato su s (strict) o r (relaxed).

L'allineamento rigoroso specifica che il campo d= nella firma DKIM dell'intestazione dell'email deve allinearsi e corrispondere esattamente al dominio trovato nell'intestazione from.

Tuttavia, per l'allineamento rilassato i due domini devono condividere solo lo stesso dominio organizzativo.

aspf (opzionale) Questo meccanismo specifica il modo di allineamento dell'identificatore SPF che può essere impostato a s (rigoroso) o r (rilassato).

L'allineamento rigoroso specifica che il dominio nell'intestazione "Return-path" deve allinearsi e corrispondere esattamente al dominio trovato nell'intestazione from.

Tuttavia, per l'allineamento rilassato i due domini devono condividere solo lo stesso dominio organizzativo.

rua (opzionale ma raccomandato)Questo tag specifica i rapporti aggregati DMARC che vengono inviati all'indirizzo specificato dopo il campo mailto:, fornendo informazioni sulle e-mail che passano e non passano DMARC.
ruf (opzionale ma raccomandato)Questo tag specifica i rapporti forensi DMARC che devono essere inviati all'indirizzo specificato dopo il campo mailto:. I rapporti forensi sono rapporti a livello di messaggio che forniscono informazioni più dettagliate sui fallimenti dell'autenticazione. Dal momento che questi rapporti possono contenere contenuti di e-mail, cifrarli è la pratica migliore.
pct (opzionale)Questo tag specifica la percentuale di email a cui la politica DMARC è applicabile. Il valore predefinito è impostato a 100.
fo (opzionale ma raccomandato)Le opzioni forensi per il tuo record DMARC possono essere impostate su:

->DKIM e SPF non passano o si allineano (0)

->DKIM o SPF non passano o si allineano (1)

->DKIM non passa o si allinea (d)

->SPF non passa o si allinea (s)

La modalità raccomandata è fo=1 che specifica che i rapporti forensi devono essere generati e inviati al tuo dominio ogni volta che le email falliscono i controlli di autenticazione DKIM o SPF.

Puoi generare il tuo record DMARC con il generatore gratuito di record DMARC di PowerDMARC, dove puoi selezionare i campi in base al livello di applicazione che desideri.

Notate che solo una politica di rifiuto può minimizzare il BEC e proteggere il vostro dominio da attacchi di spoofing e phishing.

Mentre DMARC può essere uno standard efficace per proteggere il vostro business contro le BEC, implementare DMARC correttamente richiede sforzi e risorse. Che tu sia un novizio dell'autenticazione o un aficionado dell'autenticazione, come pionieri dell'autenticazione e-mail, PowerDMARC è un'unica piattaforma SaaS di autenticazione e-mail che combina tutte le best practice di autenticazione e-mail come DMARC, SPF, DKIM, BIMI, MTA-STS e TLS-RPT, sotto lo stesso tetto per te. Noi vi aiutiamo:

  • Passare dal monitoraggio all'applicazione in poco tempo per tenere a bada la BEC
  • I nostri rapporti aggregati sono generati sotto forma di grafici e tabelle semplificate per aiutarvi a capirli facilmente senza dover leggere complessi file XML
  • Cifriamo i vostri rapporti forensi per salvaguardare la privacy delle vostre informazioni
  • Visualizza i tuoi risultati di autenticazione in 7 formati diversi (per risultato, per fonte di invio, per organizzazione, per host, statistiche dettagliate, rapporti di geolocalizzazione, per paese) sulla nostra dashboard user-friendly per una user-experience ottimale
  • Ottenere il 100% di conformità DMARC allineando le vostre e-mail sia con SPF che con DKIM in modo che le e-mail che falliscono uno dei punti di controllo dell'autenticazione non arrivino alle caselle di posta dei vostri destinatari

Come fa DMARC a proteggere da BEC?

Non appena impostate la vostra politica DMARC sulla massima applicazione (p=reject), DMARC protegge il vostro marchio dalle frodi via e-mail riducendo la possibilità di attacchi di impersonificazione e di abuso del dominio. Tutti i messaggi in entrata sono convalidati dai controlli di autenticazione SPF e DKIM per garantire che provengano da fonti valide.

SPF è presente nel tuo DNS come un record TXT, che mostra tutte le fonti valide che sono autorizzate a inviare e-mail dal tuo dominio. Il server di posta del destinatario convalida l'email contro il tuo record SPF per autenticarla. DKIM assegna una firma crittografica, creata usando una chiave privata, per convalidare le email nel server ricevente, dove il ricevitore può recuperare la chiave pubblica dal DNS del mittente per autenticare i messaggi.

Con la vostra politica di rifiuto, le email non vengono affatto consegnate alla casella di posta del vostro destinatario quando i controlli di autenticazione falliscono, indicando che il vostro marchio viene impersonato. Questo, in definitiva, tiene a bada gli attacchi BEC come lo spoofing e il phishing.

Il piano di base di PowerDMARC per le piccole imprese

Il nostro piano di base parte da soli 8 USD al mese, quindi le piccole imprese e le startup che cercano di adottare protocolli sicuri come DMARC possono facilmente usufruirne. I vantaggi che avrete a disposizione con questo piano sono i seguenti:

  • Risparmia il 20% sul tuo piano annuale
  • Fino a 2.000.000 di email conformi a DMARC
  • Fino a 5 domini
  • 1 anno di storia dei dati
  • 2 Utenti della piattaforma
  • BIMI ospitato
  • MTA-STS ospitato
  • TLS-RPT

Iscriviti oggi stessoa PowerDMARC e proteggi il dominio del tuo marchio minimizzando le possibilità di Business Email Compromise e le frodi via e-mail!