Messaggi

L'autenticazione delle e-mail è un aspetto cruciale del lavoro di un provider di posta elettronica. L'autenticazione delle email, conosciuta anche come SPF e DKIM, controlla l'identità di un fornitore di email. DMARC si aggiunge al processo di verifica di un'email controllando se un'email è stata inviata da un dominio legittimo attraverso l'allineamento, e specificando ai server riceventi come rispondere ai messaggi che falliscono i controlli di autenticazione. Oggi discuteremo i vari scenari che risponderanno alla vostra domanda sul perché DMARC fallisce.

DMARC è un'attività chiave nella vostra politica di autenticazione della posta elettronica per aiutare a prevenire che le email "spoofed" falsificate passino i filtri antispam transazionali. Ma è solo un pilastro di un programma generale anti-spam e non tutti i rapporti DMARC sono uguali. Alcuni vi diranno l'esatta azione che i ricevitori di posta hanno fatto su ogni messaggio, e altri vi diranno solo se un messaggio ha avuto successo o no. Capire perché un messaggio non è andato a buon fine è importante quanto sapere se è andato a buon fine. Il seguente articolo spiega i motivi per cui i messaggi falliscono i controlli di autenticazione DMARC. Queste sono le ragioni più comuni (alcune delle quali possono essere facilmente risolte) per le quali i messaggi possono fallire i controlli di autenticazione DMARC.

Ragioni comuni per cui i messaggi possono fallire DMARC

Identificare il motivo del fallimento di DMARC può essere complicato. Tuttavia, andrò oltre alcune ragioni tipiche, i fattori che contribuiscono ad esse, in modo che voi, come proprietario del dominio, possiate lavorare per correggere il problema più prontamente.

Fallimenti nell'allineamento DMARC

DMARC fa uso dell'allineamento dei domini per autenticare le vostre e-mail. Questo significa che DMARC verifica se il dominio menzionato nell'indirizzo Da (nell'intestazione visibile) è autentico confrontandolo con il dominio menzionato nell'intestazione nascosta Return-path (per SPF) e nell'intestazione della firma DKIM (per DKIM). Se entrambi corrispondono, l'email passa DMARC, altrimenti DMARC fallisce.

Quindi, se le vostre email stanno fallendo DMARC può essere un caso di disallineamento del dominio. Cioè né gli identificatori SPF né DKIM sono allineati e l'email sembra essere inviata da una fonte non autorizzata. Questo però è solo uno dei motivi per cui DMARC fallisce.

Modalità di allineamento DMARC 

Anche la modalità di allineamento del protocollo gioca un ruolo enorme nei messaggi che passano o non passano DMARC. Puoi scegliere tra le seguenti modalità di allineamento per l'autenticazione SPF:

  • Rilassato: questo significa che se il dominio nell'intestazione Return-path e il dominio nell'intestazione From sono semplicemente una corrispondenza organizzativa, anche allora SPF passerà.
  • Rigoroso: Questo significa che solo se il dominio nell'intestazione Return-path e il dominio nell'intestazione From corrispondono esattamente, solo allora SPF passerà.

Si può scegliere tra le seguenti modalità di allineamento per l'autenticazione DKIM:

  • Rilassato: questo significa che se il dominio nella firma DKIM e il dominio nell'intestazione From è semplicemente una corrispondenza organizzativa, anche allora DKIM passerà.
  • Rigoroso: Questo significa che solo se il dominio nella firma DKIM e il dominio nell'intestazione From corrispondono esattamente, solo allora il DKIM passerà.

Si noti che per le e-mail per passare l'autenticazione DMARC, è necessario allineare SPF o DKIM.  

Non impostare la firma DKIM 

Un caso molto comune in cui il tuo DMARC può fallire è che non hai specificato una firma DKIM per il tuo dominio. In questi casi, il tuo fornitore di servizi di scambio e-mail assegna una firma DKIM predefinita alle tue e-mail in uscita che non si allinea con il dominio nell'intestazione Da. L'MTA ricevente non riesce ad allineare i due domini, e quindi DKIM e DMARC falliscono per il tuo messaggio (se i tuoi messaggi sono allineati sia con SPF che DKIM).

Non aggiungere sorgenti di invio al tuo DNS 

E' importante notare che quando impostate DMARC per il vostro dominio, gli MTA riceventi eseguono query DNS per autorizzare le vostre fonti di invio. Questo significa che a meno che non abbiate tutte le vostre fonti di invio autorizzate elencate nel DNS del vostro dominio, le vostre email falliranno DMARC per quelle fonti che non sono elencate, poiché il ricevitore non sarebbe in grado di trovarle nel vostro DNS. Quindi, per garantire che le vostre email legittime siano sempre consegnate, assicuratevi di fare le voci su tutti i vostri fornitori di email autorizzati di terze parti che sono autorizzati a inviare email per conto del vostro dominio, nel vostro DNS.

In caso di inoltro di e-mail

Durante l'inoltro dell' email, l'email passa attraverso un server intermedio prima di essere consegnata al server ricevente. Durante l'inoltro delle email il controllo SPF fallisce poiché l'indirizzo IP del server intermediario non corrisponde a quello del server di invio, e questo nuovo indirizzo IP di solito non è incluso nel record SPF del server originale. Al contrario, l'inoltro delle email di solito non ha impatto sull'autenticazione DKIM delle email, a meno che il server intermediario o l'entità che inoltra faccia certe alterazioni nel contenuto del messaggio.

Poiché sappiamo che SPF inevitabilmente fallisce durante l'inoltro delle email, se nel caso in cui la fonte di invio è DKIM neutrale e si basa solo su SPF per la convalida, l'email inoltrata sarà resa illegittima durante l'autenticazione DMARC. Per risolvere questo problema, dovreste immediatamente optare per la piena conformità DMARC nella vostra organizzazione, allineando e autenticando tutti i messaggi in uscita sia con SPF che con DKIM, poiché affinché un'email passi l'autenticazione DMARC, l'email dovrebbe passare sia l'autenticazione che l'allineamento SPF o DKIM.

Il tuo dominio è stato spoofato

Se avete i vostri protocolli DMARC, SPF e DKIM configurati correttamente per il vostro dominio, con le vostre politiche di applicazione e record validi senza errori, e il problema non è nessuno dei casi sopra menzionati, allora la ragione più probabile per cui le vostre email stanno fallendo DMARC è che il vostro dominio viene spoofato o falsificato. Questo avviene quando gli impersonatori e gli attori delle minacce cercano di inviare e-mail che sembrano provenire dal vostro dominio utilizzando un indirizzo IP dannoso.

Lerecenti statistiche sulle frodi via e-mail hanno concluso che i casi di spoofing sono in aumento negli ultimi tempi e sono una minaccia molto grande per la reputazione della vostra organizzazione. In questi casi, se avete DMARC implementato su una politica di rifiuto, fallirà e l'email spoofed non sarà consegnata alla casella di posta del vostro destinatario. Quindi lo spoofing del dominio può essere la risposta al perché DMARC fallisce nella maggior parte dei casi.

Ti consigliamo di iscriverti al nostro DMARC Analyzer gratuito e di iniziare il tuo viaggio di segnalazione e monitoraggio DMARC.

  • Con una politica di nessuno puoi monitorare il tuo dominio con DMARC (RUA) Aggregate Reports e tenere d'occhio le tue email in entrata e in uscita, questo ti aiuterà a rispondere a qualsiasi problema di consegna indesiderato
  • Dopodiché vi aiutiamo a passare a una politica applicata che, in ultima analisi, vi aiuterà a ottenere l'immunità contro lo spoofing del dominio e gli attacchi di phishing.
  • Con l'aiuto del nostro motore di Threat Intelligence, è possibile eliminare gli indirizzi IP dannosi e segnalarli direttamente dalla piattaforma PowerDMARC per evitare futuri attacchi di impersonificazione.
  • I rapporti DMARC (RUF) Forensic di PowerDMARC vi aiutano a ottenere informazioni dettagliate sui casi in cui le vostre e-mail hanno fallito DMARC in modo da poter arrivare alla radice del problema e risolverlo

Previeni lo spoofing del dominio e monitora il tuo flusso di e-mail con PowerDMARC, oggi stesso!

Quando un'email viene inviata dal server di invio, direttamente al server ricevente, SPF e DKIM (se impostati correttamente) autenticano l'email normalmente e di solito la convalidano effettivamente come legittima o non autorizzata. Tuttavia, questo non è il caso se l'email passa attraverso un server di posta intermedio prima di essere consegnata al destinatario, come nel caso dei messaggi inoltrati. Questo blog ha lo scopo di illustrare l'impatto dell'inoltro delle email sui risultati dell'autenticazione DMARC.

Come già sappiamo, DMARC fa uso di due protocolli standard di autenticazione e-mail, cioè SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail), per convalidare i messaggi in entrata. Discutiamoli brevemente per capire meglio come funzionano prima di passare a come l'inoltro può influenzarli.

Struttura della politica del mittente

SPF è presente nel tuo DNS come un record TXT, che mostra tutte le fonti valide che sono autorizzate a inviare e-mail dal tuo dominio. Ogni email che lascia il tuo dominio ha un indirizzo IP che identifica il tuo server e il provider di servizi di posta elettronica utilizzato dal tuo dominio che è elencato all'interno del tuo DNS come un record SPF. Il server di posta del destinatario convalida l'email contro il tuo record SPF per autenticarla e di conseguenza segna l'email come SPF pass o fail.

Mail identificata da DomainKeys

DKIM è un protocollo standard di autenticazione e-mail che assegna una firma crittografica, creata utilizzando una chiave privata, per convalidare le e-mail nel server ricevente, dove il ricevitore può recuperare la chiave pubblica dal DNS del mittente per autenticare i messaggi. Molto simile a SPF, la chiave pubblica DKIM esiste anche come record TXT nel DNS del proprietario del dominio.

L'impatto dell'inoltro delle e-mail sui risultati dell'autenticazione DMARC

Durante l'inoltro delle email, l'email passa attraverso un server intermedio prima di essere consegnata al server ricevente. Prima di tutto è importante capire che l'inoltro delle email può essere fatto in due modi: o le email possono essere inoltrate manualmente, il che non influisce sui risultati dell'autenticazione, o possono essere inoltrate automaticamente, nel qual caso la procedura di autenticazione subisce un colpo se il dominio non ha il record per la fonte di invio intermedia nel suo SPF.

Naturalmente, di solito durante l'inoltro delle email il controllo SPF fallisce poiché l'indirizzo IP del server intermediario non corrisponde a quello del server di invio, e questo nuovo indirizzo IP di solito non è incluso nel record SPF del server originale. Al contrario, l'inoltro delle email di solito non ha impatto sull'autenticazione DKIM, a meno che il server intermediario o l'entità che inoltra non faccia certe alterazioni nel contenuto del messaggio.

Si noti che per un'email per passare l'autenticazione DMARC, l'email dovrebbe passare o l'autenticazione SPF o DKIM e l'allineamento. Poiché sappiamo che SPF inevitabilmente fallisce durante l'inoltro delle email, se nel caso in cui la fonte di invio è DKIM neutrale e si basa solo su SPF per la convalida, l'email inoltrata sarà resa illegittima durante l'autenticazione DMARC.

La soluzione? Semplice. Dovreste immediatamente optare per la piena conformità DMARC nella vostra organizzazione, allineando e autenticando tutti i messaggi in entrata sia con SPF che DKIM!

Raggiungere la conformità DMARC con PowerDMARC

È importante notare che per ottenere la conformità DMARC, le email devono essere autenticate con SPF o DKIM o entrambi. Tuttavia, a meno che i messaggi inoltrati non vengano convalidati contro DKIM, e si affidino solo a SPF per l'autenticazione, DMARC inevitabilmente fallirà come discusso nella nostra sezione precedente. Questo è il motivo per cui PowerDMARC vi aiuta a raggiungere la completa conformità DMARC allineando e autenticando efficacemente le email contro entrambi i protocolli di autenticazione SPF e DKIM. In questo modo, anche se i messaggi inoltrati autentici falliscono SPF, la firma DKIM può essere utilizzata per convalidarli come legittimi e l'email passa l'autenticazione DMARC, arrivando successivamente nella casella di posta del destinatario.

Casi eccezionali: DKIM fallito e come risolverlo?

In certi casi, l'entità che inoltra può alterare il corpo della posta facendo aggiustamenti nei confini MIME, implementando programmi anti-virus, o ricodificando il messaggio. In questi casi, sia l'autenticazione SPF che DKIM fallisce e le email legittime non vengono consegnate.

Nel caso in cui sia SPF che DKIM falliscano, PowerDMARC è in grado di identificare e visualizzare ciò nelle nostre viste aggregate dettagliate e protocolli come Authenticated Received Chain possono essere sfruttati dai server di posta per autenticare tali email. In ARC, l'header Authentication-Results può essere passato al prossimo 'hop' nella linea di consegna del messaggio, per mitigare efficacemente i problemi di autenticazione durante l'inoltro delle email.

Nel caso di un messaggio inoltrato, quando il server di posta elettronica del destinatario riceve un messaggio che ha fallito l'autenticazione DMARC, cerca di convalidare l'e-mail per una seconda volta, contro la catena di ricezione autenticata fornita per l'e-mail estraendo l'ARC Authentication-Results del salto iniziale, per controllare se è stato convalidato come legittimo prima che il server intermediario lo inoltrasse al server ricevente.

Quindi iscrivetevi oggi stesso a PowerDMARC e raggiungete la conformità DMARC nella vostra organizzazione!