Messaggi

DMARC La delega di sottodomini può aiutare i proprietari di domini a delegare sottodomini o un dominio di primo livello a terzi in modo conforme al DMARC. In questo modo il nome del dominio del proprietario può essere riportato nell'indirizzo di posta Da: del mittente.

Quando si delegano i sottodomini a un provider DNS di terze parti, l'organizzazione delegata diventa responsabile di tutte le richieste DNS relative a tali sottodomini. L'organizzazione delegata ha accesso anche ai record MX e ai record TXT del sottodominio, anche se non può visualizzare queste impostazioni a meno che non sia configurata in modo specifico.

Che cos'è la delega di zona DNS?

La delega DNS è il processo con cui un server DNS autorizza un altro server DNS a eseguire azioni autoritative per conto di quel server. Ciò consente un uso più efficiente delle risorse, soprattutto quando si tratta di implementazioni su larga scala.

Ad esempio, se la vostra azienda dispone di centinaia di server distribuiti su diversi siti, potreste voler delegare l'autorità su tali server in modo che solo un server sia responsabile di tutti i record di una zona. In questo modo, se un sito va in tilt, gli altri siti saranno comunque in grado di risolvere i loro server di nomi e di accedere ai loro dati senza problemi.

Perché la delega di zona è importante o vantaggiosa?

La delega di zona DNS è una parte importante dell'infrastruttura DNS.

La zona DNS, o dominio, è un insieme di uno o più server DNS autorevoli per un determinato dominio. Quando si dispone di un singolo server DNS, questo viene chiamato server DNS primario. Se si dispone di più server DNS, tutti sono chiamati server secondari.

La delega di zona consente di designare uno o più server dei nomi come server secondari per la zona. L'obiettivo principale della delega di zona, come giustamente sottolineato da Microsoft nel documento Documento sulla delega di zonaè quello di creare ridondanza nell'ambiente DNS e di consentire l'aggiunta di nuovi server dei nomi o la modifica della loro configurazione senza disturbare il resto della rete.

Cos'è la delega di sottodominio?

La delega del sottodominio è un ottimo modo per delegare il controllo del proprio dominio a un'altra persona o entità. È nota anche come trasferimento di sottodomini, gestione di sottodomini e proxy di sottodomini e può essere utilizzata per molti scopi diversi.

Che cosa significa per voi la delega del sottodominio?

Quando delegate il vostro dominio, state essenzialmente dando a qualcun altro il permesso di gestire il vostro dominio per vostro conto. Ciò significa che la persona che riceve il vostro dominio sarà in grado di fare tutto ciò che vuole, sia che si tratti di aggiungere altri domini, sia che si tratti di modificare le impostazioni DNS o addirittura di cancellare del tutto il dominio. Sta a loro decidere!

Come funziona la delega del sottodominio?

I sottodomini sono come i normali domini: hanno un nome e un indirizzo IP. La differenza tra un dominio e un sottodominio è che i sottodomini si trovano sotto un altro nome di dominio (come "example.com"). Per utilizzarli in modo efficace, sono necessari tre elementi: un nome host che corrisponda al nome del dominio originale, un indirizzo IP che corrisponda a quello assegnato al momento della creazione del dominio originale (che può essere o meno lo stesso di quello attuale) e i diritti di accesso concessi da chi lo controlla. 

La delega del sottodominio DMARC vi semplifica la vita?

Ci sono diversi motivi per cui potreste voler delegare i vostri sottodomini a un provider di terze parti. Di seguito ne riportiamo alcuni: 

  • Volete che l'identità e il nome del vostro dominio si riflettano sulle e-mail che le terze parti inviano attraverso i loro server dei nomi.
  • Le vostre e-mail saranno conformi al DMARC in quanto sembreranno provenire dal vostro dominio e, poiché avrete il pieno controllo del sottodominio, potrete apportare modifiche al DNS a vostro piacimento.
  • Tutte le e-mail originate dai server dei nomi con i vostri sottodomini delegati passeranno il controllo SPF e quindi l'autorizzazione DMARC
  • In questo modo la consegna delle e-mail avverrà in modo fluido e senza interruzioni. 

Come delegare un sottodominio a un provider terzo?

Nota: Per la delega del sottodominio, è necessario disporre di un sottodominio registrato presso l'attuale provider DNS e delle informazioni sul nameserver del terzo.

  • Accedere al pannello di controllo della propria società di registrazione DNS 
  • Nel file di zona DNS, creare un nuovo record NS (nameserver) 
  • Inserire il nome del sottodominio nel campo Nome, le informazioni sul nameserver seguite da un punto (.) nel campo Valore e un TTL di 1800 o 3600. 
  • Salvare le modifiche al record e attendere che il DNS aggiorni le modifiche.

È possibile seguire la stessa procedura per delegare il sottodominio a tutti i nameserver del provider di terze parti. 

Infine, per concludere il processo di delega del sottodominio, è necessario aggiungere il sottodominio al file di zona DNS del provider di terze parti e il gioco è fatto! 

Conformità DMARC e terze parti 

La conformità delle terze parti al protocollo DMARC è un buon modo per assicurarsi che non si verifichino falsi negativi. Molto spesso, infatti, un'e-mail legittima non viene consegnata dal destinatario e viene contrassegnata come spam a causa di un allineamento di terze parti non correttamente configurato per il protocollo DMARC. 

Abbiamo dedicato un intero blog a su come rendere i vostri fornitori di terze parti conformi al DMARC.

Per maggiori informazioni, contattateci oggi stesso e prenotate una consulenza gratuita con un esperto DMARC!

La rotazione delle chiavi DKIM è il processo di aggiornamento delle tue chiavi DKIM. Dovresti ruotare le tue chiavi periodicamente - il periodo esatto non è importante, ma lo è il processo stesso. Perché dovreste farlo? La rotazione delle chiavi si riferisce alla creazione di nuove chiavi e all'aggiornamento dei record DNS con queste nuove chiavi. Lo scopo di ruotare le chiavi DKIM è simile al motivo per cui potreste cambiare le vostre password periodicamente: è una misura di sicurezza che aiuta a prevenire che gli aggressori impersonino il vostro dominio e inviino spam o email di phishing.

Diamo un'occhiata al perché si usano le chiavi DKIM in primo luogo.

Perché si usano le chiavi DKIM?

DKIM sta per DomainKeys Identified Mail. È un modo per aggiungere un ulteriore livello di sicurezza al tuo server di posta elettronica in modo che le tue e-mail non vengano contrassegnate come spam e finiscano nelle cartelle di spam. Il modo migliore per pensare al DKIM è come un identificatore crittografato allegato ai tuoi messaggi in modo che i destinatari possano verificare che il messaggio sia stato effettivamente inviato da te, la persona che sostiene di provenire. Questo identificatore, o chiave, è ciò che permette loro di verificarlo.

Come funziona DKIM?

DKIM funziona aggiungendo questo identificatore ad ogni email che viene inviata. Quando qualcuno riceve una di queste e-mail, può controllare l'intestazione o il piè di pagina del messaggio e trovare una stringa di numeri e lettere, che è l'identificatore criptato o chiave DKIM. Prima che un'e-mail venga inviata al suo destinatario, il server di posta elettronica del mittente firma ogni e-mail con una firma digitale, che viene poi convalidata dal server di posta elettronica ricevente. Questo processo prova che l'e-mail non è stata manomessa o alterata in alcun modo. 

Quando invii la tua e-mail, la firma è allegata come intestazione alla fine del messaggio. I server dei destinatari usano le chiavi pubbliche (fornite dai proprietari dei domini attraverso i record DNS) per decifrare e verificare queste firme.

Perché la rotazione delle chiavi DKIM è importante per la sicurezza del tuo dominio?

La rotazione delle chiavi DKIM è quando inizi a usare una nuova coppia di chiavi private/pubbliche per firmare e autenticare il tuo messaggio e poi smetti di usare la vecchia coppia di chiavi private/pubbliche.

Perché è importante? Beh, se qualcuno fosse in grado di ottenere l'accesso alla tua chiave privata, potrebbe effettivamente usarla per inviare email fraudolente che sembrano provenire da te! Per prevenire questo tipo di attività malevole, è meglio ruotare le tue chiavi ogni pochi mesi.

Per capire meglio l'importanza della rotazione delle chiavi DKIM, diamo un'occhiata a questo esempio: 

Diciamo che invii una campagna di email per una vendita natalizia nel tuo negozio. Usate le vostre chiavi DKIM per firmare le vostre email, ma se inviate abbastanza email usando la stessa coppia di chiavi nel tempo, i cattivi attori potrebbero alla fine intercettarne e decodificarne una, dato che ogni messaggio usa lo stesso algoritmo di hash crittografico. Una volta che hanno la tua chiave pubblica, possono iniziare a firmare le loro email di phishing con essa senza che tu lo sappia! Ecco perché la rotazione periodica delle chiavi DKIM è fondamentale per la sicurezza del tuo dominio.

Come potete ruotare le vostre chiavi DKIM?

1. Rotazione manuale della chiave DKIM

Puoi ruotare manualmente le tue chiavi DKIM di tanto in tanto creando nuove chiavi per il tuo dominio. Per farlo segui questi passi: 

  • Vai al nostro generatore di record DKIM gratuito generatore di record DKIM strumento
  • Inserisci le informazioni del tuo dominio e inserisci il selettore DKIM desiderato di tua scelta 
  • Premi il pulsante "Genera 
  • Copia la tua nuova coppia di chiavi DKIM 
  • La chiave pubblica deve essere pubblicata sul tuo DNS, sostituendo il tuo record precedente
  • La chiave privata deve essere condivisa con il tuo ESP (se stai esternalizzando le tue email) o caricata sul tuo server email (se gestisci il trasferimento delle email in sede) 

2. Delega della chiave DKIM del sottodominio

I proprietari di domini possono esternalizzare la rotazione delle chiavi DKIM permettendo a una terza parte di gestirla per loro. Questo avviene quando il proprietario del dominio delega un sottodominio dedicato a un fornitore di posta elettronica e chiede loro di generare una coppia di chiavi DKIM per loro conto. Questo permette ai proprietari di evitare il fastidio della rotazione delle chiavi DKIM esternalizzando la responsabilità a una terza parte. 

Questo però può causare problemi di override delle policy con le voci DMARC. Si raccomanda che le chiavi ruotate siano monitorate e riviste dai controllori di dominio per assicurare un'implementazione regolare e senza errori. 

3. Delega di chiave DKIM CNAME

CNAME sta per nome canonico, e sono record DNS che vengono utilizzati per puntare ai dati di un dominio esterno. La delega CNAME permette ai proprietari di domini di puntare alle informazioni dei record DKIM che sono mantenuti da qualsiasi terza parte esterna. Questo è simile alla delega di sottodominio, poiché il proprietario del dominio è solo tenuto a pubblicare alcuni record CNAME sul proprio DNS, mentre l'infrastruttura DKIM e la rotazione delle chiavi DKIM sono gestite dalla terza parte a cui il record punta. 

Per esempio, 

"domain.com" è il dominio da cui le email originarie devono essere firmate, e "third-party.com" è il fornitore che gestirà il processo di firma. 

s1._domainkey.domain.com CNAME s1.domain.com.third-party.com

Il suddetto record CNAME deve essere pubblicato nel DNS del proprietario del dominio. 

Ora, s1.domain.com.third-party.com ha già un record DKIM pubblicato sul suo DNS che può essere: s1.domain.com.third-party.com TXT "v=DKIM1; p=MIG89hdg599...."

Queste informazioni saranno utilizzate per firmare le e-mail provenienti da domain.com. 

Nota: È necessario pubblicare più record DKIM (raccomandato: almeno 3 record CNAME) con diversi selettori sul tuo DNS per permettere la rotazione delle chiavi DKIM. Questo permetterà al tuo fornitore di passare da una chiave all'altra durante la firma e di fornire loro delle opzioni alternative.

4. Rotazione automatica della chiave DKIM

La maggior parte dei venditori di email e dei fornitori di servizi email di terze parti abilitano la rotazione automatica delle chiavi DKIM per i clienti. Per esempio, se stai usando Office 365 per instradare le tue email, sarai felice di sapere che Microsoft supporta la rotazione automatica delle chiavi DKIM per i suoi utenti di Office 365. 

Abbiamo coperto un documento completo su come abilitare la rotazione delle chiavi DKIM per le tue email di Office 365 sulla nostra knowledge base. 

Vantaggi della rotazione automatica delle chiavi DKIM

  • Non devi fare nulla da parte tua se il tuo fornitore permette la rotazione automatica delle chiavi DKIM. Tutto è gestito da loro. 
  • Le configurazioni manuali sono soggette a errori umani.
  • La rotazione automatica dei tasti è rapida ed efficace e non richiede alcuna interferenza da parte vostra. 
  • Il sistema di gestione DKIM è completamente esternalizzato e gestito da una terza parte.

Implementare una strategia di rotazione delle chiavi DKIM

Lo chiamiamo il "3 D della rotazione delle chiavi DKIM":

  • Discutere 
  • Decidere
  • Distribuire 

Questo riassume un'efficace strategia di rotazione delle chiavi DKIM per i vostri domini. Quando vi avvalete di un qualsiasi servizio di terze parti per le vostre email e il vostro fornitore gestisce la rotazione per voi, assicuratevi di avere una discussione aperta e trasparente su quando e quanto frequentemente volete ruotare le vostre chiavi. Dovreste avere voce in capitolo per quanto riguarda le tempistiche così come la dimensione che volete usare per la vostra chiave selettiva (se volete usare 1024 bit o 2048 bit per una maggiore sicurezza). 

Una volta passata la fase di discussione, voi e il vostro fornitore dovete decidere insieme quale sia la vostra strategia e infine procedere all'implementazione della stessa.