Lasicurezza delle e-mail è sempre stata una sfida. Non basta criptare i messaggi per evitare che hacker e spammer li sfruttino. È qui che entra in gioco il concetto di valutazione DMARC. Il DMARC utilizza il DNS per specificare come trattare i messaggi di posta elettronica che non sono riusciti ad autenticare SPF, DKIMo entrambi.
In questo blog si parlerà di cos'è il DMARC, del perché ne avete bisogno e di come risolvere l'errore 521 5.2.1 failed DMARC evaluation.
Cos'è DMARC?
DMARC è l'acronimo di Domain-based Message Authentication, Reporting & Conformance, un protocollo di autenticazione delle e-mail basato sui protocolli SPF e DKIM. I messaggi vengono inviati dai server autorizzati al record SPF e/o alla firma DKIM del dominio conforme al DMARC. Se uno dei due controlli ha esito positivo, il messaggio viene consegnato. Tuttavia, il messaggio viene restituito non consegnato se non supera entrambi i controlli, in quanto non soddisfa i requisiti SPF o DKIM.
Nel 2021, il numero di criteri DMARC validi osservati in uso è aumentato dell'84%, per un totale di quasi 5 milioni di record unici, rispetto al 2020.
Che cos'è l'SPF
SPF è l'abbreviazione di Senders Policy Framework, un protocollo di autenticazione delle email che rileva e fornisce sicurezza per lo spoofing delle e-mail. Consente di creare un record DNS TXT in cui sono elencati tutti gli indirizzi IP autorizzati a inviare e-mail utilizzando il proprio dominio. SPF aiuta gli ISP o i server di posta elettronica a convalidare i messaggi provenienti da un particolare dominio.
Cos'è DKIM?
DKIM è l'acronimo di Domainkeys Identified Mail, un protocollo che consente di firmare digitalmente le e-mail. Viene utilizzato un identificatore unico che utilizza la crittografia a chiave pubblica e non un indirizzo IP. Quindi, il server ricevente confronta sempre gli hash privati e pubblici per vedere se corrispondono.
Se corrispondono, il messaggio viene convalidato, altrimenti viene contrassegnato come spam.
In che modo DMARC dipende da SPF e DKIM?
Il DMARC dipende dai protocolli di autenticazione delle e-mail SPF e DKIM. Permette di descrivere come i server dei destinatari devono gestire le e-mail non autorizzate provenienti dal vostro dominio. DMARC definisce un altro record DNS dove viene memorizzata la chiave pubblica del dominio di invio. Questi record consentono al server di posta elettronica ricevente di effettuare le seguenti operazioni:
- Verificare l'autenticazione del mittente per l'invio di e-mail dal dominio di origine utilizzando SPF.
- Autenticare i messaggi di posta elettronica verificando l'utilizzo della firma digitale impostata mediante la creazione di DKIM.
- Decidere come trattare le e-mail non autenticate dal server di posta del destinatario.
Sebbene gli amministratori dei sistemi di posta elettronica cerchino di essere prudenti nei confronti della posta non autenticata, il DMARC li aiuta a decidere come trattarla. Ciò avviene impostando uno dei tre criteri: nessuno, rifiuto o quarantena.
Tuttavia, è necessario formare il proprio team su come prevenire gli attacchi di phishing e BEC. attacchi BEC per mitigare il rischio.
Come il DMARC limita i miei messaggi
Ecco alcuni messaggi che potreste vedere in caso di valutazione DMARC fallita.
"521 5.2.1 non ha superato la valutazione DMARC: Questo messaggio non ha superato la valutazione DMARC ed è stato rifiutato a causa della politica DMARC fornita."
"550 5.7.1- L'e-mail non autenticata proveniente da dominio.tld non è accettata a causa della politica DMARC del dominio. Contattare l'amministratore del dominio domain.tld se si tratta di una mail legittima. Visitate https://support.google.com/mail/answer/2451690 per conoscere l'iniziativa DMARC. 62si14044909itw.103 - gsmtp".
Questi messaggi sono dovuti a errori DMARC. Ciò accade in genere quando i provider delle caselle di posta elettronica non accettano messaggi in cui il dominio Da è uno dei loro indirizzi e il messaggio viene inviato da un provider di servizi di dominio di posta non autorizzato.
Ecco perché gli account di Twilio SendGrid non possono inviare messaggi utilizzando un indirizzo From di Gmail, AOL o Yahoo a qualsiasi dominio che verifichi preventivamente il DMARC. Queste complicazioni rendono fondamentale sapere che cos'è la valutazione DMARC e come risolvere una valutazione fallita.
Se volete ancora inviare e-mail, dovrete cambiare il vostro indirizzo e-mail con un altro non protetto. È meglio utilizzare il proprio dominio e-mail, poiché è legittimo. È anche possibile utilizzare il dominio e-mail legittimo di un fornitore. Quindi, è possibile impostare il campo Rispondi a come l'indirizzo originale che è stato precedentemente impostato come indirizzo Da.
Va notato che le e-mail con valutazione DMARC fallita possono essere scartate e tracciate come Bloccate. Se volete inviarla senza problemi, modificate l'indirizzo Da come indicato sopra e poi provate a inviarla di nuovo.
Errore di sintassi
Mentre si apprende cos'è la valutazione DMARC, si potrebbe anche voler conoscere gli errori di sintassi nei record DNS. Gli errori SMTP più comuni iniziano con il codice 554 che indica il fallimento della transazione. È un errore permanente e il server non invia nuovamente il messaggio.
- Un errore permanente 554 5.7.5 che valuta la politica dmarc (Protonmail) si legge così;
La risposta del server remoto è stata:
554 5.7.5 errore permanente nella valutazione della politica DMARC
- Un errore 521 5.2.1 di valutazione della politica dmarc si legge così:
Questo messaggio non ha superato la valutazione DMARC ed è stato rifiutato a causa della politica DMARC fornita.
- Un errore 550 5.7.1 di valutazione della politica dmarc si legge così:
Le e-mail non autenticate provenienti da example.com non sono accettate a causa della politica dmarc del dominio.
Come risolvere l'errore 521 5.2.1 Failed Dmarc Evaluation?
Quali sono i passi da compiere per risolvere il problema 'questo messaggio non ha superato la valutazione DMARC"? ?
Per utilizzare il DMARC, è necessario allineare SPF e una firma DKIM personalizzata. Successivamente, è necessario assicurarsi che tutti i server di posta elettronica che utilizzano il proprio dominio siano aggiornati. Questo include anche quelli che l'azienda utilizza localmente prima di pubblicare un criterio DMARC. È necessario aggiornare la policy se si riceve un messaggio di rimbalzo che specifica un messaggio che non ha superato la valutazione DMARC a causa del mancato allineamento SPF o DKIM.
Potete consultare il nostro team di esperti DMARC per una guida e una configurazione adeguate.
