All'interno del DMARC esiste un criterio di quarantena p=quarantena che significa che i messaggi di posta elettronica vengono etichettati come spam e quindi inoltrati al proprietario del dominio per essere esaminati. In questo modo, la maggior parte dei domini spoofing viene catturata in anticipo. Questa guida ha lo scopo di aiutarvi a capire cos'è la quarantena DMARC e come funziona DMARC con il criterio p=quarantena.
Cos'è la quarantena DMARC?
DMARC Quarantine è una delle tre politiche DMARC (le altre due sono p=none e p=reject) che istruisce il server di ricezione delle email a mettere tutte le email che falliscono l'autenticazione DMARC nella cartella spam/junk del destinatario.
Quando si imposta una politica DMARC su p=quarantenastate dicendo ai server email che se un'email fallisce l'autenticazione DMARC, il server dovrebbe mettere in quarantena quell'email. "Mettere in quarantena" un'email significa che sarà ancora consegnata alla casella di posta del destinatario, ma sarà contrassegnata come sospetta e inviata alla cartella spam del destinatario (o "posta spazzatura") invece che alla casella di posta.
Ecco come potete localizzare la vostra cartella spam su GMAIL.
| Un record DMARC con il criterio di quarantena può avere il seguente aspetto:
v=DMARC1; p=quarantena; rua=mailto:dmarc-agg@example.com; |
Come viene eseguita la politica di quarantena DMARC?
Una politica di quarantena significa che i provider di posta elettronica che ricevono i messaggi dalla tua parte controlleranno con DMARC per vedere se il messaggio ha passato l'autenticazione DKIM o SPF, e controlleranno anche se il dominio trovato nell'indirizzo corrisponde ai domini trovati nell'allineamento degli identificatori SPF o DKIM. Se i criteri sono soddisfatti, allora il provider di posta elettronica consegnerà il tuo messaggio alla casella di posta dell'utente. Tuttavia, se questi criteri non sono soddisfatti, allora il provider di posta elettronica metterà il tuo messaggio nella cartella spam o lo rifiuterà definitivamente
Un'analisi passo dopo passo del funzionamento della politica di quarantena DMARC
1. Quando un'email viene inviata, il ricevitore controlla l'esistenza di un record DMARC.
2. Se il messaggio non riesce a passare SPF o DKIM, allora viene valutato in base ai parametri di allineamento del dominio nel record DMARC, che vengono passati con il controllo DMARC. L'allineamento del dominio si riferisce al fatto che il dominio in un indirizzo From corrisponda o meno al dominio in un record SPF.
3. Le opzioni di trattamento definite da una politica DMARC si basano su quanto il messaggio sia strettamente allineato con un dominio di invio.
4. Se il mittente supera l'autenticazione, allora sarà consegnato come al solito.
5. Al contrario, se non è strettamente allineato, allora viene eseguita la politica DMARC applicata (che nel nostro caso è p=quarantena).
6. La politica DMARC p=quarantena istruirà il server ricevente a trattare le email che falliscono l'autenticazione DMARC come sospette; non saranno consegnate direttamente alla casella di posta dell'utente, ma non saranno nemmeno scartate completamente. Saranno messe in una cartella spam o junk o contrassegnate in qualche modo in modo che l'utente sappia che l'email non è autentica.
Importanza della politica di quarantena DMARC
DMARC è uno strumento efficace per prevenire lo spoofing delle e-mail, e la politica di quarantena è un ottimo modo per mantenere la tua casella di posta sicura senza fare molti cambiamenti al tuo sistema.
Usando p=quarantena dice al tuo server di posta ricevente che tutte le email che non hanno il tuo nome di dominio nel campo "From" (o qualsiasi altro criterio impostato) dovrebbero essere messe in quarantena per default.
Per esempio:
Se uno spammer cerca di inviare un'email da "admin@yourdomain.com" ma non ha accesso alle informazioni necessarie per firmarla con DKIM o SPF, allora l'email verrà messa in quarantena invece che consegnata. Questo protegge la tua casella di posta da molti messaggi indesiderati.
La politica di quarantena è ottima anche perché riduce i falsi positivi - dal momento che stai solo dicendo al tuo server di posta ricevente di mettere in quarantena tutte le email che non soddisfano un determinato criterio, non hai bisogno di preoccuparti di identificare quali email sono dannose e quali provengono da fonti legittime.
Il significato della quarantena DMARC spiegato con un esempio
Diciamo che sei un rappresentante delle risorse umane per una società chiamata Akme. Un giorno, il tuo capo ti manda un'e-mail chiedendoti di trasferire 1.000 dollari sul conto bancario di un fornitore chiamato Dynamic Corp.
Non hai mai sentito parlare di questo fornitore. Non pensi nemmeno che la tua azienda lavori con i venditori!
Ma dato che il messaggio proviene dall'indirizzo email del tuo capo e non da un account casuale, supponi che sia legittimo. Quindi trasferisci il denaro.
Il giorno dopo, il tuo capo ti chiede perché hai inviato alla DynamicCorp 1.000 dollari. Tu gli dici che pensavi che te l'avesse chiesto lui. Lui ti dice che è stato qualcuno che fingeva di essere lui ad inviare l'e-mail in questione e che in realtà non ti ha mai chiesto di fare quel pagamento!
Con la politica di quarantena DMARC, questo non succede mai. Se Akme ha stabilito una politica di quarantena DMARC tramite il protocollo DMARC (pubblicando un record DMARC TXT), quando qualcuno si fa beffe del dominio Akme e invia un'email come questa che si spaccia per Akme HR, la casella di posta del destinatario segnalerà il messaggio come spam o posta spazzatura, prevenendo il problema prima ancora che possa iniziare.
La percentuale raccomandata di messaggi in quarantena nel record DMARC
Quando stai impostando il tuo record DMARC, è importante ricordare che l'azione di quarantena può farti perdere alcune buone email. E' qui che entra in gioco il valore percentuale, che dice ai server di posta ricevente quale percentuale di email dovrebbe essere trattata come spam. Questo significa che per ogni 100 email, solo [x] sarà messo in quarantena.
Per le piccole organizzazioni, consigliamo un valore del 10%. Ciò significa che se qualcuno vi invia un'e-mail che non supera il controllo DMARC, c'è solo una possibilità su dieci che venga messa in quarantena come spam. In questo modo, si riduce il rischio di perdere messaggi legittimi, pur potendo testare l'impostazione del DMARC su e-mail reali.
Raccomandiamo una percentuale molto più bassa per le grandi organizzazioni, circa l'1%. Per le grandi organizzazioni, questo significa che se qualcuno invia un'email che fallisce l'autenticazione DMARC c'è una possibilità su 100 che venga messa in quarantena come spam. Quando si gestisce una grande organizzazione, potrebbe essere necessario fidarsi di certi mittenti basandosi solo sul loro indirizzo IP o nome di dominio - per esempio, se l'edificio del vostro ufficio si trova in uno spazio condiviso e ha un unico indirizzo IP per tutti gli inquilini.
| Un esempio di record DMARC con il tag percentuale:
v=DMARC1; p=quarantena; pct=10%; adkim=r; aspf=r; rua=mailto:dmarc-agg@example.com; pct= rappresenta la percentuale di email che volete campionare. Quindi se hai un tag pct che dice 100, allora ogni email sarà campionata. Se hai un tag pct che dice 10, allora 1 email su 10 sarà campionata. |
p=nessuno VS p=quarantena VS p=rigetto
- p=none significa semplicemente che i server dei destinatari monitoreranno le e-mail provenienti dal vostro dominio, ma non bloccheranno i messaggi che potrebbero essere fraudolenti. È un buon modo per iniziare a monitorare le frodi, ma non fa molto per impedirle.
- p=quarantena è un modo per dire ai server dei destinatari che volete che mettano nella cartella spam della loro casella di posta elettronica tutte le e-mail inviate dal vostro dominio che non superano i controlli SPF o DKIM, invece che nella loro casella di posta elettronica normale.
- p=reject porta le cose un passo avanti dicendo al server del destinatario di rifiutare effettivamente qualsiasi email inviata dal tuo dominio che fallisce i controlli SPF o DKIM. Questo significa che quelle email non raggiungeranno mai la casella di posta (o anche la cartella spam) dell'utente che le riceve.
Speriamo che tu abbia capito cos'è e come funziona la quarantena DMARC. Se sei interessato a saperne di più su DMARC, PowerDMARC offre una varietà di strumenti per aiutare il processo. Questi includono un analizzatore di rapporti DMARC che riassume il vostro attuale record DMARC e rileva qualsiasi problema esistente, così come un generatore SPF in modo da poter creare i propri record SPF per il tuo dominio gratuitamente.
- SPF Softfail Vs Hardfail: Qual è la differenza? - 26 aprile 2024
- L'FTC segnala che l'e-mail è un mezzo popolare per le truffe di impersonificazione - 16 aprile 2024
- SubdoMailing e l'ascesa del subdomain phishing - 18 marzo 2024