Perché il DMARC non funziona? Risolvere il fallimento del DMARC nel 2024
Con oltre 4,48 miliardi di utenti di e-mail in tutto il mondo inviano innumerevoli messaggi ogni giorno, DMARC diventa un grosso problema. DMARC, acronimo di Domain-based Message Authentication, Reporting, and Conformance, è un protocollo di sicurezza che protegge le e-mail da attacchi di impersonificazione e phishing. Tuttavia, a volte il DMARC fallisce e potenzialmente interrompe la consegna delle e-mail.
Il fallimento del DMARC può essere frustrante, soprattutto se ci si affida alle e-mail per lavoro. Possono anche impedire alle vostre e-mail di raggiungere i destinatari previsti. Si noti che il DMARC richiede il superamento di SPF o DKIM quando entrambi sono implementati. Tuttavia, se il DMARC si basa solo su SPF o DKIM, il fallimento di uno dei due protocolli causerà il fallimento dell'autenticazione DMARC.
I motivi più comuni per cui il DMARC non funziona sono:
- Errori di allineamento DMARC
- Mancata corrispondenza della firma DKIM
- Impersonificazione della fonte di invio
- Spoofing del dominio
In breve, se il DMARC fallisce, l'e-mail non supera l'autenticazione DMARC. Un errore DMARC può avere un impatto sulle vostre attività di email marketing e ridurre significativamente i tassi di recapito delle vostre email.
In questo articolo imparerete:
- Perché è importante prevenire i fallimenti DMARC
- Motivi comuni per cui il DMARC non funziona
- Come risolvere gli errori DMARC
Panoramica del DMARC
DMARC è l'acronimo di Domain-based Message Authentication, Reporting, and Conformance. È un protocollo di autenticazione delle e-mail che fornisce un ulteriore livello di sicurezza aiutando a prevenire gli attacchi di spoofing e phishing. Il DMARC consente ai proprietari di domini di pubblicare record DNS contenenti criteri. Queste politiche istruiscono i server di posta elettronica riceventi su come gestire le e-mail che dichiarano di provenire dal loro dominio.
È possibile utilizzare il DMARC per rifiutare o mettere in quarantena le e-mail non autorizzate, garantendo un migliore controllo sulla consegna delle e-mail. Il DMARC genera anche rapporti che forniscono informazioni preziose sui fallimenti dell'autenticazione delle e-mail.
Ecco alcune statistiche recenti sul DMARC nei vari settori:
- Il settore DMARC ha registrato una crescita dell'85% nel 2019
- Nel 2021, il numero di criteri DMARC validi è aumentato dell'84%.
- Nel 2021 sono stati aggiunti 5 milioni di nuovi record DMARC rispetto al 2020.
- Il software globale software DMARC si prevede che raggiungerà quasi 800 milioni di dollari entro il 2030.
Nel complesso, il DMARC contribuisce a migliorare la sicurezza delle e-mail applicando i controlli di autenticazione e consentendo alle organizzazioni di proteggere la reputazione del proprio marchio e gli utenti dalle minacce basate sulle e-mail.
Perché il DMARC fallisce?
Il fallimento del DMARC può essere dovuto a vari motivi, tra cui errori di autenticazione SPF e DKIM, disallineamento tra il dominio "Da", SPFe DKIMproblemi di inoltro o di servizi di terze parti che modificano le firme delle e-mail, politiche DMARC mal configurate e tentativi di spoofing di domini legittimi da parte di malintenzionati.
Il mancato rispetto del DMARC può causare problemi di autenticazione delle e-mail, potenziali problemi di consegna e un aumento del rischio di attacchi di phishing. La comprensione di queste cause e l'implementazione di configurazioni e misure di autenticazione adeguate possono contribuire a migliorare la conformità al DMARC e ad aumentare la sicurezza delle e-mail. sicurezza delle e-mail.
I motivi più comuni per cui il DMARC fallisce possono essere: errori di allineamento, disallineamento della fonte di invio, problemi con la firma DKIM, email inoltrate, ecc. Analizziamoli uno per uno:
1. Fallimenti di allineamento DMARC
Il DMARC utilizza l'allineamento dei domini per autenticare le e-mail. Ciò significa che il DMARC verifica se il dominio menzionato nell'indirizzo From (nell'intestazione visibile) è autentico, confrontandolo con il dominio menzionato nell'intestazione nascosta Return-path (per SPF) e nell'intestazione della firma DKIM (per DKIM). Se una delle due corrispondono, l'e-mail passa il DMARC, altrimenti il DMARC fallisce.
Pertanto, se le vostre e-mail non superano il DMARC, può trattarsi di un caso di disallineamento del dominio. In altre parole, gli identificatori SPF e DKIM non sono allineati e l'e-mail sembra essere inviata da una fonte non autorizzata. Questa, tuttavia, è solo una delle ragioni del fallimento del DMARC.
Modalità di allineamento DMARC
Anche la modalità di allineamento del protocollo può portare al fallimento del DMARC. È possibile scegliere tra le seguenti modalità di allineamento per l'autenticazione SPF:
- Rilassato: Significa che se il dominio nell'intestazione Return-path e il dominio nell'intestazione From sono semplicemente una corrispondenza organizzativa, anche in questo caso l'SPF passerà.
- Rigoroso: Significa che solo se il dominio nell'intestazione Return-path e il dominio nell'intestazione From corrispondono esattamente, l'SPF passerà.
Si può scegliere tra le seguenti modalità di allineamento per l'autenticazione DKIM:
- Rilassato: Significa che se il dominio nella firma DKIM e il dominio nell'intestazione From corrispondono semplicemente all'organizzazione, anche il DKIM passerà.
- Rigoroso: Significa che solo se il dominio nella firma DKIM e il dominio nell'intestazione From corrispondono esattamente, il DKIM passa.
Si noti che per le e-mail per passare l'autenticazione DMARC, è necessario allineare SPF o DKIM.
2. La firma DKIM non è impostata
Un caso molto comune in cui il DMARC può fallire è che non sia stata specificata una firma DKIM per il vostro dominio. In questi casi, il vostro provider di servizi di scambio di e-mail assegna una firma DKIM predefinita firma DKIM alle e-mail in uscita che non corrispondono al dominio indicato nell'intestazione From. In questi casi, l'MTA ricevente non riesce ad allineare i due domini e trova una mancata corrispondenza. Ciò comporta il fallimento di DKIM e DMARC per il messaggio.
3. Fonti di invio non aggiunte al DNS
È importante notare che quando si impostare il DMARC per il proprio dominio con SPF, gli MTA riceventi eseguono query DNS per autorizzare le fonti di invio. Ciò significa che, a meno che tutte le fonti di invio autorizzate non siano elencate nel DNS del vostro dominio, le vostre e-mail non supereranno l'SPF e quindi il DMARC per le fonti non elencate, poiché il destinatario non sarà in grado di trovarle nel vostro DNS.
Pertanto, per garantire che le vostre e-mail legittime vengano sempre recapitate, assicuratevi di inserire nel vostro record DNS SPF tutte le voci relative ai fornitori di e-mail di terze parti autorizzati a inviare e-mail per conto del vostro dominio.
4. Posta elettronica inoltrata tramite server intermediari
In un tipico scenario di inoltro di e-mail, tra due server principali comunicanti sono coinvolti altri server. Si tratta dei cosiddetti server intermedi. L'e-mail può passare attraverso uno o più di questi server intermedi prima di essere consegnata al server di destinazione principale o al server del destinatario. Il controllo SPF fallisce perché l'indirizzo IP del server intermedio non corrisponde a quello del server di invio e questo nuovo indirizzo IP non è solitamente incluso nel record SPF del server originale.
Fortunatamente, l'inoltro delle e-mail di solito non ha alcun impatto sui risultati dell'autenticazione DKIM. In alcuni rari casi, il server intermediario può apportare alcune modifiche al contenuto, come l'aggiunta o l'alterazione dei piè di pagina dei messaggi, che possono portare a un errore. Tali scenari, tuttavia, non sono così comuni.
Per risolvere questo problema, è necessario optare immediatamente per la piena conformità DMARC nella propria organizzazione, allineando e autenticando tutti i messaggi in uscita sia con SPF che con DKIM. Il DMARC è valido per il messaggio se SPF o DKIM sono validi per l'e-mail.
Leggete il link correlato: Inoltro di e-mail e DMARC
5. Il vostro dominio è oggetto di spoofing
Se tutto va bene dal punto di vista dell'implementazione, è possibile che le vostre e-mail non riescano a superare il DMARC a causa di un attacco di spoofing. Si tratta di un attacco in cui gli imitatori e gli attori delle minacce cercano di inviare e-mail che sembrano provenire dal vostro dominio utilizzando un indirizzo IP dannoso.
Recenti statistiche sulle frodi via e-mail hanno concluso che i casi di spoofing delle e-mail sono in aumento e rappresentano una grave minaccia per la reputazione della vostra organizzazione. In questi casi, se il DMARC è implementato su un criterio di rifiuto, fallirà e l'email spoofata non verrà consegnata alla casella di posta del destinatario. Lo spoofing del dominio può quindi essere la risposta al perché il DMARC fallisce nella maggior parte dei casi.
Perché il DMARC fallisce per i provider di caselle di posta elettronica di terze parti?
Se stai usando fornitori di caselle di posta esterni per inviare e-mail per tuo conto, devi abilitare DMARC, SPF e/o DKIM per loro. Puoi farlo contattandoli e chiedendo loro di gestire l'implementazione per te, oppure puoi prendere in mano la situazione e attivare manualmente i protocolli. Per farlo è necessario avere accesso al portale del tuo account ospitato su ciascuna di queste piattaforme (come amministratore).
La mancata attivazione di questi protocolli per il provider esterno di caselle di posta elettronica può causare il fallimento del DMARC.
In caso di fallimento del DMARC per i vostri messaggi Gmail, passate al record SPF del vostro dominio e verificate se avete inserito _spf.google.com in esso. In caso contrario, questo potrebbe essere il motivo per cui i server di ricezione non riescono a identificare Gmail come fonte di invio autorizzata. Lo stesso vale per le e-mail inviate da MailChimp, SendGrid e altri.
Come rilevare i messaggi che non superano il DMARC?
Il fallimento del DMARC per i messaggi può essere individuato facilmente se si è abilitato il reporting per i rapporti DMARC. rapporti DMARC. In alternativa, è possibile effettuare un'analisi dell'intestazione delle e-mail o utilizzare la ricerca nei log di Gmail. Vediamo come:
1. Abilitare la segnalazione DMARC per i propri domini
Per rilevare il fallimento del DMARC, utilizzate questa comoda funzione offerta dal vostro protocollo DMARC. Potete ricevere dagli ESP rapporti contenenti i vostri dati DMARC semplicemente definendo un tag "rua" nel vostro record DNS DMARC. La sintassi potrebbe essere la seguente:
v=DMARC1; ptc=100; p=reject; rua=mailto:[email protected];
Il tag rua deve contenere l'indirizzo e-mail sul quale si desidera ricevere i rapporti.
PowerDMARC fornisce report semplificati e di facile lettura che consentono di individuare facilmente i problemi DMARC e di risolverli più rapidamente:
2. Analizzare le intestazioni delle e-mail manualmente o utilizzare strumenti di analisi.
Il fallimento del DMARC può essere rilevato anche analizzando le intestazioni delle e-mail.
a. Metodo manuale
È possibile analizzare le intestazioni manualmente, come mostrato di seguito
Se si utilizza Gmail per inviare e-mail, è possibile fare clic su un messaggio, fare clic su "altro" (i 3 punti nell'angolo in alto a destra) e quindi su "mostra originale":
Ora è possibile controllare i risultati dell'autenticazione DMARC:
b. Strumenti di analisi automatizzati
L'analizzatore di intestazioni e-mail di PowerDMARC analizzatore di intestazioni e-mail è uno strumento eccellente per il rilevamento istantaneo degli errori di DMARC e per mitigare il problema del DMARC fail.
Con noi avrete un'analisi completa dello stato del DMARC per le vostre e-mail, degli allineamenti e di altri adempimenti, come mostrato di seguito:
3. Utilizzare la ricerca nel registro e-mail di Google
È possibile trovare ulteriori informazioni su un particolare messaggio che non rispetta il DMARC utilizzando la ricerca nei registri di posta elettronica di Google. In questo modo si scoprono i dettagli del messaggio, i dettagli del messaggio successivo alla consegna e i dettagli del destinatario. I risultati sono presentati in formato tabellare come mostrato di seguito:
4 passi per risolvere il fallimento del DMARC
Per risolvere il problema del DMARC, vi consigliamo di registrarvi con il nostro Analizzatore DMARC e di iniziare il vostro viaggio nella segnalazione e nel monitoraggio del DMARC.
Fase 1: Iniziare da zero
Con una politica non vincolante, è possibile iniziare a monitorare il proprio dominio con Rapporti aggregati DMARC (RUA) e tenere sotto controllo le e-mail in entrata e in uscita, in modo da poter rispondere a eventuali problemi di consegna indesiderati.
Fase 2: Passare all'applicazione
In seguito, vi aiutiamo a passare a una politica applicata che, in ultima analisi, vi aiuterà a ottenere l'immunità contro gli attacchi di phishing e spoofing dei domini.
Fase 3: utilizzare il nostro sistema di rilevamento delle minacce basato sull'IA
Eliminare gli indirizzi IP dannosi e segnalarli direttamente dalla piattaforma PowerDMARC per eludere futuri attacchi di impersonificazione, con l'aiuto del nostro motore di Threat Intelligence.
Fase 4: Monitoraggio continuo
Abilitare i rapporti forensi DMARC (RUF) per ottenere informazioni dettagliate sui casi in cui le vostre e-mail non hanno superato il DMARC, in modo da poter arrivare alla radice del problema e risolverlo più rapidamente.
Come gestire i messaggi che non superano il DMARC?
Per affrontare i messaggi che non superano il DMARC, si può optare per una politica di politica DMARCcontrollare i vostri record DNS per verificare la presenza di eventuali errori e combinare le vostre implementazioni DMARC con DKIM e SPF per ottenere la massima sicurezza e ridurre il rischio di falsi negativi.
1. Controllare il record DMARC
È possibile utilizzare un programma gratuito di DMARC checker per trovare errori nella sintassi DMARC o nella formazione dei record DNS. Questi possono includere spazi extra, errori di ortografia, ecc.
2. Scegliere una politica più morbida
È sempre possibile scegliere un criterio più rilassato per il DMARC, come "nessuno". In questo modo i messaggi potranno raggiungere i destinatari anche se il DMARC non funziona. Tuttavia, questo vi rende vulnerabili agli attacchi di phishing e spoofing.
3. Utilizzare l'allineamento SPF e DKIM
L'utilizzo congiunto di DKIM e SPF fornisce un approccio stratificato all'autenticazione delle e-mail. DKIM verifica l'integrità del messaggio, assicurando che non sia stato manomesso, mentre SPF verifica l'identità del server di invio. Insieme, contribuiscono a stabilire la fiducia nella fonte dell'e-mail, riducendo il rischio di spoofing, phishing e attività e-mail non autorizzate.
Risolvere il fallimento di DMARC con PowerDMARC
PowerDMARC attenua i malfunzionamenti del DMARC offrendo una serie di caratteristiche e funzionalità complete. In primo luogo, assiste le organizzazioni nella corretta implementazione del DMARC fornendo una guida passo-passo e strumenti di automazione. Questo assicura che i record DMARC, l'autenticazione SPF e DKIM siano configurati correttamente, aumentando le possibilità di successo dell'implementazione del DMARC.
Una volta che il DMARC è stato implementato, PowerDMARC monitora costantemente il traffico e-mail e genera report e avvisi in tempo reale per i guasti DMARC. Questa visibilità consente alle aziende di identificare rapidamente i problemi di autenticazione, come i fallimenti SPF o DKIM, e di intraprendere azioni correttive.
Oltre al monitoraggio, PowerDMARC integra funzionalità di AI threat intelligence. Sfrutta i feed globali delle minacce per identificare e analizzare le fonti degli attacchi di phishing e dei tentativi di spoofing. Fornendo approfondimenti sull'attività sospetta delle e-mail, le organizzazioni possono identificare in modo proattivo le potenziali minacce e adottare le misure necessarie per ridurre i rischi.
Contattateci per iniziare!
Conclusione: Promuovere la sicurezza delle e-mail nel modo corretto
Adottando un approccio a più livelli alla sicurezza delle e-mail, le organizzazioni e i privati possono migliorare significativamente le loro difese contro le minacce informatiche in continua evoluzione. Ciò include l'implementazione di solidi meccanismi di autenticazione, l'impiego di tecnologie di crittografia, l'educazione degli utenti sugli attacchi di phishing e l'aggiornamento regolare dei protocolli di sicurezza.
Inoltre, l'integrazione di strumenti di intelligenza artificiale per migliorare le pratiche di sicurezza della vostra e-mail è il modo migliore per rimanere al passo con gli attacchi sofisticati organizzati dai criminali informatici.
Per prevenire il fallimento del DMARC e risolvere facilmente gli errori DMARC, iscrivetevi per entrare in contatto con il team di esperti DMARC di PowerDMARC!
Processo di revisione dei contenuti e di verifica dei fatti
Questo articolo è stato redatto da un esperto di sicurezza informatica. I metodi e le pratiche presentati in questo articolo sono strategie reali che abbiamo implementato per i nostri clienti e che li hanno aiutati a superare il fallimento del DMARC. Se questi metodi non funzionano per voi, contattateci per avere una guida gratuita da parte di un esperto DMARC.
- Che cos'è il criterio DMARC? Nessuno, quarantena e rifiuto - 15 settembre 2024
- Correggere il perturbatore SPF: Superare il limite di troppe ricerche DNS di SPF - 26 aprile 2024
- Come pubblicare un record DMARC in 3 passi? - 2 aprile 2024