Perché il DMARC non funziona? Risolvere il fallimento del DMARC nel 2023
Il DMARC fail si verifica quando un'e-mail in arrivo non supera i controlli di autenticazione DMARC. Ciò significa che l'e-mail non è conforme ai criteri stabiliti dal proprietario del dominio, indicando un potenziale tentativo di spoofing o phishing. In caso di errore DMARC, il server di posta elettronica del destinatario può intraprendere diverse azioni in base alle politiche definite dal proprietario del dominio, come contrassegnare l'e-mail come spam, rifiutarla o metterla in quarantena. Un errore DMARC può avere un impatto sulle attività di email marketing e ridurre significativamente i tassi di recapito delle email.
Concetti di base relativi al protocollo DMARC
DMARC è l'acronimo di Domain-based Message Authentication, Reporting, and Conformance. È un protocollo di autenticazione delle e-mail che fornisce un ulteriore livello di sicurezza aiutando a prevenire gli attacchi di spoofing e phishing. Il DMARC funziona consentendo ai proprietari di domini di pubblicare politiche nei loro record DNS, istruendo i server di posta ricevuti su come gestire le e-mail che dichiarano di provenire dal loro dominio.
Consente ai proprietari di domini di specificare se rifiutare o mettere in quarantena le e-mail non autorizzate, fornendo un migliore controllo sulla consegna delle e-mail. Il DMARC genera inoltre report che forniscono informazioni preziose sui fallimenti dell'autenticazione delle e-mail, consentendo alle organizzazioni di monitorare e migliorare le proprie misure di sicurezza.
Nel complesso, il DMARC contribuisce a migliorare la sicurezza delle e-mail applicando i controlli di autenticazione e consentendo alle organizzazioni di proteggere la reputazione del proprio marchio e gli utenti dalle minacce basate sulle e-mail.
Capire perché il DMARC fallisce
Il fallimento del DMARC può essere dovuto a vari motivi, tra cui errori di autenticazione SPF e DKIM, disallineamento tra il dominio "Da", SPFe DKIMproblemi di inoltro o di servizi di terze parti che modificano le firme delle e-mail, politiche DMARC non configurate correttamente e tentativi di spoofing di domini legittimi da parte di malintenzionati.
Il fallimento del DMARC può causare problemi di autenticazione delle e-mail, potenziali problemi di consegna e un aumento del rischio di attacchi di phishing. La comprensione di queste cause e l'implementazione di configurazioni e misure di autenticazione adeguate possono contribuire a migliorare la conformità DMARC e a potenziare la sicurezza delle e-mail. sicurezza delle e-mail.
Motivi comuni di fallimento del DMARC
I motivi più comuni per cui il DMARC fallisce possono essere: errori di allineamento, disallineamento della fonte di invio, problemi con la firma DKIM, email inoltrate, ecc. Analizziamo ciascuno di questi motivi in dettaglio:
1. Fallimenti di allineamento DMARC
Il DMARC utilizza l'allineamento dei domini per autenticare le e-mail. Ciò significa che il DMARC verifica se il dominio menzionato nell'indirizzo From (nell'intestazione visibile) è autentico, confrontandolo con il dominio menzionato nell'intestazione nascosta Return-path (per SPF) e nell'intestazione della firma DKIM (per DKIM). Se una delle due corrispondono, l'e-mail passa il DMARC, altrimenti il DMARC fallisce.
Pertanto, se le vostre e-mail non superano il DMARC, può trattarsi di un caso di disallineamento del dominio. In altre parole, gli identificatori SPF e DKIM non sono allineati e l'e-mail sembra essere inviata da una fonte non autorizzata. Questa, tuttavia, è solo una delle ragioni del fallimento del DMARC.
Modalità di allineamento DMARC
Anche la modalità di allineamento del protocollo può portare al fallimento del DMARC. È possibile scegliere tra le seguenti modalità di allineamento per l'autenticazione SPF:
- Rilassato: Significa che se il dominio nell'intestazione Return-path e il dominio nell'intestazione From corrispondono semplicemente all'organizzazione, anche in questo caso l'SPF passerà.
- Rigoroso: Significa che solo se il dominio nell'intestazione Return-path e il dominio nell'intestazione From corrispondono esattamente, l'SPF passerà.
Si può scegliere tra le seguenti modalità di allineamento per l'autenticazione DKIM:
- Rilassato: Significa che se il dominio nella firma DKIM e il dominio nell'intestazione From corrispondono semplicemente a un'organizzazione, anche il DKIM passerà.
- Rigoroso: Significa che solo se il dominio nella firma DKIM e il dominio nell'intestazione From corrispondono esattamente, solo allora il DKIM passerà.
Si noti che per le e-mail per passare l'autenticazione DMARC, è necessario allineare SPF o DKIM.
2. Mancata impostazione della firma DKIM
Un caso molto comune in cui il DMARC può fallire è che non sia stata specificata una firma DKIM per il vostro dominio. In questi casi, il vostro provider di servizi di scambio di e-mail assegna una firma DKIM predefinita firma DKIM alle vostre e-mail in uscita che non sono allineate con il dominio nell'intestazione From. L'MTA ricevente non riesce ad allineare i due domini e, di conseguenza, DKIM e DMARC falliscono per il messaggio (se i messaggi sono allineati sia con SPF che con DKIM).
3. Mancata aggiunta di fonti di invio al DNS
È importante notare che quando si imposta il DMARC per il proprio dominio, gli MTA riceventi eseguono query DNS per autorizzare le fonti di invio. Ciò significa che, a meno che non abbiate elencato tutte le fonti di invio autorizzate nel DNS del vostro dominio, le vostre e-mail falliranno il DMARC per le fonti non elencate, poiché il destinatario non sarà in grado di trovarle nel vostro DNS.
Pertanto, per garantire che le vostre e-mail legittime vengano sempre recapitate, assicuratevi di inserire nel vostro DNS tutte le voci relative ai fornitori di e-mail di terze parti autorizzati a inviare e-mail per conto del vostro dominio.
4. In caso di inoltro di e-mail
Durante l'inoltro delle e-mail, queste passano attraverso un server intermedio prima di essere consegnate al server ricevente. Il controllo SPF fallisce perché l'indirizzo IP del server intermediario non corrisponde a quello del server di invio e questo nuovo indirizzo IP non è solitamente incluso nel record SPF del server originale.
Al contrario, l'inoltro delle e-mail di solito non influisce sull'autenticazione DKIM delle e-mail, a meno che il server intermediario o l'entità di inoltro non apporti determinate modifiche al contenuto del messaggio.
Per risolvere questo problema, è necessario optare immediatamente per la piena conformità DMARC nella propria organizzazione, allineando e autenticando tutti i messaggi in uscita sia con SPF che con DKIM. Per superare l'autenticazione DMARC, un'e-mail deve superare l'autenticazione e l'allineamento SPF o DKIM.
Leggi correlate: Inoltro di e-mail e DMARC
5. Il vostro dominio è oggetto di spoofing
Se tutto va bene dal punto di vista dell'implementazione, è possibile che le vostre e-mail non riescano a superare il DMARC a causa di un attacco di spoofing. Si tratta di un attacco in cui gli imitatori e gli attori delle minacce cercano di inviare e-mail che sembrano provenire dal vostro dominio utilizzando un indirizzo IP dannoso.
Recenti statistiche sulle frodi via e-mail hanno concluso che i casi di spoofing delle e-mail sono in aumento e rappresentano una grave minaccia per la reputazione della vostra organizzazione. In questi casi, se il DMARC è implementato su un criterio di rifiuto, fallirà e l'email spoofata non verrà consegnata alla casella di posta del destinatario. Lo spoofing del dominio può quindi essere la risposta al perché il DMARC fallisce nella maggior parte dei casi.
Perché il DMARC fallisce per i provider di caselle di posta elettronica di terze parti?
Se stai usando fornitori di caselle di posta esterni per inviare e-mail per tuo conto, devi abilitare DMARC, SPF e/o DKIM per loro. Puoi farlo contattandoli e chiedendo loro di gestire l'implementazione per te, oppure puoi prendere in mano la situazione e attivare manualmente i protocolli. Per farlo è necessario avere accesso al portale del tuo account ospitato su ciascuna di queste piattaforme (come amministratore).
La mancata attivazione di questi protocolli per il provider esterno di caselle di posta elettronica può causare il fallimento del DMARC.
In caso di fallimento del DMARC per i vostri messaggi Gmail, passate al record SPF del vostro dominio e verificate se avete inserito _spf.google.com in esso. In caso contrario, questo potrebbe essere il motivo per cui i server di ricezione non riescono a identificare Gmail come fonte di invio autorizzata. Lo stesso vale per le e-mail inviate da MailChimp, SendGrid e altri.
Come rilevare i messaggi che non superano il DMARC?
Il fallimento del DMARC per i messaggi può essere rilevato facilmente se si è abilitata la segnalazione per i rapporti DMARC. In alternativa, è possibile effettuare un'analisi dell'intestazione delle e-mail o utilizzare la ricerca nel registro delle e-mail di Gmail. Vediamo come:
1. Abilitare la segnalazione DMARC per i propri domini
Per rilevare il fallimento del DMARC, utilizzate questa comoda funzione offerta dal vostro protocollo DMARC. Potete ricevere dagli ESP rapporti contenenti i vostri dati DMARC semplicemente definendo un tag "rua" nel vostro record DNS DMARC. La sintassi potrebbe essere la seguente:
v=DMARC1; ptc=100; p=reject; rua=mailto:[email protected];
Il tag rua deve contenere l'indirizzo e-mail sul quale si desidera ricevere i rapporti.
PowerDMARC fornisce report semplificati e di facile lettura che consentono di individuare facilmente i problemi DMARC e di risolverli più rapidamente:
2. Analizzare le intestazioni delle e-mail manualmente o utilizzare strumenti di analisi.
Il fallimento del DMARC può essere rilevato anche analizzando le intestazioni delle e-mail.
a. Metodo manuale
È possibile analizzare le intestazioni manualmente, come mostrato di seguito
Se si utilizza Gmail per inviare e-mail, è possibile fare clic su un messaggio, fare clic su "altro" (i 3 punti nell'angolo in alto a destra) e quindi su "mostra originale":
Ora è possibile controllare i risultati dell'autenticazione DMARC:
b. Strumenti di analisi automatizzati
L'analizzatore di intestazioni e-mail di PowerDMARC analizzatore di intestazioni e-mail è uno strumento eccellente per il rilevamento istantaneo degli errori di DMARC e per mitigare il problema del DMARC fail.
Con noi avrete un'analisi completa dello stato del DMARC per le vostre e-mail, degli allineamenti e di altri adempimenti, come mostrato di seguito:
3. Utilizzare la ricerca nel registro e-mail di Google
È possibile trovare ulteriori informazioni su un particolare messaggio che non rispetta il DMARC utilizzando la ricerca nei registri di posta elettronica di Google. In questo modo si scoprono i dettagli del messaggio, i dettagli del messaggio successivo alla consegna e i dettagli del destinatario. I risultati sono presentati in formato tabellare come mostrato di seguito:
Come risolvere il problema del DMARC?
Per risolvere il problema del DMARC, vi consigliamo di registrarvi con il nostro Analizzatore DMARC e di iniziare il vostro viaggio nella segnalazione e nel monitoraggio del DMARC.
Fase 1: Iniziare da zero
Con una politica non vincolante, è possibile iniziare a monitorare il proprio dominio con Rapporti aggregati DMARC (RUA) e tenere sotto controllo le e-mail in entrata e in uscita, in modo da poter rispondere a eventuali problemi di consegna indesiderati.
Fase 2: Passare all'applicazione
In seguito, vi aiutiamo a passare a una politica applicata che, in ultima analisi, vi aiuterà a ottenere l'immunità contro gli attacchi di phishing e spoofing dei domini.
Fase 3: utilizzare il nostro sistema di rilevamento delle minacce basato sull'IA
Eliminare gli indirizzi IP dannosi e segnalarli direttamente dalla piattaforma PowerDMARC per eludere futuri attacchi di impersonificazione, con l'aiuto del nostro motore di Threat Intelligence.
Fase 4: Monitoraggio continuo
Abilitare i rapporti forensi DMARC (RUF) per ottenere informazioni dettagliate sui casi in cui le vostre e-mail non hanno superato il DMARC, in modo da poter arrivare alla radice del problema e risolverlo più rapidamente.
Come affrontare i messaggi che non superano il DMARC?
Per affrontare i messaggi che non superano il DMARC, si può optare per una politica di politica DMARCcontrollare i vostri record DNS per verificare la presenza di eventuali errori e combinare le vostre implementazioni DMARC con DKIM e SPF per ottenere la massima sicurezza e ridurre il rischio di falsi negativi.
1. Controllare il record DMARC
Utilizzare un DMARC checker per trovare errori sintattici o altri errori formativi nel record, come spazi extra, errori di ortografia, ecc.
2. Scegliere una politica più morbida
È sempre possibile scegliere un criterio più rilassato per il DMARC, come "nessuno". In questo modo i messaggi potranno raggiungere i destinatari anche se il DMARC non funziona. Tuttavia, questo vi rende vulnerabili agli attacchi di phishing e spoofing.
3. Utilizzare l'allineamento SPF e DKIM
L'utilizzo congiunto di DKIM e SPF fornisce un approccio stratificato all'autenticazione delle e-mail. DKIM verifica l'integrità del messaggio, assicurando che non sia stato manomesso, mentre SPF verifica l'identità del server di invio. Insieme, contribuiscono a stabilire la fiducia nella fonte dell'e-mail, riducendo il rischio di spoofing, phishing e attività e-mail non autorizzate.
Risolvere il fallimento di DMARC con PowerDMARC
PowerDMARC attenua i malfunzionamenti del DMARC offrendo una serie di caratteristiche e funzionalità complete. In primo luogo, assiste le organizzazioni nella corretta implementazione del DMARC fornendo una guida passo-passo e strumenti di automazione. Questo assicura che i record DMARC, l'autenticazione SPF e DKIM siano configurati correttamente, aumentando le possibilità di successo dell'implementazione del DMARC.
Una volta che il DMARC è stato implementato, PowerDMARC monitora costantemente il traffico e-mail e genera report e avvisi in tempo reale per i guasti DMARC. Questa visibilità consente alle aziende di identificare rapidamente i problemi di autenticazione, come i fallimenti SPF o DKIM, e di intraprendere azioni correttive.
Oltre al monitoraggio, PowerDMARC integra funzionalità di AI threat intelligence. Sfrutta i feed globali delle minacce per identificare e analizzare le fonti degli attacchi di phishing e dei tentativi di spoofing. Fornendo approfondimenti sull'attività sospetta delle e-mail, le organizzazioni possono identificare in modo proattivo le potenziali minacce e adottare le misure necessarie per ridurre i rischi.
Contattateci per iniziare!
Conclusione: Promuovere la sicurezza delle e-mail nel modo corretto
Adottando un approccio a più livelli alla sicurezza delle e-mail, le organizzazioni e i privati possono migliorare significativamente le loro difese contro le minacce informatiche in continua evoluzione. Ciò include l'implementazione di solidi meccanismi di autenticazione, l'impiego di tecnologie di crittografia, l'educazione degli utenti sugli attacchi di phishing e l'aggiornamento regolare dei protocolli di sicurezza.
Inoltre, l'integrazione di strumenti di intelligenza artificiale per migliorare le pratiche di sicurezza della vostra e-mail è il modo migliore per rimanere al passo con gli attacchi sofisticati organizzati dai criminali informatici.
Per prevenire il fallimento del DMARC e risolvere altri errori DMARC, iscrivetevi per entrare in contatto con i nostri esperti DMARC oggi stesso!
- Google include l'ARC nelle linee guida per i mittenti di e-mail del 2024 - 8 dicembre 2023
- Sicurezza Web 101 - Migliori pratiche e soluzioni - 29 novembre 2023
- Che cos'è la crittografia delle e-mail e quali sono i suoi vari tipi? - Novembre 29, 2023