Come aggiungere in modo corretto un record DMARC
Questo articolo vuole essere una semplice e veloce guida su come aggiungere correttamente un record DMARC al dominio internet; il DMARC è l’acronimo di Domain-based Message Authentication, Reporting & Conformance, è un complesso sistema di validazione dei messaggi di posta elettronica. È stato sviluppato principalmente per contrastare l’email spoofing, una tecnica di attacco informatico ampiamente utilizzata nello spam e nel phishing.
Importante: solo dopo aver creati i record SPF e DKIM, è doveroso configurare DMARC aggiungendo criteri ai record DNS del dominio internet sotto forma di record TXT (esattamente come fatto per SPF o ADSP).
Importante: prima di creare un record DMARC per il dominio, dovete configurare l’autenticazione DKIM. Se non viene configurata l’autenticazione DKIM, le email inviate non saranno autenticate né recapitate agli utenti.
Il nome del record TXT dovrebbe essere “_dmarc.tuo_dominio.com.”, dove “tuo_dominio.com” va sostituito dal tuo vero nome di dominio.
Questi sono i tag tipicamente utilizzabili :
| Nome tag | Obbligatorio | Finalità | Modello |
|---|---|---|---|
| v | obbligatorio | Versione del protocollo | v=DMARC1 |
| p | obbligatorio | Criterio per il dominio | p=quarantine |
| pct | facoltativo | Percentuale di messaggi sottoposta al filtro | pct=20 |
| rua | facoltativo | URI per l’invio dei rapporti aggregati | rua=mailto: |
| sp | facoltativo | Criterio per i sottodomini del dominio | sp=reject |
| aspf | facoltativo | Modalità di allineamento per SPF | aspf=r |
Solo i tag v (version) e p (policy) sono obbligatori.
Sono disponibili tre impostazioni per i criteri o disposizioni per i messaggi:
none: non esegue alcuna azione. Registra solo i messaggi interessati nel rapporto giornaliero.
quarantine: contrassegna i messaggi interessati come spam.
reject: annulla il messaggio a livello di SMTP.
La modalità di allineamento si riferisce alla precisione con cui i record del mittente vengono confrontati con SPF e firme DKIM. Gli unici valori possibili sono “relaxed” o “strict”, rappresentati rispettivamente dalle lettere “r” e “s”. In breve, “relaxed” consente corrispondenze parziali, ad esempio i sottodomini di un determinato dominio, mentre “strict” richiede una corrispondenza esatta.
Implementazione Graduale :
Incrementare l’utilizzo di DMARC in modo graduale, applicando i criteri nell’ordine indicato. Innanzitutto, monitorate il traffico e cercate eventuali anomalie nei rapporti, quali messaggi non ancora firmati o probabilmente fraudolenti. Quindi, quando soddisfatti dei risultati, modificate l’impostazione delle norme del record TXT da “none” a “quarantine”. Rivedete nuovamente i risultati, stavolta sia nei risultati spam sia nei rapporti DMARC giornalieri. Infine, una volta verificati che tutti i messaggi siano firmati, cambiate l’impostazione della norma in modo tale da “rifiutare”. Rivedete i rapporti per accertarvi che i risultati siano accettabili.
In modo analogo, è possibile utilizzare il tag pct facoltativo per predisporre e provare l’implementazione DMARC. Poiché la percentuale predefinita è 100%, un valore “pct=20” nel record DMARC TXT avrà come risultato che solo un quinto di tutti i messaggi interessati dalla norma riceverà effettivamente la disposizione. Questa impostazione è particolarmente utile dopo aver scelto di mettere in quarantena e rifiutare la posta. Inizia con una percentuale più bassa e aumentala a intervalli di qualche giorno.
Un ciclo di implementazione prudente avrà il seguente aspetto:
- Monitora tutto.
- Quarantena 1%.
- Quarantena 5%.
- Quarantena 10%.
- Quarantena 25%.
- Quarantena 50%.
- Tutto in quarantena.
- Rifiuta 1%.
- Rifiuta 5%.
- Rifiuta 10%.
- Rifiuta 25%.
- Rifiuta 50%.
- Rifiuta tutto.
Per completare l’implementazione, tentate di rimuovere le percentuali quanto più rapidamente possibile.
Come sempre, esaminate i rapporti giornalieri.
ESEMPI di configurazione :
Nessuna Azione
In questo record TXT, se un messaggio si presenta come proveniente dal vostro dominio.com ma non supera i controlli DMARC, non viene intrapresa alcun azione.
Tutti i messaggi interessati compaiono invece nel rapporto aggregato giornaliero inviato a “postmaster@tuodominio.it”.
“v=DMARC1; p=none; rua=mailto:postmaster@tuodominio.it”
Esempio Quarantena
In questo record TXT, se un messaggio si presenta come proveniente dal vostro dominio.com e non supera i controlli DMARC, viene messo in quarantena il 5% delle volte. I rapporti aggregati vengono quindi inviati a “postmaster@tuodominio.it”.
“v=DMARC1; p=quarantine; pct=5; rua=mailto:postmaster@tuodominio.it”
Esempio per Rifiutare i messaggi
In questo record TXT, se un messaggio si presenta come proveniente dal vostro dominio.com e non supera i controlli DMARC, viene rifiutato il 100% delle volte. I rapporti aggregati vengono quindi inviati a “postmaster@tuodominio.it”.
“v=DMARC1; p=reject; rua=mailto:, mailto:postmaster@tuodominio.it”
ISCRIVITI ALLA NEWSLETTER DI PC-GURU.IT
Grazie all’iscrizione ti informerò ogni volta che pubblicherò un nuovo contenuto.
Non perderti nemmeno un articolo!
Iscriviti alla nostra newsletter inserendo la tua mail qui :
