DMARC (Domain-based Message Authentication, Reporting, and Conformance) è un protocollo di autenticazione e-mail progettato per proteggere i domini da usi non autorizzati, come phishing e spoofing di posta elettronica. Si basa su altri due meccanismi di autenticazione, SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail), per garantire che le e-mail che affermano di provenire da un dominio specifico siano effettivamente inviate da fonti autorizzate.
Cos'è DMARC?
L'autenticazione, la segnalazione e la conformità dei messaggi basati sul dominio (DMARC) opera come un livello sovraordinato su SPF e DKIM. SPF verifica se un messaggio proviene da un Indirizzo IP autorizzato dal dominio proprietario, mentre DKIM conferma la presenza di una firma crittografica valida associata al dominio mittente.
DMARC richiede che almeno uno di questi controlli venga superato e che il dominio coinvolto nel controllo si allinei con il dominio nel campo From visibile. L'allineamento rigoroso impone una corrispondenza esatta tra il dominio nell'intestazione From e il dominio di autenticazione, mentre l'allineamento rilassato consente anche corrispondenze di sottodominio.
SPF viene valutato esaminando il dominio Return-Path rispetto a un elenco di indirizzi IP consentiti, mentre DKIM viene convalidato confermando che la firma nelle intestazioni delle email è stata firmata dal dominio mittente legittimo. La regola di allineamento di DMARC assicura che un messaggio sia considerato autentico solo se l'indirizzo From corrisponde o è un sottodominio del dominio verificato da SPF o DKIM. Quando un messaggio non supera l'allineamento, anche se tecnicamente supera SPF o DKIM sotto un dominio diverso, DMARC considera quel messaggio come se non soddisfacesse i requisiti del protocollo.
I proprietari di dominio pubblicano un record di policy DMARC nel loro DNS sotto l'etichetta _dmarc.. Questo record include parametri quali la versione DMARC (v=DMARC1), la direttiva della policy (p=none, quarantine o reject) e gli indirizzi di segnalazione (rua per i report aggregati, ruf per i report forensi). Quando un messaggio in arrivo non supera i controlli DMARC, la posta in arrivo servers sono istruiti ad applicare la politica specificata dal proprietario del dominio. La funzione di segnalazione di DMARC fornisce inoltre ai proprietari di domini un feedback prezioso sull'uso non autorizzato dei loro domini, autenticazione percentuali di successo e potenziali errori di configurazione.
Come funziona DMARC?
DMARC funziona collegando i controlli SPF e DKIM con i requisiti di allineamento del dominio. Il processo di autenticazione avviene quando un messaggio di posta in arrivo server esamina un'e-mail in arrivo.
server esegue i seguenti controlli:
- Controllo SPF. server verifica se il proprietario del dominio autorizza l'indirizzo IP di invio.
- Controllo DKIM. server verifica se l'e-mail ha una firma crittografica valida che corrisponde al dominio specificato nel tag "d=" dell'intestazione della firma DKIM.
- Verifica dell'allineamento. server conferma che i domini utilizzati nell'intestazione From sono allineati con il dominio utilizzato nel controllo SPF o con il dominio di firma DKIM.
Se il messaggio non supera uno o entrambi i controlli SPF e DKIM, oppure se il requisito di allineamento del dominio non è soddisfatto, DMARC istruisce il destinatario server per gestire il messaggio in base alla policy specificata dal proprietario del dominio.
DMARC consente inoltre l'invio di report al proprietario del dominio, favorendo un migliore monitoraggio e un'analisi delle attività fraudolente tramite posta elettronica.
Che cos'è l'allineamento del dominio DMARC?
L'allineamento del dominio DMARC si riferisce al requisito che il dominio nell'intestazione From corrisponda (o si allinei con) il dominio specificato in SPF e DKIM.
Esistono due forme di allineamento:
- Allineamento rigoroso. Il dominio nell'intestazione From deve corrispondere esattamente al dominio nell'intestazione Return-Path (per SPF) o al tag "d=" nella firma DKIM.
- Allineamento rilassato. Il dominio nell'intestazione From e il dominio nel tag Return-Path o DKIM "d=" condividono lo stesso dominio padre.
L'allineamento del dominio assicura che il dominio del mittente percepito nell'intestazione dell'email sia lo stesso, o sia un sottodominio, del dominio utilizzato dai meccanismi di autenticazione. L'allineamento è fondamentale perché impedisce i criminali informatici dalla rivendicazione di un dominio nel campo Da visibile che differisce dal dominio di autenticazione.
Che cos'è un record DMARC?
Un record DMARC è un record DNS TXT che il proprietario del dominio pubblica. Questo record specifica la politica DMARC del dominio e include dettagli chiave necessari ai destinatari della posta quando eseguono controlli DMARC.
Un record DMARC standard include:
- vLa versione DMARC (DMARC1).
- p. La politica DMARC (Nessuno, Quarantena o Rifiuta).
- stradaL'indirizzo o gli indirizzi a cui vengono inviati i report aggregati.
- RUFL'indirizzo o gli indirizzi a cui vengono inviati i rapporti forensi (se utilizzati).
- adkim e dell' aspideIndicatori per un allineamento rigoroso o rilassato per DKIM e SPF.
- PCTPercentuale di messaggi non riusciti a cui si applica la policy.
Il record DMARC risiede nel DNS del dominio sotto l'etichetta _dmarc.. Per esempio, _dmarc.esempio.comUn record DMARC valido è necessario per istruire i destinatari della posta su come gestire le e-mail che non superano l'autenticazione e su come fornire feedback al proprietario del dominio.
Cosa sono le p=policies DMARC?
DMARC sfrutta un tag “p=" nel record DNS TXT per determinare come ricevere la posta servers tratta i messaggi che non superano né l'SPF (o non superano l'allineamento SPF) né l'DKIM (o non superano l'allineamento DKIM).
Nona
Una politica p=none istruisce la posta in arrivo server per non applicare alcuna gestione speciale ai messaggi non riusciti. I messaggi che non superano i controlli DMARC vengono recapitati normalmente, a meno che non siano locali server le regole ignorano questo comportamento. I proprietari di dominio utilizzano questa policy quando vogliono monitorare i risultati DMARC senza influenzare il flusso di posta.
Quarantena
Una politica di quarantena p istruisce la posta in arrivo server per contrassegnare i messaggi non riusciti come sospetti. Questo approccio spesso inserisce i messaggi nella cartella spam o posta indesiderata del destinatario. La quarantena consente ai proprietari di domini di proteggere i destinatari da potenziali tentativi di phishing o spoofing, consentendo comunque la consegna a una cartella spam anziché il rifiuto diretto.
Rifiuto
Una politica p=reject istruisce la posta ricevente server per rifiutare i messaggi al SMTP livello se non superano l'autenticazione DMARC. Questa pratica elimina completamente i messaggi, impedendo loro di raggiungere qualsiasi casella di posta del destinatario. I proprietari di dominio implementano spesso una politica di rifiuto dopo aver analizzato attentamente i report DMARC e aver verificato che tutte le email legittime abbiano già superato i controlli di autenticazione.
Che cos'è un report DMARC?
Un report DMARC è un riepilogo generato tramite e-mail o una notifica dettagliata che la ricezione mail servers inviare al proprietario del dominio in base agli indirizzi specificati nel record DMARC. I report forniscono informazioni sulle fonti di invio delle e-mail, sui risultati dell'autenticazione e sui modelli di utilizzo del dominio. Esistono due tipi principali di report DMARC.
Rapporti aggregati
I report aggregati incapsulano dati statistici sui risultati dell'autenticazione DMARC per un dominio. Questi report includono:
- Informazioni sull'invio di indirizzi IP che hanno utilizzato il dominio.
- Numero totale di messaggi elaborati.
- Numero di messaggi che superano o non superano i controlli SPF e DKIM.
- Azioni di policy (ad esempio Nessuna, Quarantena o Rifiuta) applicate dai destinatari.
I report aggregati solitamente arrivano ogni giorno (o a un altro intervallo determinato dal sistema ricevente) in un formato XML (Extensible Markup Language). I proprietari di dominio analizzano questi report per identificare IP non autorizzati che inviano email tramite il loro dominio, monitorare le fonti di traffico legittime e adattare di conseguenza le loro configurazioni di autenticazione email.
Rapporti forensi
I report forensi, chiamati anche report di errore, contengono informazioni dettagliate sui singoli messaggi di posta elettronica che non superano la valutazione DMARC. Questi report vengono inviati immediatamente quando si verifica un errore.
I report forensi in genere includono campioni di intestazioni di messaggi originali e altri dettagli potenzialmente sensibili, che aiutano i proprietari di domini a indagare su incidenti specifici di autenticazione non riuscita. Alcune organizzazioni scelgono di ridurre al minimo o disattivare i report forensi per motivi di privacy o di gestione dei dati.
Vantaggi DMARC
Ecco i vantaggi dell'implementazione di DMARC:
- Protezione contro lo spoofing. DMARC impedisce ai malintenzionati di utilizzare un dominio legittimo nell'intestazione From visibile delle email fraudolente.
- Maggiore recapito. DMARC correttamente configurato migliora la recapitabilità delle e-mail indicando che il dominio è pienamente conforme agli standard di autenticazione, il che crea fiducia con ISP e servizi di ricezione della posta.
- Visibilità e responsabilità. I report DMARC forniscono informazioni utili sul traffico e-mail, gli indirizzi IP di invio e gli errori di autenticazione. Queste informazioni consentono ai proprietari di domini di tracciare fonti sospette e imporre la responsabilità.
- Coerenza con gli standard del settore. DMARC è in linea con framework ampiamente riconosciuti come SPF e DKIM, che promuovono pratiche coerenti per l'autenticazione della posta elettronica e riducono la prevalenza di attacchi di phishing.
- Maggiore reputazione del marchio. L'adozione di DMARC dimostra l'impegno verso la sicurezza della posta elettronica e protegge l'identità di un marchio mitigando i tentativi di phishing che sfruttano domini legittimi.
