Fabio Di Paola

DMarc

10 settembre 2018 email 0
DMarc

DMARC, che sta per “Domain-based Message Authentication, Reporting & Conformance”, è un’autenticazione e-mail , una politica e un protocollo di reporting. Si basa sui protocolli SPF e DKIM ampiamente diffusi , aggiungendo nome di dominio, politiche pubblicate per la gestione dei destinatari degli errori di autenticazione e reporting dai ricevitori ai mittenti, per migliorare e monitorare la protezione del dominio da email fraudolenta.

Un record DMARC è il record in cui sono definiti i set di regole DMARC. Questo record informa gli ISP (come Gmail, Microsoft, Yahoo! ecc.) Se un dominio è impostato per utilizzare DMARC. Il record DMARC contiene la politica. Il record DMARC deve essere inserito nel tuo DNS. Il nome del record TXT deve essere “_dmarc.yourdomain.com” dove “yourdomain.com” viene sostituito con il tuo nome di dominio effettivo (o sottodominio).

Ecco i tag più comuni utilizzati nei record TXT DMARC:

Nome tagNecessarioScopoEsempio
vnecessarioVersione del protocollov = DMARC1
pnecessarioPolitica per il dominiop = none
PCTOpzionale% di messaggi sottoposti a filtraggioPCT = 20
ruaOpzionaleOpzionalerua = mailto: info@example.com
RUFOpzionaleIndirizzi a cui devono essere riferite informazioni forensi specifiche del messaggio (elenco di URI di testo semplice separato da virgole).RUF = mailto: report@example.com
rfOpzionaleFormato da utilizzare per report di informazioni forensi specifici del messaggio (elenco di valori in testo semplice separati da virgole).rf = afrf
aspfOpzionaleModalità di allineamento per SPFaspf = r
adkimOpzionaleModalità di allineamento per DKIMadkim = r

(più dettagli sulle opzioni ed i tag sono disponibili qui : https://dmarc.org//draft-dmarc-base-00-01.html )

Se il record SPF lo avete già definito potete valutare se cambiare il parametro aspf utilizzando il valore “strict” invece di “relaxed” e quindi aspf=s  . In questo modo il controllo avviene in modo più rigoroso  .

Ad esempio, se un messaggio supera un controllo SPF con un dominio RFC5321.MailFrom di “cbg.bounces.example.com” e la porzione di indirizzo del campo RFC5322.From contiene “payments@example.com l’identificatore di dominio MailFrom e il dominio sono considerati “allineati” in modalità rilassata, ma non in modalità rigorosa.

Deve esserci quindi una corrispondenza esatta al 100% fra quanto dichiarato nel record SPF e quanto presente nel acampo del sender.

Direi che questa opzione può però causare altri problemi e vi conviene restare in modo relaxed a meno che non sospettiate diffusione di email di spam e/o altro come phising a nome del vostro dominio.

I report inviati all’indirizzo di email sono in formato XML e quindi non di facile lettura ; esistono però in rete dei tools che fanno l’analisi dei report xml e danno dei risultati più comprensibili.