Autenticazione Email - DMARC

A partire da febbraio 2024, Gmail e Yahoo richiedono l'autenticazione DKIM e DMARC per le email. Si raccomanda vivamente a tutti i mittenti di configurare DKIM e DMARC.

Per ulteriori dettagli, consulta il nostro articolo sulle modifiche all'autenticazione email di Google e Yahoo nel 2024.

• Cos'è il DMARC?
• Cos'è un record DMARC?
• Come funziona il DMARC?
• Risolvere gli errori DMARC per gli utenti sui domini condivisi di Squadd / LeadConnector Email

Cos'è il DMARC?

Il DMARC, acronimo di Domain-based Message Authentication Reporting and Conformance, è uno strumento tecnico che verifica le email combinando i metodi SPF e DKIM. È gratuito e aiuta a prevenire frodi via email come il phishing. Introdotto nel 2012, consente ai proprietari di dominio di specificare come gestire gli utilizzi non autorizzati dei propri domini email attraverso una policy nel record DMARC (p=).

P = NONE 
Monitora il traffico email. Non viene intrapresa nessun'altra azione.

P = QUARANTINE
Invia le email non autorizzate nella cartella spam.

P = REJECT 
La policy finale e l'obiettivo ultimo dell'implementazione del DMARC. Questa policy garantisce che le email non autorizzate non vengano consegnate affatto.

Cos'è un record DMARC?

Un record DMARC, contenuto in una voce DNS di tipo TXT denominata _dmarc, definisce le policy e le preferenze per i server email. È composto da tag a cui vengono assegnati valori separati da punto e virgola.

Ecco un esempio di record DMARC base: 
v=DMARC1; p=none;

Ecco i principali tag utilizzati nella configurazione di un record DMARC:

v (Versione DMARC):

• Valore predefinito: DMARC1
• Descrizione: Indica la versione del protocollo DMARC. Deve essere sempre impostato su "DMARC1". Se assente o errato, l'intero record DMARC viene ignorato.

p (Policy):

• Valore predefinito: none
• Descrizione: Specifica l'azione da applicare alle email che non superano i controlli DMARC.
  • none: Raccoglie feedback senza influire sui flussi esistenti.
  • quarantine: Tratta le email sospette, solitamente indirizzandole nella cartella spam.
  • reject: Rifiuta direttamente tutte le email che non superano i controlli.

adkim (Modalità di allineamento DKIM):

• Valore predefinito: r
• Descrizione: Specifica la modalità di allineamento per le firme DKIM.
  • "r" (Modalità rilassata): Consente il passaggio ai domini DKIM che condividono un dominio organizzativo comune.
  • "s" (Modalità strict): Richiede una corrispondenza esatta tra il dominio DKIM e il dominio nel campo "From" dell'header email.

aspf (Modalità di allineamento SPF):

• Valore predefinito: r
• Descrizione: Simile ad adkim ma per l'autenticazione SPF.
  • "r" (Modalità rilassata): Consente il passaggio ai domini SPF che condividono un dominio organizzativo comune.
  • "s" (Modalità strict): Richiede una corrispondenza esatta tra il dominio SPF e il dominio nel campo "From" dell'header email.

sp (Policy per i sottodomini):

• Valore predefinito: valore di p=
• Descrizione: Consente la pubblicazione esplicita di una policy per i sottodomini inclusi in questo record DMARC.

fo (Opzioni di reporting forense):

• Valore predefinito: 0
• Descrizione: Determina le condizioni per la generazione dei report forensi.
  • "0": Genera report se tutti i meccanismi di autenticazione sottostanti non riescono a produrre un risultato DMARC positivo.
  • "1": Genera report se almeno un meccanismo fallisce.
  • "d": Genera report se la firma DKIM fallisce.
  • "s": Genera report se SPF fallisce.

ruf (URI per i report forensi):

• Valore predefinito: none
• Descrizione: Specifica dove inviare i report forensi (URI nella forma "mailto:indirizzo@esempio.org").

rua (URI per i feedback XML):

• Valore predefinito: none
• Descrizione: Specifica dove inviare i report di feedback XML (URI nella forma "mailto:indirizzo@esempio.org").

rf (Formato di reporting per i report forensi):

• Valore predefinito: afrf
• Descrizione: Determina il formato di reporting per i singoli report forensi.

pct (Percentuale):

• Valore predefinito: 100
• Descrizione: Specifica la percentuale di email non conformi a cui applicare la policy. La policy deve essere "quarantine" o "reject" affinché il tag percentuale venga applicato.

ri (Intervallo di reporting):

• Valore predefinito: 86400
• Descrizione: Imposta la frequenza di ricezione dei report XML aggregati.

Ogni tag svolge un ruolo specifico nella definizione delle policy DMARC e dei meccanismi di autenticazione e feedback, garantendo la sicurezza delle email e la corretta gestione dei controlli falliti.

Per assistenza nella creazione di un record DMARC, si consiglia di utilizzare uno strumento generatore di record DMARC.

Come funziona il DMARC?

Autenticazione:

• Controllo SPF/DKIM:
  • I server riceventi verificano i metodi di autenticazione SPF o DKIM.
• Allineamento del dominio:
  • Verifica se il dominio SPF (Return-Path) o il dominio DKIM (d=) è allineato con il dominio "From" nell'header email.
• Policy DMARC:
  • Estrae e applica la policy DMARC dal record DNS del dominio "From".

Esempi di configurazione:

Se SPF supera il controllo e si allinea con il dominio "From", l'autenticazione DMARC ha esito positivo.
`v=DMARC1; p=none; aspf=r;` 

Se DKIM supera il controllo e si allinea con il dominio "From", l'autenticazione DMARC ha esito positivo.
`v=DMARC1; p=none; adkim=s;` 

Se sia SPF che DKIM falliscono, l'autenticazione DMARC fallisce.
`v=DMARC1; p=reject;`

Modalità di allineamento:

• Modalità rilassata (r):
  • Consente i sottodomini nei controlli SPF/DKIM, confrontandoli con il dominio "From".
• Modalità strict (s):
  • Richiede una corrispondenza esatta dei domini SPF/DKIM con il dominio "From".

Reporting:

• Report aggregati:
  • Includono i risultati positivi/negativi in report aggregati periodici inviati tramite gli indirizzi email specificati con il tag rua.
• Report forensi:
  • Report dettagliati sugli errori inviati agli indirizzi specificati (ruf), ma molti provider evitano di inviarli per via della presenza di informazioni sensibili.
• Intervallo di reporting (ri):
  • Determina la frequenza di invio dei report XML aggregati.

Esempi di configurazione: 

Invio di report aggregati ogni 24 ore: 
`v=DMARC1; p=none; rua=mailto:postmaster@miodominio.com; ri=86400;` 

Invio di report forensi ogni 7 giorni: 
`v=DMARC1; p=none; ruf=mailto:postmaster@miodominio.com; ri=604800;`

Conformance (Policy):

• Policy DMARC (p):
  • Definisce come i server gestiscono i controlli DMARC falliti.
• Percentuale (pct):
  • Specifica la percentuale del traffico email soggetta alla verifica DMARC.

Esempi di configurazione: 

Avvio con policy quarantine e verifica al 50% per il testing: 
`v=DMARC1; p=quarantine; pct=50;` 

Successivamente, passaggio alla policy reject e rimozione del tag pct per l'applicazione completa: `v=DMARC1; p=reject;`

Ogni configurazione serve ad autenticare le email e a definire le policy per la gestione degli errori, garantendo al tempo stesso flessibilità nel reporting e nei livelli di applicazione in base alle esigenze del mittente e alle fasi di verifica.

Risolvere gli errori DMARC per gli utenti sui domini condivisi di Squadd / LeadConnector Email

Il DMARC non è richiesto per inviare email dai domini condivisi del sistema email Squadd / LeadConnector.

Quando sei passato al sistema email di Squadd / LeadConnector o non hai configurato il tuo Mailgun / SMTP, tutte le tue email verranno inviate tramite il dominio condiviso di Squadd / LeadConnector.

Il messaggio di errore recita: