Tutorial: implementazione DMARC consigliata

DMARC è progettato per essere implementato gradualmente. Inizia con un criterio none che monitori solo il flusso della posta e successivamente modificalo in un criterio che rifiuti tutti i messaggi non autenticati.

Un criterio none consente di iniziare a ricevere rapporti senza che i messaggi vengano rifiutati o inviati alla cartella dello spam dai server di destinazione. Puoi anche impostare il criterio DMARC in modo che venga applicato solo a una percentuale dei messaggi inviati dalla tua organizzazione. Queste due funzionalità consentono di eseguire gradualmente il deployment di DMARC, mantenendo il controllo del flusso della posta.

Importante: configura DKIM e SPF prima di configurare DMARC. DKIM e SPF devono eseguire l'autenticazione dei messaggi per almeno 48 ore prima di attivare DMARC. Per la procedura dettagliata su come configurare SPF e DKIM, vedi Prevenire lo spoofing, il phishing e lo spam.

1. Inizia con un criterio DMARC semplice

Inizia con un record DMARC con applicazione impostata su none e un indirizzo email configurato per ricevere rapporti DMARC giornalieri. In questo modo puoi iniziare a ricevere rapporti senza rischiare che i messaggi provenienti dal tuo dominio vengano rifiutati o contrassegnati come spam dai server di destinazione. Ti consigliamo di utilizzare questo record per almeno una settimana. In genere, una settimana è sufficiente per consentire ai rapporti giornalieri di raccogliere dati rappresentativi di tutti i flussi di posta.

Controlla i tuoi rapporti DMARC giornalieri per verificare che i messaggi provenienti dal tuo dominio siano inviati da server autorizzati noti e che superino i controlli di autenticazione.

Ti consigliamo di iniziare con un criterio DMARC non troppo restrittivo o valido solo per una piccola percentuale del tuo traffico di posta, ad esempio:

  1. Accedi all'host del dominio per aggiornare il record TXT DNS DMARC del tuo provider di dominio.
  2. Inserisci un criterio valido per il 100% dei messaggi ma con applicazione forzata impostata su none:

    v=DMARC1; p=none; rua=mailto:dmarc@solarmora.com

Il criterio viene applicato al 100% di tutti i messaggi ricevuti dai server di posta. Tuttavia, l'applicazione forzata è impostata su none, quindi i messaggi vengono consegnati normalmente, anche se non superano l'autenticazione DMARC. Ogni server di posta che riceve messaggi dal tuo dominio invia rapporti giornalieri a dmarc@solarmora.com.

2. Esamina i rapporti DMARC

Esamina i rapporti che ricevi ogni giorno per scoprire:

  • Quali server o mittenti di terze parti inviano la posta per conto del tuo dominio
  • Quale percentuale di messaggi inviati dal tuo dominio supera il controllo DMARC
  • Quali server o servizi stanno inviando messaggi che non superano il controllo DMARC 

Cerca eventuali tendenze dei problemi, ad esempio:

  • Se i destinatari ricevono da te messaggi validi che tuttavia si trovano nella cartella Spam.
  • Se ricevi avvisi di mancato recapito o messaggi di errore da parte dei destinatari.

Per risolvere i problemi relativi ai messaggi inviati dal tuo dominio che vengono rifiutati o inseriti nella cartella Spam, vedi Risolvere i problemi di DMARC.

Per continuare a ricevere i rapporti giornalieri, verifica che il record aggiornato includa ancora il tag rua con il tuo indirizzo email o la tua casella di posta. Ti consigliamo di rimanere in questa fase per almeno sette giorni prima di passare alla fase successiva. La durata di questa fase varia in base alle dimensioni dell'organizzazione e al flusso della posta. 

Ulteriori informazioni su come leggere i rapporti DMARC

3. Metti in quarantena una piccola percentuale di messaggi

Dopo aver monitorato i rapporti DMARC per almeno una settimana senza risultati negativi, aggiorna il criterio in quarantine e aggiungi il tag pct per applicare il criterio a una piccola percentuale di tuoi messaggi. Ad esempio:

  1. Accedi all'host del dominio per aggiornare il record TXT DNS DMARC del tuo provider di dominio.
  2. Un criterio valido per il 5% dei messaggi e con applicazione forzata impostata su quarantine. I messaggi di quel 5% che non superano il controllo DMARC vengono inviati alla cartella Spam dei destinatari:

    v=DMARC1; p=quarantine; pct=5; rua=mailto:dmarc@solarmora.com

Il criterio viene applicato solo al 5% dei messaggi ricevuti dai server di posta. I messaggi che non superano il controllo DMARC vengono inviati alla cartella Spam dei destinatari. Questo influisce solo su una piccola percentuale dei messaggi e i destinatari possono controllare i messaggi inviati alla cartella Spam. Ogni server di posta che riceve messaggi dal tuo dominio invia rapporti giornalieri a dmarc@solarmora.com.

È possibile che le organizzazioni di piccole dimensioni conoscano bene tutti i flussi di posta e siano in grado di applicare il criterio a una percentuale maggiore di messaggi rispetto alle organizzazioni di grandi dimensioni. Spesso le grandi organizzazioni gestiscono più flussi di posta che possono includere server legacy e mittenti di terze parti.

 Consigliamo alle organizzazioni di grandi dimensioni di aumentare gradualmente la percentuale di messaggi interessati per ridurre il rischio che molti messaggi vengano rifiutati o contrassegnati come spam. Una piccola organizzazione potrebbe iniziare mettendo in quarantena il 10%, mentre un'azienda molto grande potrebbe iniziare con l'1%.

4. Rifiuta tutti i messaggi non autenticati

Questo è il passaggio finale del deployment di DMARC. Se hai la certezza che la maggior parte dei messaggi inviati dal tuo dominio sia allineata e superi l'autenticazione (SPF e DKIM), puoi applicare un criterio DMARC più restrittivo.

Se DMARC funziona come previsto, aggiorna il criterio in modo che il criterio del record DMARC sia impostato su reject per il 100% dei messaggi inviati dalla tua organizzazione. Ad esempio:

  1. Accedi all'host del dominio per aggiornare il record TXT DNS DMARC del tuo provider di dominio.
  2. Aggiorna il record in modo che sia più rigido. Ad esempio:

    v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com,dmarc@solarmora.com

Il criterio interessa tutti i messaggi ricevuti dai server di posta. Se il record non include il tag pct, viene applicato al 100% dei messaggi inviati dal tuo dominio. Tutti i messaggi che non superano l'autenticazione DMARC vengono rifiutati. Il mittente può ricevere un avviso di mancato recapito per ogni messaggio rifiutato. Ogni server di posta che riceve messaggi dal tuo dominio invia rapporti giornalieri a due indirizzi email: postmaster@solarmora.com e dmarc@solarmora.com.
È stato utile?
Come possiamo migliorare l'articolo?

Hai bisogno di ulteriore assistenza?

Accedi per scoprire altre opzioni di assistenza che ti consentiranno di risolvere rapidamente il tuo problema

Ricerca
Cancella ricerca
Chiudi ricerca
App Google
Menu principale
Cerca nel Centro assistenza
true
73010
false