DMARC

Attivare DMARC

Gestire le email sospette con DMARC

Per attivare l'autenticazione DMARC (Domain-based Message Authentication, Reporting and Conformance), puoi aggiungere un criterio DMARC ai record DNS del dominio. Il criterio si presenta sotto forma di record TXT DNS e definisce il modo in cui il dominio gestisce le email sospette.

Un criterio DMARC consente di gestire le email sospette in tre modi:

  • Non intraprendere alcuna azione sul messaggio e registrarlo in un rapporto giornaliero.
  • Contrassegnare il messaggio come spam. Gmail inserisce questi messaggi nella cartella dello spam del destinatario.
  • Comunicare al server di destinazione di rifiutare il messaggio. In questo caso, il messaggio verrà restituito al mittente tramite SMTP.

Esempi di criteri DMARC

Ecco alcuni esempi di criteri. 

Importante: il dominio utilizzato in questi esempi è un dominio di esempio. Sostituisci solarmora.com con il tuo dominio.

I valori di questi esempi sono definiti nella sezione Valori dei record TXT DMARC.

Azioni da eseguire se il controllo DMARC non viene superato Contenuti del record TXT
Non eseguire alcuna azione sui messaggi che non superano il controllo DMARC. Invia un rapporto giornaliero via email a dmarc@solarmora.com. v=DMARC1; p=none; rua=mailto:dmarc@solarmora.com

Inserisci il 5% dei messaggi che non superano il controllo DMARC nelle cartelle dello spam dei destinatari. Invia un rapporto giornaliero via email a dmarc@solarmora.com.

v=DMARC1; p=quarantine; pct=5; rua=mailto:dmarc@solarmora.com

Rifiuta il 100% dei messaggi che non superano il controllo DMARC. Invia un rapporto giornaliero via email a due indirizzi: postmaster@solarmora.com e dmarc@solarmora.com. 

I messaggi che non superano il controllo vengono restituiti al mittente tramite SMTP.

v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com

Aggiungere un record TXT per attivare DMARC

Per attivare DMARC, aggiorna le impostazioni del dominio con un record TXT DNS.

Informazioni sui record TXT

Un record TXT è un record DNS che contiene informazioni di testo utilizzate da fonti esterne al dominio. I record TXT vanno aggiunti alle impostazioni del dominio presso l'host, non nella Console di amministrazione Google.

Per ulteriori informazioni sulla creazione di record TXT, vedi Suggerimenti per l'aggiornamento dei record DNS TXT.

Aggiungere un record TXT DMARC

Per aggiungere un record TXT DMARC per il tuo dominio, segui questi passaggi.

Importante:

  • Il dominio utilizzato in questi esempi è un dominio di esempio. Sostituisci solarmora.com con il tuo dominio. 
  • Sostituisci i valori di esempio con i valori del criterio DMARC del tuo dominio.
  1. Accedi alla console di gestione del provider del tuo dominio.
  2. Individua la pagina in cui è possibile aggiornare i record DNS.

    Sottodomini: se l'host del tuo dominio non supporta l'aggiornamento dei record DNS dei sottodomini, aggiungi il record al dominio principale. Scopri come aggiornare i record DNS per un sottodominio.

  3. Aggiungi un record DNS per _dmarc

    Nome del record TXT: nel primo campo, sotto Nome host DNS, inserisci:
    _dmarc.solarmora.com

    Valore del record TXT: nel secondo campo, inserisci i valori che definiscono il tuo criterio DMARC, ad esempio:
    v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@solarmora.com; pct=90; sp=none

  4. Salva le modifiche.

Valori dei record TXT DMARC

Nota: Gmail non supporta il tag ruf DMARC, utilizzato per inviare rapporti (forensi) su operazioni non riuscite.

Nome tag Obbligatorio Descrizione e valori

v

Obbligatorio Versione del protocollo. Deve essere DMARC1.

p

Obbligatorio

Definisce il modo in cui il dominio gestisce i messaggi sospetti:

  • none (nessuno): nessuna azione sul messaggio. Registra i messaggi sospetti nel rapporto giornaliero.
  • quarantine (quarantena): contrassegna i messaggi come spam e spostali nella cartella Spam di Gmail del destinatario. I destinatari possono utilizzare Gmail per esaminare i messaggi spam.
  • reject (rifiuta): comunica ai server di destinazione di rifiutare il messaggio. In questo caso, il server di destinazione dovrebbe inviare un messaggio di mancato recapito al server mittente.

pct

Facoltativo

Imposta la percentuale di messaggi sospetti a cui viene applicato il criterio DMARC. I messaggi sospetti sono messaggi che non superano il controllo DMARC.

Deve essere un numero intero compreso tra 1 e 100. Il valore predefinito è 100

rua

Facoltativo

Indirizzo email per ricevere i rapporti sull'attività di DMARC per il tuo dominio. Utilizza il tuo indirizzo email o creane uno nuovo per ricevere i rapporti.

L'indirizzo email deve includere mailto:, ad esempio: mailto:dmarc-reports@solarmora.com

Per inviare il rapporto a più indirizzi email, separa gli indirizzi con una virgola.

sp

Facoltativo

Imposta il criterio per i messaggi provenienti dai sottodomini del tuo dominio principale. Scegli questa opzione se vuoi utilizzare un criterio DMARC diverso per i tuoi sottodomini.

  • none (nessuno): nessuna azione sul messaggio. Registra i messaggi sospetti nel rapporto giornaliero.
  • quarantine (quarantena): contrassegna il messaggio come spam e tienilo da parte per ulteriori elaborazioni.
  • reject (rifiuta): chiedi ai server di destinazione di rifiutare il messaggio.
adkim Facoltativo

Imposta la modalità di allineamento per DKIM, che definisce in che misura le informazioni del messaggio devono corrispondere esattamente alle firme DKIM.

  • s: rigida (strict). Il nome del dominio del mittente deve corrispondere esattamente al valore d=name nelle intestazioni DKIM dei messaggi.
  • r: flessibile (relaxed) (impostazione predefinita). Consente corrispondenze parziali. Nelle intestazioni DKIM dei messaggi viene accettato qualsiasi sottodominio valido di d=domain.

aspf

Facoltativo

Imposta la modalità di allineamento per SPF (ASPF), che definisce in che misura le informazioni del messaggio devono corrispondere esattamente alle firme SPF.

  • s: rigida (strict). L'intestazione from: del messaggio deve corrispondere esattamente al valore domain.name nel comando SMTP MAIL FROM
  • r: flessibile (relaxed) (impostazione predefinita). Consente corrispondenze parziali. Viene accettato qualsiasi sottodominio valido di domain.name.

Implementare DMARC gradualmente

Utilizza le opzioni policy (p) (criterio) e percent (pct) (percentuale) insieme per implementare DMARC in modo lento e graduale in Gmail.

Utilizza l'opzione policy (p). Imposta e modifica l'opzione policy (criterio) utilizzando il valore di tag p nel record TXT. Inizia con un criterio quarantine (quarantena), così puoi esaminare i messaggi sospetti. Poi modifica gradualmente il criterio in base alle informazioni che estrai dai messaggi messi in quarantena e dai rapporti giornalieri.

  1. p=none: monitora il traffico email e cerca eventuali problemi nei rapporti giornalieri, ma lascia passare tutti i messaggi. Verifica la presenza di messaggi di spoofing e messaggi non firmati con DKIM o SPF.
  2. p=quarantine: quando acquisisci familiarità con i pattern di email che individui nei rapporti giornalieri, cambia il criterio in quarantine (quarantena). Continua a esaminare i rapporti giornalieri e a visualizzare i messaggi che vengono messi da parte (in quarantena) come spam.
  3. p=reject: quando hai verificato che tutti i messaggi provenienti dal dominio sono firmati, cambia il criterio in reject (rifiuta) per iniziare a filtrare i messaggi di spam. Continua a esaminare i rapporti giornalieri per verificare se stai filtrando i messaggi in modo da escludere lo spam e inviare i messaggi validi ai destinatari.

Utilizza l'opzione percent (pct). L'opzione percent (percentuale) specifica in quale percentuale di messaggi sospetti è applicato il criterio DMARC. I messaggi sospetti sono messaggi che non superano il controllo DMARC. Il valore predefinito è 100% (tutti i messaggi sospetti). L'opzione percent può essere applicata inizialmente a un numero inferiore di messaggi per poi aumentare la percentuale a intervalli di pochi giorni man mano che perfezioni il criterio DMARC. Ad esempio, per iniziare, imposta l'opzione percent su 20 per filtrare il 20% dei messaggi rifiutati o messi in quarantena. La settimana successiva, modifica il valore da 20 a 50 per filtrare il 50% dei messaggi.

Esempio di implementazione: di seguito è riportato un esempio di come si utilizzano le opzioni p e pct per implementare gradualmente un criterio DMARC. Aggiorna il criterio DMARC nel tempo con questi valori:

  1. p=none pct=100
  2. p=quarantine pct=1
  3. p=quarantine pct=5
  4. p=quarantine pct=10
  5. p=quarantine pct=25
  6. p=quarantine pct=50
  7. p=quarantine pct=100
  8. p=reject pct=1
  9. p=reject pct=5
  10. p=reject pct=10
  11. p=reject pct=25
  12. p=reject pct=50
  13. p=reject pct=100

Rapporti giornalieri DMARC

I rapporti giornalieri DMARC sono in formato XML e contengono informazioni sul flusso di posta elettronica. Utilizza i rapporti per:

  • Verificare che le origini dei messaggi in uscita siano autenticate
  • Verificare che i server email che inviano messaggi dal tuo dominio siano legittimi
  • Rispondere se un nuovo server è online o un server esistente ha problemi di configurazione
Esempio di rapporto DMARC

Di seguito è riportata una parte di un rapporto che mostra i risultati per i messaggi inviati da due indirizzi IP. Un messaggio è stato inviato direttamente e l'altro è stato inoltrato. Entrambi i messaggi hanno superato i controlli DMARC.


<record>
<row>
<source_ip>207.126.144.129</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
</policy_evaluated>
</row>
<identities>
<header_from>stefanomail.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>stefanomail.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>stefanomail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>207.126.144.131</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<reason>
<type>forwarded</type>
<comment></comment>
</reason>
</policy_evaluated>
</row>
<identities>
<header_from>stefanomail.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>stefanomail.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>stefanomail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>

È stato utile?
Come possiamo migliorare l'articolo?