Cosa imparerai in questo articolo
- L'allineamento DKIM è un requisito DMARC che verifica l'allineamento degli identificatori tra il dominio Da e il dominio utilizzato per la firma DKIM.
- Il server ricevente confronta il dominio dell'intestazione nell'intestazione dell'e-mail con il dominio di firma nell'intestazione della firma DKIM.
- L'allineamento rilassato e l'allineamento DKIM rigoroso dipendono dalla modalità di allineamento DMARC impostata nel record DMARC.
- Gli errori di allineamento sono comuni nelle organizzazioni che utilizzano domini multipli e piattaforme SaaS per inviare le e-mail.
- Il verificatore di record DKIM di Mimecast aiuta a convalidare i record DNS DKIM, i selettori e le chiavi DKIM.
Molte organizzazioni implementano DKIM e continuano a riscontrare fallimenti DMARC . In molti casi, la firma stessa è valida, ma il dominio utilizzato per la firma non corrisponde al dominio del mittente visibile ai destinatari. DKIM verifica che un messaggio sia stato autorizzato e non modificato, mentre DMARC lega i risultati dell'autenticazione di al dominio Da.
L'allineamento DKIM esegue questa verifica dell'identità e aiuta le organizzazioni a mantenere un'autenticazione coerente tra più domini , ambienti di posta ibridi e piattaforme di invio di terze parti.
Che cos'è l'allineamento DKIM?
L'allineamento DKIM è un requisito DMARC che verifica se il dominio utilizzato in una firma DKIM corrisponde al dominio indicato nell'indirizzo "Da" di un'e-mail.
DKIM (DomainKeys Identified Mail) aggiunge una firma crittografica ai messaggi in uscita. Durante la firma DKIM, il sistema di invio allega un'intestazione di firma DKIM contenente un dominio e un selettore di firma. La firma include due identificatori chiave:
- Dominio di firma (d=) - il dominio responsabile della firma
- Selettore (s=) - il valore utilizzato per localizzare la chiave DKIM pubblica nel DNS
Il selettore punta a un record DKIM pubblicato nel DNS. Alcune organizzazioni pubblicano direttamente la chiave, mentre altre utilizzano un record CNAME che risolve all'infrastruttura DNS ospitata.
Allineamento DKIM e applicazione DMARC
DMARC valuta DKIM in due fasi. La prima è l'autenticazione DKIM che convalida la firma utilizzando la chiave DKIM. Il secondo è l'allineamento del dominio, che conferma che il dominio di firma corrisponde al dominio Da
Questo confronto di identità si chiama allineamento degli identificatori ed è controllato dalla modalità di allineamento DMARC. Vengono comunemente utilizzate due modalità di allineamento :
- Allineamento rilassato: Il dominio di firma può essere un sottodominio del dominio Da, se entrambi appartengono allo stesso dominio organizzativo .
- Allineamento rigoroso: Il dominio di firma deve corrispondere esattamente al dominio Da.
Poiché DMARC valuta sia DKIM che SPF, le organizzazioni spesso esaminano l'autenticazione insieme utilizzando DKIM, SPF e DMARC per capire come interagiscono questi metodi.
Come funziona l'allineamento DKIM
Quando un server di posta ricevente esegue un controllo DMARC, elabora prima DKIM. Il server legge l'intestazione della firma DKIM e recupera la chiave pubblica DKIM associata al selettore e al dominio di firma. Se la chiave è memorizzata tramite una configurazione delegata, il destinatario può seguire un riferimento CNAME prima di recuperare il record DKIM.
Dopo la verifica DKIM, DMARC esegue il controllo di allineamento. Il server confronta il dominio Da nell'intestazione dell'e-mail con il dominio di firma DKIM (d=).
Se i domini corrispondono in base alla modalità di allineamento configurata, DKIM può soddisfare la conformità di DMARC. Se non corrispondono, l'autenticazione DKIM può avere successo, ma DMARC registra un errore di allineamento.
Questa situazione si verifica spesso quando le organizzazioni si affidano a piattaforme di invio di terze parti. Le applicazioni SaaS, i sistemi di marketing o gli strumenti di ticketing possono firmare i messaggi utilizzando il proprio dominio anziché quello dell'organizzazione.
Esempi di risultati di allineamento
Esempio 1: l'allineamento rigoroso ha successo
Un'azienda invia un avviso da alerts@example.com. L'e-mail è firmata con d=example.com.
Poiché il dominio di firma corrisponde esattamente al dominio Da, la verifica DKIM e l'allineamento del dominio passano entrambi.
Esempio 2: L'allineamento rilassato ha successo
Viene inviato un messaggio da alerts@example.com, ma la firma DKIM utilizza d=mail.example.com.
Poiché l'allineamento rilassato consente i sottodomini sotto lo stesso dominio organizzativo, l'allineamento degli identificatori riesce comunque.
Esempio 3: Il mittente terzo causa un errore di allineamento
Una piattaforma di marketing invia un'e-mail da news@example.com, ma firma il messaggio utilizzando d=mailer.vendor.com.
Sebbene la verifica DKIM riesca, i domini non si allineano, quindi il DMARC fallisce a causa del mancato allineamento DKIM.
Esempio 4: L'allineamento rigoroso blocca la firma del sottodominio
Un messaggio da alerts@example.com è firmato con d=mail.example.com, mentre viene applicato un allineamento rigoroso.
Poiché l'allineamento rigoroso richiede una corrispondenza esatta del dominio, il percorso DKIM fallisce per DMARC. I team spesso convalidano la configurazione del DNS utilizzando un controllo dei record DKIM.
Perché l'allineamento DKIM è importante per la sicurezza aziendale
L'allineamento DKIM collega i risultati dell'autenticazione all'identità del mittente visibile ai destinatari. Senza l'allineamento, gli aggressori di potrebbero firmare i messaggi utilizzando il proprio dominio e impersonando un'altra organizzazione.
Questo rischio è strettamente legato al phishing e agli attacchi di domain spoofing. Quando l'allineamento viene applicato attraverso il DMARC, le organizzazioni riducono la probabilità che i messaggi spoofed di raggiungano le caselle di posta degli utenti.
L'allineamento influisce anche sulla deliverability. Una volta applicata una politica DMARC, i messaggi che non superano l'autenticazione possono essere messi in quarantena o rifiutati. In ambienti con domini multipli e mittenti terzi, il disallineamento può disturbare la posta legittima se le configurazioni non sono coerenti.
Come risolvere i problemi di allineamento DKIM
Risolvere i problemi di allineamento DKIM richiede la visibilità dei risultati dell'autenticazione e dell'infrastruttura di invio. I team di sicurezza in genere compiono diversi passi:
Esaminare i rapporti DMARC
Utilizzi i rapporti DMARC di per identificare quali mittenti non riescono ad allinearsi e se il fallimento è legato a DKIM, SPF o entrambi. Suddivida i risultati in base alla fonte di invio e al dominio Da, in modo da poter isolare il flusso specifico (app, ESP, CRM, helpdesk, ecc.) che necessita di modifiche.
Conferma le impostazioni del record DMARC
Verifichi il record DMARC pubblicato e confermi le modalità di allineamento (adkim= e aspf=) oltre alla politica (p=) e ai controlli di rollout come pct=. Si assicuri che il record che si aspetta sia quello effettivamente restituito nel DNS per il dominio Da nella domanda .
Verifica dei record DKIM
Verifichi che ogni mittente legittimo firmi con DKIM e che il selettore si risolva in una chiave pubblica valida nel DNS. Confermi che il valore d= nella firma DKIM si allinea con il dominio Da (o con il dominio organizzativo in caso di allineamento rilassato ), e ruoti/ripari le chiavi in cui le ricerche falliscono o le firme si rompono.
Standardizzare le identità dei mittenti terzi
Per ogni servizio SaaS o email esterno, configuri la firma DKIM per utilizzare il suo dominio (o un sottodominio allineato) invece del dominio di firma predefinito del fornitore. Se la piattaforma supporta un percorso di ritorno personalizzato e domini di invio dedicati, allinea queste identità per ridurre il comportamento dei domini misti.
Convalida dell'allineamento SPF
Confermi che tutti gli IP di invio e i domini di inclusione sono autorizzati in SPF e che il dominio utilizzato per la valutazione SPF sia allineato con il dominio Da. Per i mittenti terzi, questo di solito significa che utilizza un dominio di rimbalzo/percorso di ritorno allineato piuttosto che il dominio condiviso del provider.
Come Mimecast aiuta a rafforzare l'autenticazione delle e-mail
Le grandi organizzazioni spesso gestiscono più domini, piattaforme e-mail e mittenti di terze parti. Il mantenimento dell'autenticazione in questi ambienti richiede un monitoraggio e una convalida continui.
I team di sicurezza possono utilizzare Mimecast DMARC Analyzer per esaminare i record DMARC, identificare le fonti di invio e monitorare i risultati dell'autenticazione tra i domini. Per la risoluzione dei problemi DKIM , Mimecast DKIM Check aiuta a convalidare le firme DKIM, a confermare la configurazione DNS e a identificare i problemi relativi alla firma DKIM e all'allineamento del dominio .
Mantenere l'allineamento DKIM
L'allineamento DKIM è un componente fondamentale dell'autenticazione DMARC, perché lega i risultati della verifica DKIM all'identità del mittente visibile nell'intestazione dell'e-mail. Quando l'allineamento degli identificatori è coerente tra i servizi di invio, le organizzazioni rafforzano l'applicazione del DMARC e riducono il rischio di spoofing del dominio.
Il mantenimento dell'allineamento richiede una revisione regolare dei record DNS, della configurazione DKIM, dell'autorizzazione SPF e delle impostazioni della politica DMARC di. Strumenti come Mimecast DMARC Analyzer e Mimecast DKIM Check aiutano i team a monitorare l'autenticazione e a identificare i problemi di allineamento prima che influenzino la deliverability o la sicurezza.