Che cos'è un record DMARC?
Un record DMARC è il record in cui vengono definiti i set di regole DMARC. Questo record informa gli ISP (come Gmail, Microsoft, Yahoo! ecc.) se un dominio è impostato per utilizzare il DMARC. Il record DMARC contiene la politica. Il record DMARC deve essere inserito nel suo DNS. Il nome del record TXT dovrebbe essere "_dmarc.yourdomain.com". dove "yourdomain.com" viene sostituito con il suo nome di dominio effettivo (o sottodominio).
Come impostare un record DMARC
1. Valutare la sua infrastruttura e-mail
Prima di configurare il DMARC, valuti la sua attuale infrastruttura e-mail e identifichi tutti i mittenti e le fonti legittime associate al suo dominio. Questo include:
- Fornitori di servizi e-mail
- Piattaforme di automazione del marketing
- Qualsiasi server e-mail di terze parti utilizzato per inviare e-mail per suo conto
DMARC Analyzer la aiuta a generare facilmente i record DMARC con il nostro generatore di record DMARC. La versione gratuita di DMARC Analyzer le consente di utilizzare il DMARC Record Generator(si registri qui). Può utilizzare DMARC Analyzer per generare un esempio di record DMARC. Una volta che SPF e DKIM sono stati attivati, può configurare il DMARC aggiungendo politiche ai record DNS del suo dominio sotto forma di record TXT (proprio come con SPF o DKIM).
Il nome del record TXT dovrebbe essere "_dmarc.yourdomain.com". dove "yourdomain.com" viene sostituito con il suo nome di dominio effettivo (o sottodominio).
2. Selezioni i record e i tipi di DNS TXT:
| Nome dell'etichetta | Richiesto | Scopo | Campione |
|---|---|---|---|
| v | richiesto | Versione del protocollo | v=DMARC1 |
| p | richiesto | Politica per il dominio | p=quarantena |
| pct | opzionale | % di messaggi sottoposti a filtraggio | pct=20 |
| rua | opzionale | URI di segnalazione dei rapporti aggregati | rua=mailto:CUSTOMERID@for.dmarcanalyzer.com |
| ruf | opzionale | Indirizzi ai quali devono essere segnalate le informazioni forensi specifiche del messaggio (elenco di URI in testo semplice separato da virgole). | ruf=mailto:CUSTOMERID@for.dmarcanalyzer.com |
| rf | opzionale | Formato da utilizzare per i rapporti sulle informazioni forensi specifiche del messaggio (elenco di valori in testo semplice separati da virgole). | rf=afrf |
| aspf | opzionale | Modalità di allineamento per SPF | aspf=r |
| adkim | opzionale | Modalità di allineamento per DKIM | adkim=r |
Visiti il Registro dei tag DMARC per altri tag disponibili. Quando accede a app.dmarcanalyzer.com, vada su "Record DNS" per generare il suo record DMARC. Sono necessari solo i tagv (version) e p (policy).
3. Scelga una politica DMARC
Sono disponibili tre possibili impostazioni dei criteri, o disposizioni dei messaggi:
- nessuna politica: Vuole solo monitorare i risultati DMARC e non vuole intraprendere un'azione specifica su tutte le e-mail che non vanno a buon fine. Può utilizzare il criterio "nessuno" per iniziare con DMARC e raccogliere tutti i rapporti DMARC e iniziare ad analizzare questi dati.
- politica di quarantena: Mette in quarantena le e-mail che non superano i controlli. La maggior parte di queste e-mail finirà nella cartella della posta indesiderata del destinatario.
- politica di rifiuto: Può rifiutare tutte le e-mail che non superano il controllo DMARC. I ricevitori di e-mail dovrebbero fare questo 'a livello SMTP'. Le e-mail rimbalzeranno direttamente nel processo di invio.
Scelga una delle tre politiche DMARC per definire come desidera che i ricevitori e-mail gestiscano le e-mail che non superano i controlli DMARC del suo record DMARC.
La modalità di allineamento (aspf / adkim) si riferisce alla precisione con cui i record del mittente vengono confrontati con le firme SPF e DKIM; i due valori possibili sono rilassato o rigoroso, rappresentati rispettivamente da "r" e "s". In breve, relaxed consente corrispondenze parziali, come i sottodomini di un determinato dominio, mentre strict richiede una corrispondenza esatta.
Si assicuri di includere il suo indirizzo e-mail con il tag opzionale rua per ricevere i rapporti giornalieri.
4. Aggiunga il record DMARC al suo DNS
La creazione di un record TXT con il nome e il valore appropriati è diversa per ogni host di dominio. Ci contatti se ha bisogno di aiuto per configurarlo con il suo provider.
Dovrebbe essere piuttosto semplice e potrebbe apparire come questo nel generatore:
| Utilizzi il Generatore di record DMARC per creare il suo record DMARC personale. |
| Utilizzi il DMARC Record Checker per visualizzare, testare e verificare se il suo record DMARC è valido. |
| Utilizzi le guide all'impostazione dei record per sapere come impostare il suo record DMARC per determinati webhost. |
| Software di analisi DMARCfacile da usare |
5. Analizzare i rapporti DMARC
I rapporti giornalieri sono disponibili in formato XML. Li legga per capire meglio il suo flusso di posta. I rapporti la aiutano a garantire che le sue fonti di posta in uscita si stiano autenticando correttamente. Si assicuri che i vari IP che inviano e-mail che affermano di provenire dal suo dominio siano effettivamente legittimi, configurandoli correttamente con DKIM o aggiungendoli alla loro gamma SPF. I rapporti aiutano anche gli amministratori ad agire rapidamente quando hanno una politica di blocco in atto, se una nuova fonte di posta viene messa online o la configurazione di una fonte di posta esistente si rompe.
Ecco un estratto di un rapporto che mostra i risultati dei messaggi inviati da un paio di indirizzi IP, uno inviato direttamente e l'altro inoltrato. Entrambi i messaggi sono passati:
<record>
<row>
<source_ip>207.126.144.129</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
</policy_evaluated>
<identities>
<header_from>yourdomain.com</header_from>
</row>
</identità>
<auth_results>
<dkim>
<domain>yourdomain. <com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>domain>yourdomain.com</domain>
<result>pass</result>
</identities>
/spf>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>207.126.144.131</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<reason>
<type>forwarded < identità></type>
<comment></comment>
</reason>
</policy_evaluated>
<identities>
<header_from>yourdomain.com</header_from>
</row>
</identità>
<auth_results>
<dkim>
<domain>yourdomain. <com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>domain>yourdomain.com</domain>
<result>pass</result>
< /spf</identities>
</spf>
</auth_results>
</record>
6. Distribuisca gradualmente la sua politica DMARC
Raccomandiamo vivamente di incrementare l'uso del DMARC lentamente, impiegando queste politiche in questo ordine. Innanzitutto, monitora il suo traffico e cerca le anomalie nei rapporti, come ad esempio i messaggi che non sono ancora stati firmati o che forse sono stati spoofati. Poi, quando è soddisfatto dei risultati, cambi l'impostazione del criterio dei record TXT da "nessuno" a "quarantena". Ancora una volta, esamini i risultati, questa volta sia nella sua cattura di spam che nei rapporti DMARC giornalieri. Infine, una volta che è assolutamente sicuro che tutti i suoi messaggi siano firmati, modifichi l'impostazione del criterio su "rifiuta" per utilizzare appieno il DMARC. Riveda i rapporti per assicurarsi che i risultati siano accettabili.
Allo stesso modo, il tag opzionale pct può essere utilizzato per mettere in scena e campionare la sua distribuzione DMARC. Poiché 100% è il valore predefinito, passando "pct=20" nel suo record TXT DMARC, un quinto dei messaggi interessati dalla politica riceve effettivamente la disposizione, anziché tutti. Questa impostazione è particolarmente utile quando decide di mettere in quarantena e rifiutare le e-mail. Inizi con una percentuale più bassa e la aumenti ogni pochi giorni.
Quindi, un ciclo di distribuzione conservativo potrebbe assomigliare:
Tentare di rimuovere le percentuali per completare la distribuzione. Come sempre, riveda i suoi rapporti giornalieri.
7. Mantenere la conformità e la sicurezza in modo continuativo
L'impostazione del DMARC è solo l'inizio. La gestione continua è essenziale affinché il suo dominio rimanga protetto. Nel corso del tempo, possono essere aggiunti nuovi servizi di invio di e-mail o quelli esistenti possono cambiare il loro comportamento. Ecco perché sono necessari controlli regolari dei suoi record DMARC, SPF e DKIM per garantire che tutto sia allineato e che l'autenticazione DMARC rimanga intatta. Mantenga la conformità rivedendo periodicamente i record DNS del suo dominio e confermando che tutte le fonti di posta autorizzate continuino a superare i controlli di autenticazione. È anche importante aggiornare i tag rua e ruf se gli indirizzi di segnalazione o l'infrastruttura cambiano, per evitare di perdere i dati chiave della segnalazione DMARC. Questa diligenza continua supporta una configurazione DMARC sana che si adatta alla crescita della sua organizzazione. Rimanere aggiornati sull'evoluzione degli standard di sicurezza delle e-mail aiuta a proteggere dalle minacce di spoofing, a migliorare la deliverability delle e-mail e a rafforzare la reputazione di mittente del suo dominio. Utilizzi regolarmente gli strumenti di validazione DMARC per individuare eventuali problemi prima che influenzino la consegna dei messaggi. Vuole creare il suo record DMARC?
| Utilizzi il Generatore di record DMARC per creare il suo record DMARC personale. |
Il mio flusso di e-mail è configurato correttamente?
Durante l'implementazione del DMARC, utilizzerà i dati DMARC per analizzare i flussi di e-mail attuali. Può farlo controllando i dati e verificando che le sue fonti di invio siano configurate correttamente.
Tenga presente che se sta testando un record DNS aggiornato (DKIM o SPF), potrebbe essere coinvolta la cache DNS che influenza il risultato. Gli aggiornamenti del suo record SPF dovrebbero essere sempre testati prima di eseguirli, utilizzando il nostro checker SPF di prevalidazione.
Software di analisi DMARC facile da usare
DMARC Analyzer offre un software di analisi DMARC facile da usare e agisce come guida esperta per portarla verso una politica di rifiuto il più rapidamente possibile. DMARC Analyzer offre una soluzione SaaS che consente alle organizzazioni di gestire facilmente la complessa distribuzione DMARC. La soluzione offre visibilità e governance a 360° su tutti i canali e-mail. Tutto è stato progettato per renderlo il più semplice possibile.
| Utilizzi il Generatore di record DMARC per creare il suo record DMARC personale. |
| Utilizzi il DMARC Record Checker per visualizzare, testare e verificare se il suo record DMARC è valido. |
| Utilizzi le guide all'impostazione dei record per sapere come impostare il suo record DMARC per specifici webhost. |
| Software di analisi DMARCfacile da usare |
DMARC Analyzer offre un software di analisi DMARCfacile da usare e agisce come guida esperta per portarla verso una politica di rifiuto il più rapidamente possibile.
