Come impostare un record DMARC

Che cos'è un record DMARC?

Un record DMARC è il record in cui vengono definiti i set di regole DMARC. Questo record informa gli ISP (come Gmail, Microsoft, Yahoo! ecc.) se un dominio è impostato per utilizzare il DMARC. Il record DMARC contiene la politica e deve essere inserito nel suo DNS.

Come impostare un record DMARC

1. Valutare la sua infrastruttura e-mail

Prima di configurare il DMARC, valuti la sua attuale infrastruttura e-mail e identifichi tutti i mittenti e le fonti legittime associate al suo dominio. Questo include:

• Fornitori di servizi e-mail
• Piattaforme di automazione del marketing
• Qualsiasi server e-mail di terze parti utilizzato per inviare e-mail per suo conto

Una volta identificati, documentare ogni mittente e fonte in un elenco centralizzato, includendo il dominio utilizzato, gli IP di invio e se supportano SPF o DKIM. Avrà bisogno di questo inventario nelle fasi successive, quando configurerà SPF, DKIM e DMARC, per assicurarsi che ogni servizio legittimo sia completamente autenticato. Mantenere questo elenco aggiornato aiuta anche a prevenire le lacune che portano a fallimenti del DMARC, man mano che vengono aggiunti nuovi strumenti.

Una volta che SPF e DKIM sono stati attivati, può configurare il DMARC aggiungendo le politiche ai record DNS del suo dominio sotto forma di record TXT (proprio come con SPF o DKIM).

Il nome del record TXT dovrebbe essere "_dmarc.yourdomain.com". dove "yourdomain.com" viene sostituito con il suo nome di dominio effettivo (o sottodominio).

2. Selezioni i record e i tipi di DNS TXT:

I record DNS TXT sono semplici voci di testo che aggiunge alle impostazioni DNS del suo dominio. Di solito si trovano nel registrar del dominio o nel provider di hosting DNS (ad esempio, GoDaddy, Cloudflare, Namecheap). Questi record indicano ai server di posta ricevuti come autenticare le e-mail provenienti dal suo dominio personalizzato e come gestire i messaggi che non superano i controlli DMARC.

Come minimo, ogni configurazione DMARC deve includere i tag v=DMARC1 e p= (policy), ma molte organizzazioni impostano anche tag opzionali come rua, ruf, aspf e adkim fin dall'inizio, perché forniscono visibilità e un migliore controllo.

Se non è sicuro di dove trovare queste impostazioni, cerchi il pannello di gestione DNS dove ha precedentemente aggiunto i suoi record SPF o DKIM. Il suo record DMARC andrà nello stesso posto.

Visiti il Registro dei tag DMARC per altri tag disponibili. Quando accede a app.dmarcanalyzer.com, vada su "Record DNS" per generare il suo record DMARC. Sono necessari solo i tagv (version) e p (policy).

3. Scelga una politica DMARC

 Sono disponibili tre possibili impostazioni dei criteri, o disposizioni dei messaggi:

• nessuna politica: Vuole solo monitorare i risultati DMARC e non vuole intraprendere un'azione specifica su tutte le e-mail che non vanno a buon fine. Può utilizzare il criterio "nessuno" per iniziare con DMARC e raccogliere tutti i rapporti DMARC e iniziare ad analizzare questi dati.
• politica di quarantena: Mette in quarantena le e-mail che non superano i controlli. La maggior parte di queste e-mail finirà nella cartella della posta indesiderata del destinatario.
• politica di rifiuto: Può rifiutare tutte le e-mail che non superano il controllo DMARC. I ricevitori di e-mail dovrebbero fare questo 'a livello SMTP'. Le e-mail rimbalzeranno direttamente nel processo di invio.

Scelga una delle tre politiche DMARC per definire come desidera che i ricevitori e-mail gestiscano le e-mail che non superano i controlli DMARC del suo record DMARC.

Per ridurre il rischio di bloccare la posta legittima, la prassi migliore è quella di passare gradualmente a queste politiche, iniziando con nessuna, passando alla quarantena e adottando il rifiuto solo quando è sicuro che tutte le fonti di invio siano autenticate correttamente. Questo approccio graduale le dà il tempo di convalidare i modelli di traffico e di risolvere i problemi prima che l'applicazione diventi più severa.

 

La modalità di allineamento (aspf / adkim) si riferisce alla precisione con cui i record del mittente vengono confrontati con le firme SPF e DKIM; i due valori possibili sono rilassato o rigoroso, rappresentati rispettivamente da "r" e "s". In breve, relaxed consente corrispondenze parziali, come i sottodomini di un determinato dominio, mentre strict richiede una corrispondenza esatta.

Si assicuri di includere il suo indirizzo e-mail con il tag opzionale rua per ricevere i rapporti giornalieri.

4. Aggiunga il record DMARC al suo DNS

La creazione di un record TXT con il nome e il valore appropriati è diversa per ogni host di dominio. Ci contatti se ha bisogno di aiuto per configurarlo con il suo provider.

Dovrebbe essere piuttosto semplice e potrebbe apparire come questo nel generatore:

5. Analizzare i rapporti DMARC

I rapporti giornalieri sono disponibili in formato XML. Li legga per capire meglio il suo flusso di posta. I rapporti la aiutano a garantire che le sue fonti di posta in uscita si stiano autenticando correttamente. Si assicuri che i vari IP che inviano e-mail che affermano di provenire dal suo dominio siano effettivamente legittimi, configurandoli correttamente con DKIM o aggiungendoli alla loro gamma SPF. I rapporti aiutano anche gli amministratori ad agire rapidamente quando hanno una politica di blocco in atto, se una nuova fonte di posta viene messa online o la configurazione di una fonte di posta esistente si rompe.

Ecco un estratto di un rapporto che mostra i risultati dei messaggi inviati da un paio di indirizzi IP, uno inviato direttamente e l'altro inoltrato. Entrambi i messaggi sono passati:

<record>
    <row>
        <source_ip>207.126.144.129</source_ip>
        <count>1</count>
        <policy_evaluated>
            <disposition>none</disposition>
        </policy_evaluated>
    <identities>
        <header_from>yourdomain.com</header_from>
    </row>
    </identità>
 <auth_results>
 <dkim>
 <domain>yourdomain. <com</domain>
 <result>pass</result>
 <human_result></human_result>
 </dkim>
 <spf>
            <domain>domain>yourdomain.com</domain>
 <result>pass</result>
 </identities>
    /spf>
 </spf>
    </auth_results>
</record>
<record>
<row>
 <source_ip>207.126.144.131</source_ip>
    <count>1</count>
    <policy_evaluated>
        <disposition>none</disposition>
        <reason>
            <type>forwarded < identità></type>
            <comment></comment>
        </reason>
    </policy_evaluated>
<identities>
    <header_from>yourdomain.com</header_from>
</row>
</identità>
 <auth_results>
 <dkim>
 <domain>yourdomain. <com</domain>
 <result>pass</result>
 <human_result></human_result>
 </dkim>
 <spf>
        <domain>domain>yourdomain.com</domain>
 <result>pass</result>
 < /spf</identities>
</spf>
</auth_results>
</record>

6. Distribuisca gradualmente la sua politica DMARC

Raccomandiamo vivamente di incrementare l'uso del DMARC lentamente, impiegando queste politiche in questo ordine. Innanzitutto, monitora il suo traffico e cerca le anomalie nei rapporti, come ad esempio i messaggi che non sono ancora stati firmati o che forse sono stati spoofati. Poi, quando è soddisfatto dei risultati, cambi l'impostazione del criterio dei record TXT da "nessuno" a "quarantena". Ancora una volta, esamini i risultati, questa volta sia nella sua cattura di spam che nei rapporti DMARC giornalieri. Infine, una volta che è assolutamente sicuro che tutti i suoi messaggi siano firmati, modifichi l'impostazione del criterio su "rifiuta" per utilizzare appieno il DMARC. Riveda i rapporti per assicurarsi che i risultati siano accettabili.

Allo stesso modo, il tag opzionale pct può essere utilizzato per mettere in scena e campionare la sua distribuzione DMARC. Poiché 100% è il valore predefinito, passando "pct=20" nel suo record TXT DMARC, un quinto di tutti i messaggi interessati dalla politica riceverà effettivamente la disposizione, anziché tutti. Questa impostazione è particolarmente utile quando decide di mettere in quarantena e rifiutare le e-mail. Inizi con una percentuale più bassa e la aumenti ogni pochi giorni.

Quindi, un ciclo di distribuzione conservativo potrebbe assomigliare:

• Monitorare tutti.
• Quarantena 1%.
• Quarantena 5%.
• Quarantena 10%.
• Quarantena 25%.
• Quarantena 50%.
• Mettete tutti in quarantena.
• Rifiuta 1%.
• Rifiuta 5%.
• Rifiuta 10%.
• Rifiuta 25%.
• Rifiuta 50%.
• Rifiuta tutto.

Tentare di rimuovere le percentuali per completare la distribuzione. Come sempre, riveda i suoi rapporti giornalieri.

7. Mantenere la conformità e la sicurezza in modo continuativo

L'impostazione del DMARC è solo l'inizio. La gestione continua è essenziale affinché il suo dominio rimanga protetto. Nel corso del tempo, possono essere aggiunti nuovi servizi di invio di e-mail o quelli esistenti possono cambiare il loro comportamento. Ecco perché sono necessari controlli regolari dei suoi record DMARC, SPF e DKIM per garantire che tutto sia allineato e che l'autenticazione DMARC rimanga intatta. Mantenga la conformità rivedendo periodicamente i record DNS del suo dominio e confermando che tutte le fonti di posta autorizzate continuino a superare i controlli di autenticazione.

È anche importante aggiornare i tag rua e ruf se i suoi indirizzi di segnalazione o la sua infrastruttura cambiano, per evitare di perdere i dati chiave della segnalazione DMARC. Questa diligenza continua supporta una configurazione DMARC sana che si adatta alla crescita della sua organizzazione. Rimanere aggiornati sull'evoluzione degli standard di sicurezza delle e-mail aiuta a proteggere dalle minacce di spoofing, a migliorare la deliverability delle e-mail e a rafforzare la reputazione di mittente del suo dominio. Utilizzi regolarmente gli strumenti di validazione DMARC per individuare eventuali problemi prima che influenzino la consegna dei messaggi.

Vuole creare il suo record DMARC?

Errori comuni di impostazione del DMARC da evitare

1. Ignorare i rapporti DMARC

Senza esaminare i rapporti, i problemi di autenticazione passano inosservati. I dati aggregati evidenziano i mittenti non autorizzati, le configurazioni errate e le lacune nell'infrastruttura e-mail che si manifestano comunemente durante la prima adozione. L'analisi di routine dei rapporti guida le regolazioni dei criteri e riduce i fallimenti di autenticazione, garantendo un percorso pulito verso una configurazione DMARC più rigorosa.

2. Mancanza di SPF o DKIM per un servizio di invio

Se anche un solo sistema legittimo manca di autenticazione, si verificano fallimenti DMARC che possono innescare fallimenti di autenticazione più ampi in tutto il suo ambiente. Molte organizzazioni dimenticano di autenticare i sistemi secondari come le piattaforme di fatturazione, gli strumenti di marketing o le e-mail generate dal CRM. Ogni servizio deve essere aggiunto a SPF o configurato con la propria chiave DKIM come parte della configurazione DMARC, per garantire una copertura completa.

3. Domini "Da" disallineati

L'indirizzo Da visibile deve allinearsi con i domini di firma SPF e DKIM per evitare eventi di fallimento DMARC. L'allineamento fallisce quando i mittenti di terze parti utilizzano i propri domini per impostazione predefinita o quando i sottodomini collegati a un dominio personalizzato non sono inclusi nella progettazione della politica. Assicurando un uso coerente del dominio in tutti gli strumenti, si evitano le lacune che altrimenti comprometterebbero le impostazioni e l'applicazione del DMARC.

4. Applicazione eccessivamente severa e troppo precoce

Abilitare il rifiuto troppo presto può interrompere le e-mail e i flussi di lavoro legittimi dei clienti. La maggior parte delle organizzazioni ha bisogno di un'implementazione graduale, iniziando con "nessuna" raccolta di dati e rafforzando gradualmente l'applicazione. Un approccio graduale assicura che tutti i mittenti siano autenticati prima di passare alla quarantena o al rifiuto, mantenendo la configurazione DMARC stabile durante la transizione.

5. Utilizzo di una polizza senza rapporti

Un altro errore comune è quello di pubblicare un record DMARC come V=DMARC1, p=nessuno, ma non includere gli indirizzi di segnalazione. Anche se le e-mail saranno comunque consegnate in base a una politica di nessuno, le organizzazioni non ricevono rapporti aggregati o forensi se non viene definito un indirizzo rua o ruf. Senza questi rapporti di autenticazione, i team rimangono ciechi di fronte ai tentativi di spoofing, ai mittenti non allineati e alle lacune di configurazione, rendendo difficile la convalida o il rafforzamento dell'applicazione del DMARC nel tempo.

Il mio flusso di e-mail è configurato correttamente?

Durante l'implementazione del DMARC, utilizzerà i dati DMARC per analizzare i flussi di e-mail attuali. Può farlo controllando i dati e verificando che le sue fonti di invio siano configurate correttamente.

Tenga presente che se sta testando un record DNS aggiornato (DKIM o SPF), potrebbe essere coinvolta la cache DNS che influenza il risultato. Gli aggiornamenti del suo record SPF dovrebbero essere sempre testati prima di eseguirli, utilizzando il nostro checker SPF di prevalidazione.

Software di analisi DMARC facile da usare

Mimecast offre un software di analisi DMARC facile da usare e agisce come guida esperta per portarla verso una politica di rifiuto il più rapidamente possibile. DMARC Analyzer è una soluzione SaaS che consente alle organizzazioni di gestire facilmente la complessa distribuzione DMARC. La soluzione offre visibilità e governance a 360° su tutti i canali e-mail. Tutto è stato progettato per renderlo il più semplice possibile.

Mimecast offre un software di analisi DMARC facile da usare e agisce come guida esperta per portarla verso una politica di rifiuto il più rapidamente possibile.