DMarc
DMARC, che sta per “Domain-based Message Authentication, Reporting & Conformance”, è un’autenticazione e-mail , una politica e un protocollo di reporting. Si basa sui protocolli SPF e DKIM ampiamente diffusi , aggiungendo nome di dominio, politiche pubblicate per la gestione dei destinatari degli errori di autenticazione e reporting dai ricevitori ai mittenti, per migliorare e monitorare la protezione del dominio da email fraudolenta.
Un record DMARC è il record in cui sono definiti i set di regole DMARC. Questo record informa gli ISP (come Gmail, Microsoft, Yahoo! ecc.) Se un dominio è impostato per utilizzare DMARC. Il record DMARC contiene la politica. Il record DMARC deve essere inserito nel tuo DNS. Il nome del record TXT deve essere “_dmarc.yourdomain.com” dove “yourdomain.com” viene sostituito con il tuo nome di dominio effettivo (o sottodominio).
Ecco i tag più comuni utilizzati nei record TXT DMARC:
| Nome tag | Necessario | Scopo | Esempio |
|---|---|---|---|
| v | necessario | Versione del protocollo | v = DMARC1 |
| p | necessario | Politica per il dominio | p = none |
| PCT | Opzionale | % di messaggi sottoposti a filtraggio | PCT = 20 |
| rua | Opzionale | Opzionale | rua = mailto: info@example.com |
| RUF | Opzionale | Indirizzi a cui devono essere riferite informazioni forensi specifiche del messaggio (elenco di URI di testo semplice separato da virgole). | RUF = mailto: report@example.com |
| rf | Opzionale | Formato da utilizzare per report di informazioni forensi specifici del messaggio (elenco di valori in testo semplice separati da virgole). | rf = afrf |
| aspf | Opzionale | Modalità di allineamento per SPF | aspf = r |
| adkim | Opzionale | Modalità di allineamento per DKIM | adkim = r |
(più dettagli sulle opzioni ed i tag sono disponibili qui : https://dmarc.org//draft-dmarc-base-00-01.html )
Se il record SPF lo avete già definito potete valutare se cambiare il parametro aspf utilizzando il valore “strict” invece di “relaxed” e quindi aspf=s . In questo modo il controllo avviene in modo più rigoroso .
Ad esempio, se un messaggio supera un controllo SPF con un dominio RFC5321.MailFrom di “cbg.bounces.example.com” e la porzione di indirizzo del campo RFC5322.From contiene “payments@example.com l’identificatore di dominio MailFrom e il dominio sono considerati “allineati” in modalità rilassata, ma non in modalità rigorosa.
Deve esserci quindi una corrispondenza esatta al 100% fra quanto dichiarato nel record SPF e quanto presente nel acampo del sender.
Direi che questa opzione può però causare altri problemi e vi conviene restare in modo relaxed a meno che non sospettiate diffusione di email di spam e/o altro come phising a nome del vostro dominio.
I report inviati all’indirizzo di email sono in formato XML e quindi non di facile lettura ; esistono però in rete dei tools che fanno l’analisi dei report xml e danno dei risultati più comprensibili.
