Questa guida spiega come implementare una politica DMARC per la tua posta elettronica ospitata da Infomaniak, elemento diventato indispensabile per prevenire eventuali malfunzionamenti di inoltro.

Premessa

• DMARC (Domain-based Message Authentication, Reporting, and Conformance) è uno strumento essenziale per rafforzare la sicurezza delle e-mail e proteggere il tuo dominio dalla frode verificando l'autenticità delle e-mail in uscita (attraverso meccanismi di autenticazione come SPF e DKIM) e permettendo di definire politiche di gestione delle e-mail non autenticate.
• DMARC serve per specificare agli altri fornitori di posta elettronica cosa devono fare quando rifiutano un'e-mail a causa di SPF o DKIM errati o mancanti.
• Per questo, i proprietari dei domini possono definire politiche DMARC, come "rifiutare", "quarantena" o "nessuna", per specificare come devono essere trattati questi e-mail "sospetti". Esempio:
  1. Un e-mail viene inviato da anna@domain.xyz a victor@yahoogle.abc.
  2. Il Servizio Mail di domain.xyz contiene una configurazione DMARC di tipo reject al 100%.
  3. Il Servizio Mail di yahoogle.abc è ben sicuro e procede all'analisi SPF/DKIM/DMARC dell'e-mail in arrivo da domain.xyz.
  4. Se questa analisi porta a un fallimento del SPF o DKIM, allora il Servizio Mail di yahoogle.abc rifiuterà (quindi eliminerà) il messaggio.
  5. Invierà un rapporto via e-mail se un indirizzo di report è specificato nel DMARC di domain.xyz.
     • Questi rapporti DMARC generati vi aiutano a mantenere e migliorare la sicurezza del vostro dominio; potrete così identificare eventuali errori di autenticazione e tentativi di phishing che utilizzano il vostro dominio.

Politica DMARC e percentuale di accettazione

Per gli ordini che è possibile dare ai server destinatari quando viene rilevato un messaggio sospetto, esistono 3 politiche (p = policy) che possono essere raffinate con una percentuale (pct):

nessuno

Con "p=none", nessuna e-mail viene rifiutata o messa in quarantena in base alla verifica DMARC. Tuttavia, la percentuale di ricezione può essere utilizzata per raccogliere dati sugli e-mail non autenticati, indicando quanti di questi e-mail devono essere sottoposti alla politica DMARC. Ad esempio "p=none; pct=10" significa che il 10% degli e-mail non autenticati saranno sottoposti alla politica DMARC, mentre il restante 90% sarà accettato.

quarantena

Con "p=quarantena", gli e-mail non autenticati possono essere messi in quarantena, ma la percentuale di ricezione determina la proporzione effettivamente sottoposta a questa politica. Ad esempio "p=quarantena; pct=50" significa che il 50% degli e-mail non autenticati sarà messo in quarantena, mentre il restante 50% sarà accettato.

rifiuta

Con "p=reject", gli e-mail non autenticati vengono rifiutati. La percentuale di ricezione determina la proporzione degli e-mail non autenticati che verranno effettivamente rifiutati. Ad esempio "p=reject; pct=20" significa che il 20% degli e-mail non autenticati verrà rifiutato, mentre il restante 80% verrà accettato.

Creare un record DMARC

Ci sono 2 modi per gestire il DMARC.

Se possiedi un Servizio Mail presso Infomaniak, il modo più semplice è accedere all'utensile di Sicurezza globale per gestire la tua politica di sicurezza DMARC e i rapporti:

Ma l'registrazione DMARC essendo un tipo di registrazione DNS, generalmente di tipo TXT, è possibile gestirla anche dalla zona DNS del nome di dominio:

1. Clicca qui per accedere alla gestione del tuo prodotto su Manager Infomaniak (hai bisogno di aiuto?).
2. Fai clic direttamente sul nome assegnato al prodotto interessato.
3. Clicca su Zona DNS nel menu laterale sinistro.
4. Fai clic sul pulsante per aggiungere un record:
   
5. Clicca sul pulsante radio DMARC per aggiungere un record.
6. Clicca sul pulsante Avanti:
   
7. Lascia (o aggiungi se necessario) il valore _dmarc nel campo Fonte.

8. Il campo Destinazione deve contenere i parametri che si desidera utilizzare, separati da ;:

   Nome del Tag	Ma	Esempio
   v	Versione del protocollo	v=DMARC1
   pct	Percentuale di messaggi sottoposti al filtraggio	pct=20
   ruf	URI di rapporto per i rapporti forensi	ruf=mailto:authfail@domain.xyz
   rua	URI di rapporto per i rapporti aggregati	rua=mailto:aggrep@domain.xyz
   p	Politica per il dominio organizzativo	p=quarantine
   sp	Politica per i sottodomini del dominio organizzativo	sp=reject
   adkim	Modalità di allineamento per DKIM	adkim=s
   aspf	Modo di allineamento per SPF	aspf=r

   Questo può dare, ad esempio, v=DMARC1;p=reject;pct=100;rua=mailto:postmaster@dmarcdomain.com (fonte)

9. Lasciare il valore predefinito per il TTL.
10. Fai clic sul pulsante Salva: