How DMARC works
Come funziona DMARC
Premessa
Questa pagina ha un'impostazione tecnica. Si dà per scontata la conoscenza delle reti TCP/IP, di come funziona un DNS, l'autonomia nell'usare gli strumenti di configurazione relativi e una minima familiarità con la documentazione IETF.
Considerazioni di base
DMARC si basa su SPF e DKIM, arricchendoli con la funzionalità di definire politiche specifiche e di generare report dettagliati.
Implementando DMARC, i mittenti hanno la possibilità di comunicare ai server di posta elettronica destinatari le modalità preferite di gestione dei messaggi che non superano i controlli di autenticazione SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail). Tuttavia, è importante notare che i destinatari potrebbero non aderire rigorosamente o interpretare letteralmente le specifiche DMARC, influenzando così la gestione effettiva dei messaggi non autenticati.
Il concetto di "allineamento"
DMARC verifica la coerenza tra il dominio che appare nel campo "From:"[1] di un messaggio email e i domini definiti nei record SPF e DKIM. Questo processo, noto come "allineamento", può essere effettuato secondo due modalità: "strict" o "relaxed". L'allineamento assicura che il dominio mittente del messaggio sia autorizzato a inviare email per conto del dominio indicato nel campo "From:". Un messaggio potrebbe quindi risultare "non allineato" anche se i criteri SPF e DKIM vengono soddisfatti
Allineamento "strict"
In modalità "strict", l'allineamento richiede una corrispondenza esatta tra il dominio nel campo "From:" dell'email e i domini specificati nei record SPF e DKIM. Questo significa che:
- Un'email inviata con un record SPF o DKIM configurato per "
mittente.com
" sarà considerata allineata se il campo "From:" contiene lo stesso dominio "mittente.com
". - Se l'email proviene da un sotto-dominio come "
mg.mittente.com
", essa non sarà considerata allineata in modalità "strict", anche se i record SPF e DKIM sono configurati correttamente per "mg.mittente.com
.
Allineamento "relaxed"
La modalità "relaxed" offre maggior flessibilità, permettendo l'allineamento tra domini che condividono la stessa radice. In questa modalità:
- Un'email inviata da "
mg.mittente.com
" può essere considerata allineata se il campo "From:" indica "utente@mittente.com
", dato che entrambi i domini condividono la stessa radice "mittente.com
".
Questa distinzione tra allineamento "strict" e "relaxed" permette alle organizzazioni di scegliere il livello di controllo più adatto alla loro politica di sicurezza email, consentendo al contempo una gestione flessibile dei vari sotto-domini usati nelle comunicazioni.
Modalità del controllo
Lo schema della verifica di un messaggio può essere semplificato come dal diagramma sottostante:
Similmente a SPF e DKIM, DMARC usa un record DNS per validare il messaggio e sapere che policy operare. Il valore viene usato dal server ricevete che può interpretare il valore del record DMARC in modo difforme dallo standard od ignorarlo del tutto.
Differentemente da SPF e DKIM é previsto che il ricevente possa inviare al mittente (o ad una terza parte) dei report formattati come messaggi XML fornendo così un feedback utile sia per diagnosticare problemi di consegna che tentativi di impersonificazione da parte di altri.
Sul mercato esistono differenti servizi di mail security forniti in modalità SaaS come https://powerdmarc.com/ che sono in grado di ricevere i report via mail e fornire una visione sinottica del traffico.
(Si ringrazia PowerDMARC per la concessione all'utilizzo di una sua immagine)
Riferimenti esterni
Bibliografia
- La pagina Wikipedia:DMARC
- La documentazione ufficiale IETF https://datatracker.ietf.org/doc/html/rfc7489
- "What is DMARC?" su PowerDMARC https://powerdmarc.com/what-is-dmarc/
Link utili
- Power Toolbox https://powerdmarc.com/power-dmarc-toolbox/
- DMARC Record Lookup https://mxtoolbox.com/dmarc.aspx