Configure Defensive Domains

From Carini MediaWiki
Jump to navigation Jump to search


Un dominio difensivo è un dominio registrato con finalità esclusivamente protettiva (brand protection, prevenzione typo-squatting, anti-spoofing). Non è destinato a inviare né ricevere posta elettronica.

L’obiettivo è impedire qualsiasi utilizzo del dominio per l’invio di email fraudolente (spoofing, phishing, impersonificazione).

Obiettivi di configurazione

Per un dominio difensivo è opportuno:

  • impedire l’invio di email
  • impedire la ricezione di email
  • dichiarare esplicitamente tale politica nei record DNS
  • ridurre la superficie di abuso

Configurazione DNS consigliata

SPF

Pubblicare un record SPF che neghi esplicitamente ogni invio:

v=spf1 -all

Significato:

  • nessun host è autorizzato a inviare email per il dominio
  • qualunque messaggio fallirà la verifica SPF

DMARC

Configurare una policy restrittiva:

v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s;

Elementi rilevanti:

  • p=reject → rifiuto dei messaggi non allineati
  • sp=reject → applicazione anche ai sottodomini
  • adkim=s e aspf=s → allineamento stretto

Questo impedisce l’abuso del campo From: del dominio.

MX (Null MX record)

È raccomandato configurare un Null MX record per indicare che il dominio non accetta posta.

Secondo RFC 7505, il record deve essere:

@ IN MX 0 .

Significato:

  • il dominio non dispone di server di posta
  • i sistemi conformi non tenteranno la consegna SMTP

Questo riduce:

  • tentativi di consegna inutili
  • traffico indesiderato
  • possibilità di configurazioni accidentali future

Record A/AAAA

Non è necessario configurare record A/AAAA se il dominio non ospita servizi.

Se presenti, assicurarsi che non vengano utilizzati per servizi mail.

Configurazione opzionale

Reporting DMARC

È possibile aggiungere un indirizzo per report aggregati (RUA):

v=DMARC1; p=reject; rua=mailto:dmarc-report@dominio.tld;

Utile per monitorare eventuali tentativi di abuso.

Considerazioni operative

  • Non configurare mai server SMTP per un dominio difensivo.
  • Evitare record SPF permissivi (es. ~all).
  • Applicare la stessa policy ai sottodomini.
  • Verificare periodicamente la configurazione DNS.

Riepilogo minimo raccomandato

Record DNS essenziali per un dominio difensivo:

  • SPF → v=spf1 -all
  • DMARC → v=DMARC1; p=reject; sp=reject;
  • MX → 0 . (Null MX)

Con questa configurazione:

  • l’invio viene bloccato
  • la ricezione viene disabilitata
  • l’abuso del dominio è significativamente ridotto
Retrieved from "https://wiki.carini.ch/index.php?title=Configure_Defensive_Domains&oldid=302"