Configurazione record DMARC
In questa guida spiegheremo come configurare il record DMARC (Domain-based Message Authentication, Reporting and Conformance), illustrando i tag che possono essere utilizzati per determinare il suo funzionamento secondo le vostre esigenze specifiche.
Questo record DNS indica al ricevente di una email come comportarsi nel caso i controlli eseguiti sui record SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail), che certificano la validità dell'indirizzo IP e del dominio utilizzati per l'invio, dovessero fallire. Per questo motivo, per poter utilizzare il record DMARC è necessario configurare anche i record SPF e DKIM.
I record SPF, DKIM e DMARC vengono applicati solo per un dominio, nel caso siano utilizzati dei sottodomini è necessario configurarli separatamente per ciascuno di essi.
I record SPF e DKIM vengono configurati automaticamente sulle zone DNS Artera all'attivazione del nostro servizio di posta.
Il record DMARC è di tipo TXT ed è costituito da tag che ne definiscono il funzionamento, separati da ";" ad esempio:
Dove "VALORE", "VALORE_PERCENTUALE" e "INDIRIZZO_EMAIL" sono variabili che andranno impostati secondo le vostre preferenze. Di seguito vediamo di cosa si tratta, illustrando anche altri parametri utilizzabili.
Nelle zone DNS di Artera è possibile inserire solo il dominio di terzo livello come dominio, il sistema lo interpreterà per intero: nel caso dello screenshot di esempio sarà: _dmarc.dominio.tld.
Per maggiori informazioni su come modificare le zone DNS di Artera consigliamo di consultare la nostra guida Come modificare i DNS.
Cominciamo con i tag essenziali necessari per avere un controllo minimo:
- Il tag "v=DMARC1" definisce il protocollo DMARC.
-
Il tag "p=VALORE" specifica l'azione da eseguire in caso di email sospetta. La componente denominata "VALORE" nell'esempio può essere definito con:
none: il destinatario non esegue alcuna azione se l'email non supera i controlli DMARC
quarantine: permette al destinatario di identificare come sospette o come spam le email che non superano i controlli DMARC
reject: permette al destinatario di rifiutare i messaggi che non superano i controlli DMARC - Il tag "rua=mailto:INDIRIZZO_EMAIL" invia i rapporti di stato aggregati all'indirizzo indicato come "INDIRIZZO_EMAIL".
I rapporti di stato aggregati contengono informazioni sintetiche (data e arco temporale di riferimento, dominio e IP utilizzati per l'invio, risultato delle verifiche SPF e DKIM, la politica DMARC utilizzata, il dominio associato ai record SPF e DKIM). Questi rapporti vengono mandati una volta al giorno (è possibile modificare questo periodo con l'apposito tag che vedremo sotto) e contengono le informazioni relative a tutte le email inviate in questo arco di tempo.
Avremo ad esempio:
Il record DMARC configurato in questo modo farà in modo che il destinatario dell'email, che supporti DMARC, rifiuti i messaggi che non superano i controlli e invierà un rapporto aggregato all'indirizzo definito nel record, in questo caso a esempio@esempio.com.
Il record DMARC può essere migliorato utilizzando altri tag, che ne definiscono il funzionamento sotto vari aspetti differenti. Di seguito trovate la loro descrizione:
- - il tag "ri=VALORE" definisce il numero di secondi trascorsi tra l'invio dei rapporti aggregati al mittente. Il valore predefinito indicato dalla variabile "VALORE"(se non indicato nel record DMARC) è 86.400 (24 ore), ma può essere personalizzato con frequenze maggiori (48, 72 ore)
Ad esempio:
in questo caso il rapporto di stato aggregati verrà inviato ogni 72 ore, anziché ogni 24 ore. - Il tag "pct=VALORE_PERCENTUALE" (visto nel primo screenshot di esempio) indica la percentuale di email da verificare con i controlli DMARC. Il "VALORE_PERCENTUALE" può essere specificato indicando una cifra compresa tra 1 e 100, ma quello predefinito (se non indicato nel record DMARC) è 100.
- Il tag "sp=VALORE" specifica l'azione da eseguire in caso di email sospetta per invio eseguito da caselle attive su sottodomini. La componente denominata "VALORE" segue i criteri del tag "p" indicati in precedenza.
Avremo ad esempio:
In questo caso il record DMARC, in aggiunta a ciò che abbiamo indicato prima, segnalerà al destinatario di non eseguire alcuna azione se il messaggio è stato inviato da un sottodominio attivo sul dominio su cui è stato configurato il record DMARC. - il tag "ruf=mailto:INDIRIZZO_EMAIL" invia rapporti forensi di eventuali fallimenti all'indirizzo indicato come "INDIRIZZO_EMAIL".
Differisce dal tag "rua" visto in precedenza in quanto invia subito rapporti dettagliati per ciascuna email che dovesse fallire i controlli SPF, DKIM e DMARC, permettendo di recuperare tempestivamente l'indirizzo IP di un eventuale invio fraudolento o identificare eventuali errori da correggere; tuttavia non tutti supportano questa opzione, è possibile quindi non ricevere questo rapporto dal destinatario.
- il tag "fo=VALORE" definisce il tipo di fallimento da segnalare per i rapporti forensi. La componente denominata "VALORE" può essere:
fo=0: genera un rapporto di errore DMARC se tutti i meccanismi di autenticazione (SPF e DKIM) non riescono a produrre un risultato "passato". Questo è il valore Predefinito (se non indicato nel record DMARC);
fo=1: genera un rapporto di errore DMARC se un meccanismo di autenticazione (SPF o DKIM) ha generato un risultato diverso da "passato";
fo=d: genera un rapporto di errore DKIM se il messaggio ha una firma che non supera il controllo di verifica;
fo=s: genera un rapporto di errore SPF se il messaggio non superato la verifica SPF.
Questo tag è opzionale e dev'essere utilizzato con il tag "ruf" visto nel punto precedente, in quanto definisce che tipo di rapporto forense inviare.
-
il tag "adkim=VALORE" definisce il grado di corrispondenza con il record DKIM. La componente denominata "VALORE" può essere:
adkim=r: verrà accettato qualsiasi sottodominio valido;
adkim=s: le intestazioni delle e-mail devono combaciare con il dominio negli header delle e-mail;