Skip to main content

Configurazione record DMARC

In questa guida spiegheremo come configurare il record DMARC (Domain-based Message Authentication, Reporting and Conformance), illustrando i tag che possono essere utilizzati per determinare il suo funzionamento secondo le vostre esigenze specifiche.

Questo record DNS  indica al ricevente di una email come comportarsi nel caso i controlli eseguiti sui record SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail), che certificano la validità dell'indirizzo IP e del dominio utilizzati per l'invio, dovessero fallire. Per questo motivo, per poter utilizzare il record DMARC è necessario configurare anche i record SPF e DKIM.

I record SPF, DKIM e DMARC vengono applicati solo per un dominio, nel caso siano utilizzati dei sottodomini è necessario configurarli separatamente per ciascuno di essi.

I record SPF e DKIM vengono configurati automaticamente sulle zone DNS Artera all'attivazione del nostro servizio di posta.

Il record DMARC è di tipo TXT ed è costituito da tag che ne definiscono il funzionamento, separati da ";" ad esempio:

Screenshot_dmarc_01.png

Dove "VALORE", "VALORE_PERCENTUALE" e "INDIRIZZO_EMAIL" sono variabili che andranno impostati secondo le vostre preferenze. Di seguito vediamo di cosa si tratta, illustrando anche altri parametri utilizzabili.

Nelle zone DNS di Artera è possibile inserire solo il dominio di terzo livello come dominio, il sistema lo interpreterà per intero: nel caso dello screenshot di esempio sarà: _dmarc.dominio.tld.
Per maggiori informazioni su come modificare le zone DNS di Artera consigliamo di consultare la nostra guida Come modificare i DNS.

Cominciamo con i tag essenziali necessari per avere un controllo minimo:

  • Il tag "v=DMARC1" definisce il protocollo DMARC.

  • Il tag "p=VALORE" specifica l'azione da eseguire in caso di email sospetta. La componente denominata "VALORE" nell'esempio può essere definito con:

    none: il destinatario non esegue alcuna azione se l'email non supera i controlli DMARC
    quarantine: permette al destinatario di identificare come sospette o come spam le email che non superano i controlli DMARC
    reject: permette al destinatario di rifiutare i messaggi che non superano i controlli DMARC

  • Il tag "rua=mailto:INDIRIZZO_EMAIL" invia i rapporti di stato aggregati all'indirizzo indicato come "INDIRIZZO_EMAIL".

    I rapporti di stato aggregati contengono informazioni sintetiche (data e arco temporale di riferimento, dominio e IP utilizzati per l'invio, risultato delle verifiche SPF e DKIM, la politica DMARC utilizzata, il dominio associato ai record SPF e DKIM). Questi rapporti vengono mandati una volta al giorno (è possibile modificare questo periodo con l'apposito tag che vedremo sotto) e contengono le informazioni relative a tutte le email inviate in questo arco di tempo.

Avremo ad esempio:

Screenshot_dmarc_02.png

Il record DMARC configurato in questo modo farà in modo che il destinatario dell'email, che supporti DMARC, rifiuti i messaggi che non superano i controlli e invierà un rapporto aggregato all'indirizzo definito nel record, in questo caso a esempio@esempio.com.

Il record DMARC può essere migliorato utilizzando altri tag, che ne definiscono il funzionamento sotto vari aspetti differenti. Di seguito trovate la loro descrizione:

  • - il tag "ri=VALORE" definisce il numero di secondi trascorsi tra l'invio dei rapporti aggregati al mittente. Il valore predefinito indicato dalla variabile "VALORE"(se non indicato nel record DMARC) è 86.400 (24 ore), ma può essere personalizzato con frequenze maggiori (48, 72 ore)

    Ad esempio:

    Screenshot_dmarc_04.png

    in questo caso il rapporto di stato aggregati verrà inviato ogni 72 ore, anziché ogni 24 ore.

  • Il tag "pct=VALORE_PERCENTUALE" (visto nel primo screenshot di esempio) indica la percentuale di email da verificare con i controlli DMARC. Il "VALORE_PERCENTUALE" può essere specificato indicando una cifra compresa tra 1 e 100, ma quello predefinito (se non indicato nel record DMARC) è 100.

  • Il tag "sp=VALORE" specifica l'azione da eseguire in caso di email sospetta per invio eseguito da caselle attive su sottodomini. La componente denominata "VALORE" segue i criteri del tag "p" indicati in precedenza.

    Avremo ad esempio:

    Screenshot_dmarc_03.png

    In questo caso il record DMARC, in aggiunta a ciò che abbiamo indicato prima, segnalerà al destinatario di non eseguire alcuna azione se il messaggio è stato inviato da un sottodominio attivo sul dominio su cui è stato configurato il record DMARC.

  • il tag "ruf=mailto:INDIRIZZO_EMAIL" invia rapporti forensi di eventuali fallimenti all'indirizzo indicato come "INDIRIZZO_EMAIL".
     

    Differisce dal tag "rua" visto in precedenza in quanto invia subito rapporti dettagliati per ciascuna email che dovesse fallire i controlli SPF, DKIM e DMARC, permettendo di recuperare tempestivamente l'indirizzo IP di un eventuale invio fraudolento o identificare eventuali errori da correggere; tuttavia non tutti supportano questa opzione, è possibile quindi non ricevere questo rapporto dal destinatario.


  • il tag "fo=VALORE" definisce il tipo di fallimento da segnalare per i rapporti forensi. La componente denominata "VALORE" può essere:

    fo=0: genera un rapporto di errore DMARC se tutti i meccanismi di autenticazione (SPF e DKIM) non riescono a produrre un risultato "passato". Questo è il valore Predefinito (se non indicato nel record DMARC);
    fo=1: genera un rapporto di errore DMARC se un meccanismo di autenticazione (SPF o DKIM) ha generato un risultato diverso da "passato";
    fo=d: genera un rapporto di errore DKIM se il messaggio ha una firma che non supera il controllo di verifica;
    fo=s: genera un rapporto di errore SPF se il messaggio non superato la verifica SPF.

    Questo tag è opzionale e dev'essere utilizzato con il tag "ruf" visto nel punto precedente, in quanto definisce che tipo di rapporto forense inviare.


  • il tag "adkim=VALORE" definisce il grado di corrispondenza con il record DKIM. La componente denominata "VALORE" può essere:

    r: verrà accettato qualsiasi sottodominio valido;
    s: le intestazioni delle e-mail devono combaciare con il dominio negli header delle e-mail;

  • il tag "aspf=VALORE"    determina quanto i messaggi devono corrispondere alle firme SPF. La componente denominata "VALORE" può essere:

    r: verrà accettato qualsiasi sottodominio valido.     
    s: le intestazioni delle e-mail devono combaciare esattamente con il dominio nel comando "SMTP Mail FROM"

    Avremo ad esempio:


    Screenshot_dmarc_05.png

    In questo caso il record DKIM si comporterà come indicato in precedenza, indicando in aggiunta che il record DKIM e SPF configurati sul dominio che invia l'email debbano combaciare  perfettamente con quelli riportati nell'intestazione dell'email inviata.

Se il dominio viene utilizzato anche per l'invio di email tramite servizi esterni (come ad esempio piattaforme per l'invio di newsletter o l'invio di fatture) è necessario configurare:

- il record SPF aggiungendo l'IP del server utilizzato per spedire;
- il record DKIM fornito dal gestore del servizio

Senza questi accorgimenti le email inviate dai servizi esterni potrebbero essere gestiti in modo indesiderato, a seconda del record DMARC impostato sul dominio, e riconosciute come spam dai server dei destinatari delle email. 

Per qualsiasi chiarimento o richiesta di supporto per la configurazione del record DMARC potete contattare il nostro supporto aprendo un ticket dalla vostra area riservata admin.artera.net oppure scrivere una email a support@artera.net.