Configurazione record DMARC
In questa guida spiegheremo come configurare il record DMARC (Domain-based Message Authentication, Reporting and Conformance), illustrando i tag che possono essere utilizzati per determinare il suo funzionamento secondo le vostre esigenze specifiche.
Questo record DNS indica al ricevente di una email come comportarsi nel caso i controlli eseguiti sui record SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail), che certificano la validità dell'indirizzo IP e del dominio utilizzati per l'invio, dovessero fallire. Per questo motivo, per poter utilizzare il record DMARC è necessario configurare anche i record SPF e DKIM.
I record SPF e DKIM vengono applicati solo per un dominio, nel caso siano utilizzati dei sottodomini per l'invio di email è necessario configurarli separatamente per ciascuno di essi.
I record SPF e DKIM vengono configurati automaticamente sulle zone DNS Artera all'attivazione del nostro servizio di posta. Eventuali sottodomini non sono considerati nella configurazione predefinita delle zone DNS Artera.
Il record DMARC è di tipo TXT ed è costituito da tag che ne definiscono il funzionamento, separati da ";" ad esempio:
Dove "VALORE", "VALORE_PERCENTUALE" e "INDIRIZZO_EMAIL" sono variabili che andranno impostati secondo le vostre preferenze. Di seguito vediamo di cosa si tratta, illustrando anche altri parametri utilizzabili.
Nelle zone DNS di Artera è possibile inserire solo il dominio di terzo livello come dominio, il sistema lo interpreterà per intero: nel caso dello screenshot di esempio _dmarc sarà interpretato come _dmarc.dominio.tld.
Per maggiori informazioni su come modificare le zone DNS di Artera consigliamo di consultare la nostra guida Come modificare i DNS.
Cominciamo con i tag essenziali necessari per avere un controllo minimo:
- Il tag "v=DMARC1" definisce il protocollo DMARC.
-
Il tag "p=VALORE" specifica l'azione da eseguire nel caso una email non superasse i controlli SPF e DKIM. La componente denominata "VALORE" nell'esempio può essere definito con:
none: il destinatario non esegue alcuna azione;
quarantine: permette al destinatario di identificare come spam le email;
reject: permette al destinatario di rifiutare i messaggi. - Il tag "rua=mailto:INDIRIZZO_EMAIL" invia i rapporti di stato aggregati all'indirizzo indicato come "INDIRIZZO_EMAIL".
I rapporti di stato aggregati contengono informazioni sintetiche (data e arco temporale di riferimento, dominio e IP utilizzati per l'invio, risultato delle verifiche SPF e DKIM, la politica DMARC utilizzata, il dominio associato ai record SPF e DKIM). Questi rapporti vengono mandati una volta al giorno (è possibile modificare questo periodo con l'apposito tag che vedremo sotto) e contengono le informazioni relative a tutte le email inviate in questo arco di tempo.
Avremo ad esempio:
Il record DMARC configurato in questo modo farà in modo che il destinatario dell'email, che supporti DMARC, riconosca come spam i messaggi che non superano i controlli SPF e DKIM. Il sistema invierà successivamente un rapporto aggregato all'indirizzo definito nel record, in questo caso esempio@esempio.com.v=DMARC1; p=quarantine; rua=mailto:esempio@esempio.com;
Il record DMARC può essere migliorato utilizzando altri tag, che ne definiscono il funzionamento sotto vari aspetti differenti. Di seguito trovate la loro descrizione:
- il tag "ri=VALORE" definisce il numero di secondi trascorsi tra ciascun invio dei rapporti aggregati al mittente. Il valore predefinito indicato dalla variabile "VALORE" (se non indicato nel record DMARC) è 86.400 (24 ore), ma può essere personalizzato con frequenze maggiori (48, 72 ore)
Ad esempio:
In questo caso i rapporti di stato aggregati verranno inviati ogni 72 ore, anziché ogni 24 ore.v=DMARC1; p=quarantine; rua=mailto:dmarc@dominio.tld; ri=172800;
- Il tag "pct=VALORE_PERCENTUALE" (visto nel primo screenshot di esempio) definisce la percentuale di email da trattare con l'azione definita da "p=" (visto in precedenza). Il "VALORE_PERCENTUALE" può essere specificato indicando una cifra compresa tra 1 e 100, ma quello predefinito (se non indicato nel record DMARC) è 100. Nel caso si definisse un valore differente da 100 la parte esclusa verrebbe trattata con l'azione di livello inferiore (se p=reject, la percentuale esclusa verrebbe trattata come p=quarantine; se p=quarantine, la parte esclusa sarebbe trattata come p=none).
Ad esempio:
In questo caso il 70% delle email inviate dal dominio verrebbe tratta con l'azione reject, mentre il 30% verrebbe trattata con l'azione quarantine.v=DMARC1; p=reject; pct=70; rua=mailto:dmarc@dominio.tld;
Consigliamo di non specificarlo o di definirlo a 100, in quanto valori diversi possono essere utile solo per un test graduale della configurazione.
- Il tag "sp=VALORE" definisce l'azione da eseguire se email con indirizzi corrispondenti a sottodomini falliscono i controlli SPF o DKIM. La componente denominata "VALORE" segue i criteri del tag "p=" indicati in precedenza.
Avremo ad esempio:
In questo caso il record DMARC, in aggiunta a ciò che abbiamo indicato prima, segnalerà al destinatario di non eseguire alcuna azione se il messaggio è stato inviato da un sottodominio attivo sul dominio su cui è stato configurato il record DMARC.v=DMARC1; p=reject; rua=mailto:esempio@esempio.com; sp=none;
- il tag "ruf=mailto:INDIRIZZO_EMAIL" invia rapporti forensi di eventuali fallimenti all'indirizzo indicato come "INDIRIZZO_EMAIL".
Differisce dal tag "rua" visto in precedenza in quanto invia subito rapporti dettagliati per ciascuna email che dovesse fallire i controlli SPF, DKIM e DMARC, permettendo di recuperare tempestivamente l'indirizzo IP di un eventuale invio fraudolento o identificare eventuali errori da correggere; tuttavia non tutti supportano questa opzione, è possibile quindi non ricevere questo rapporto dal destinatario.
- il tag "fo=VALORE" definisce il tipo di fallimento da segnalare per i rapporti forensi. La componente denominata "VALORE" può essere:
fo=0: genera un rapporto di errore DMARC se tutti i meccanismi di autenticazione (SPF e DKIM) non riescono a produrre un risultato "passato". Questo è il valore Predefinito (se non indicato nel record DMARC);
fo=1: genera un rapporto di errore DMARC se un meccanismo di autenticazione (SPF o DKIM) ha generato un risultato diverso da "passato";
fo=d: genera un rapporto di errore DKIM se il messaggio ha una firma che non supera il controllo di verifica;
fo=s: genera un rapporto di errore SPF se il messaggio non superato la verifica SPF.
Questo tag è opzionale e dev'essere utilizzato con il tag "ruf" visto nel punto precedente, in quanto definisce che tipo di rapporto forense inviare.
-
il tag "adkim=VALORE" definisce il grado di corrispondenza con il record DKIM. La componente denominata "VALORE" può essere:
r: verrà accettato qualsiasi sottodominio valido;
s: le intestazioni delle e-mail devono combaciare con il dominio negli header delle e-mail. -
il tag "aspf=VALORE" determina quanto i messaggi devono corrispondere alle firme SPF. La componente denominata "VALORE" può essere:
r: verrà accettato qualsiasi sottodominio valido;
s: le intestazioni delle e-mail devono combaciare esattamente con il dominio nel comando "SMTP Mail FROM".
Avremo ad esempio:
In questo caso il record DKIM si comporterà come indicato in precedenza, indicando in aggiunta che il record DKIM e SPF configurati sul dominio che invia l'email debbano combaciare perfettamente con quelli riportati nell'intestazione dell'email inviata.v=DMARC1; p=reject; rua=mailto:dmarc@dominio.tld; adkim=s; aspf=s;
Se il dominio viene utilizzato anche per l'invio di email tramite servizi esterni (come ad esempio piattaforme per l'invio di newsletter o l'invio di fatture) è necessario configurare:
- il record SPF aggiungendo l'IP del server utilizzato per spedire;
- il record DKIM fornito dal gestore del servizio.
Senza questi accorgimenti le email inviate dai servizi esterni potrebbero essere gestiti in modo indesiderato, a seconda del record DMARC impostato sul dominio, e riconosciute come spam dai server dei destinatari delle email.
Per qualsiasi chiarimento o richiesta di supporto per la configurazione del record DMARC potete contattare il nostro supporto aprendo un ticket dalla vostra area riservata admin.artera.net oppure scrivere una email a support@artera.net.