Cos'è DMARC?
DMARC (Domain-based Message Authentication, Reporting & Conformance) è un protocollo di autenticazione e-mail che si basa su SPF e DKIM. Consente ai proprietari di domini di pubblicare un criterio che specifica come i server riceventi devono gestire i messaggi che non riescono a eseguire l'autenticazione e fornisce meccanismi di reporting per monitorare l'autenticazione e-mail.
Perché DMARC è essenziale
SPF e DKIM hanno solo un gap critico: non dicono ai ricevitori cosa fare con i messaggi falliti. Un aggressore può inviare e-mail spoofed senza SPF/DKIM, e i ricevitori non hanno alcuna guida.
DMARC risolve questo da:
- Politica di definizione: Rifiutare, quarantena o permettere messaggi falliti
- allineamento richiesta Dall'intestazione deve corrispondere a domini SPF/DKIM
- Permette di riferire Aggregate e rapporti forensi mostrano risultati di autenticazione
Come funziona DMARC
1. Sender pubblica DMARC policy in DNS (TXT record a dmarc. domain.com)
2. Email viene inviata con Da: user@domain.com
3. # Receiver check # # SPF e DKIM #
4. allineamento dei controlli obbligatori Il dominio autenticato corrisponde all'intestazione?
5. # Policy applicato # Sulla base di DMARC record (none, quarantena, rifiuto)
6. Reporti inviati Aggregare i rapporti agli indirizzi specificati
Allineamento DMARC
DMARC richiede "allineamento" - il dominio nell'intestazione From deve corrispondere:
- allineamento SPF Il dominio del mittente (MAIL FROM)
- allineamento DKIM Il dominio d= nella firma DKIM
Senza allineamento, pass SPF/DKIM ma DMARC fallisce.
Formato record DMARC
I record DMARC sono record TXT a dmarc.yourdomain.com:
_dmarc.example.com. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"DMARC Tags
| Tag: | Obbligo | Descrizione | Esempio |
|---|---|---|---|
| V | Sì. | Versione | Traduzione: |
| P | Sì. | Politica | p=none/quarantine/rigetto |
| Rua | No. | Rapporto aggregato URI | Rua=mailto:reports@example.com |
| Ruf. | No. | Rapporto forense URI | Ruf=mailto:forensic@example.com |
| pc | No. | Percentuale di politica | Traduzione: |
| # | No. | Politica di sottomissione | spreco |
| Adkim | No. | Modalità di allineamento DKIM | adkim=s (strict) o adkim=r (relaxed) |
| # | No. | Modalità di allineamento SPF | Aspf=s o aspf=r |
Politiche DMARC
p=none: Monitorare solo—non agire sui messaggi fallitiv=DMARC1; p=none; rua=mailto:dmarc@example.com**************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************** Invia messaggi non riusciti a spam/junk
v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com- Cosa? Rispettare i messaggi falliti completamente
v=DMARC1; p=reject; rua=mailto:dmarc@example.comPercorso di implementazione DMARC
Fase 1: Monitor (p=none)
Inizia con il monitoraggio per capire il tuo ecosistema email:
v=DMARC1; p=none; rua=mailto:dmarc-reports@example.comAnalizzare i report per 2-4 settimane per identificare:
- Servizi di invio legittimi mancanti SPF/DKIM
- Mittenti non autorizzati (spoofing)
- Problemi di allineamento
Fase 2: Quarantine (p=quarantine)
Una volta autenticate le fonti legittime:
v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarc-reports@example.comUtilizzare pct=10 per mettere in quarantena solo il 10% inizialmente, aumentando gradualmente.
Fase 3: Reject (p=reject)
Protezione completa:
v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.comRapporti DMARC
Aggregate Reports (rua)
Report XML giornalieri che mostrano risultati di autenticazione in tutta la tua email:
- Volume di e-mail
- Pass/fail rate per SPF, DKIM, DMARC
- Invio di indirizzi IP
- Organizzazioni sensibili
# Forensic Reports (ruf)
Rapporti individuali di fallimento (non tutti i ricevitori inviano questi a causa della privacy):
- Intestazioni del messaggio completo
- Dati di fallimento dell'autenticazione
# Report Processing
I rapporti Raw DMARC sono XML e difficili da leggere. Utilizzare servizi come:
- Analizzatore DMARC
- Dmarciano
- Valimail
- Postmark DMARC
Controllo DMARC
dig _dmarc.example.com TXTcurl "https://domscan.net/v1/health?domain=example.com"
# Returns hasDMARC status
Questioni comuni di DMARC
Nessun rapporto ricevuto: Assicurare l'indirizzo rua può ricevere e-mail di grandi dimensioni; alcuni fornitori filtrano. Legitimate email fail: Controllare la configurazione SPF/DKIM per tutti i servizi di invio; verificare l'allineamento. Servizi di terze parti che non riescono ** Molti servizi richiedono la configurazione DKIM personalizzata per l'allineamento DMARC.DMARC è la chiave dell'autenticazione e-mail: implementarla dopo che SPF e DKIM funzionano correttamente.