Impostazioni policy DMARC
Cos'è e a cosa serve un Record DMARC
DMARC è un protocollo di autenticazione delle email che permette al titolare di un dominio di specificare come si devono comportare i destinatari nel caso in cui il messaggio non sia autentico.
DMARC da quindi la possibilità ad un mittente di imporre, ai server destinatari, un comportamento sui messaggi che hanno come mittente (From:) un proprio dominio, nel caso in cui le impostazioni SPF e DKIM non risultino valide.
Il sistema di autenticazione delle email DMARC serve a proteggere dallo truffe (spoofing o phishing) con mittenti contraffatti. DMARC offre inoltre la possibilità di ricevere quotidianamente dei report in formato XML, dai server destinatari, sul flusso di email per verificare che i server che inviano email a tuo nome siano legittimi.
Impostare un Record DMARC
Prima di attivare una policy DMARC per il proprio dominio assicurarsi che il record SPF sia impostato correttamente
L'impostazione di un record DMARC richiede di scegliere come devono essere gestite le email sospette, ovvero che non risultano conformi alle impostazioni SPF e DKIM del dominio.
Le opzioni di policy (p) sono:
- none (nessuna) : nessuna azione viene eseguita sul messaggio.
- quarantine (quarantena): i messaggi sono marcati come spam e spostati nella cartella Spam di Qboxmail.
- reject (rifiuta): è richiesto al server destinatario di respingere il messaggio.
Si consiglia di attivare le policy DMARC gradualmente partendo da none e solo dopo passare a quarantine e poi reject
Un record DMARC di esempio può essere questo:
v=DMARC1; p=quarantine; rua=mailto:rua@dmarc.qboxmail.com; ruf=mailto:ruf@dmarc.qboxmail.com
che indica, ai server destinatari, di marcare come spam i messaggi sospetti ed invia il report quotidiano all'indirizzo rua@dmarc.qboxmail.com.
Per applicare il record sopra mostrato è necessario creare un record di tipo TXT nel DNS del dominio:
| Nome record | Tipo di Record | Valore |
|---|---|---|
| _dmarc.mycompany.com | TXT | v=DMARC1; p=quarantine; rua=mailto:rua@dmarc.qboxmail.com; ruf=mailto:ruf@dmarc.qboxmail.com |
Qboxmail interpreta ed applica le policy DMARC impostate dai mittenti ma non prevede l'invio dei report XML quotidiani.
E' possibile utilizzare anche dei tool web per creare le proprie policy DMARC: https://www.kitterman.com/dmarc/assistant.html
Limiti di DMARC con inoltri e risposte automatiche
Le risposte automatiche e gli inoltri possono avere dei problemi se sul dominio è impostata una policy DMARC con p=quarantine o p=reject.
Questo perchè, risposte automatiche ed inoltri, necessitano della riscrittura del mittente in quanto il server destinatario vederebbe arrivare un messaggio da un mittente per il tramite dei nostri server di inoltro ma il record SPF del mittente originale non autorizza i nostri sistemi ad inviare per suo conto.
Per questo è necessario riscrivere il mittente con la tenica del Sender Rewriting Scheme (SRS). Questa tecnica però non è ad oggi pienamente compatibile con DMARC per cui è necessario rimuovere il record DMARC o impostare la policy a p=none.
Ecco un esempio di record DMARC da impostare in questi casi:
v=DMARC1; p=none; rua=mailto:rua@dmarc.qboxmail.com; ruf=mailto:ruf@dmarc.qboxmail.com
Verifica della corretta impostazione del record DMARC nel DNS
Al fine di verificare la corretta impostazione del record DMARC sul tuo dominio puoi eseguire, da terminale, il comando nslookup:
nslookup -q=txt _dmarc.mycompany.com
che dovrebbe dare come risultato:
_dmarc.mycompany.com text = "v=DMARC1; p=quarantine; rua=mailto:rua@dmarc.qboxmail.com; ruf=mailto:ruf@dmarc.qboxmail.com
