• Cos’è DMARC?
• In che modo il record DMARC protegge?
• Politiche DMARC
• Tag utilizzati per il record DMARC
• Rapporti e-mail DMARC
• Crea un record DMARC sul tuo dominio

Cos’è DMARC?

DMARC è un sistema di convalida che, in combinazione con SPF e DKIM , aiuta a prevenire lo spam proteggendo i destinatari delle tue e-mail. SPF e DKIM sono metodi per autenticare un’e-mail controllando come è stata inviata e da chi. DMARC contiene la policy che determina cosa fare con un’e-mail che non può essere autenticata.

• SPF verifica se un’e-mail è stata inviata utilizzando server approvati.
• DKIM aggiunge una firma digitale alle e-mail, consentendo ai server di posta riceventi di verificare l’e-mail.
• DMARC stabilisce una politica su cosa fare con le e-mail che non superano i controlli SPF o DKIM.

Affinché DMARC sia utile, devi avere DKIM e SPF abilitati per il tuo dominio. Puoi consultare la nostra guida su come configurare il record SPF.

In che modo il record DMARC protegge?

In combinazione con SPF e DKIM, DMARC mostra ai provider di posta elettronica che sei affidabile e non truffatore. Ciò migliora la consegna complessiva, che può essere molto utile quando si inviano, ad esempio, newsletter.

Tag utilizzati per il record DMARC

Politiche DMARC

Quando crei il record DMARC, devi scegliere un criterio per determinare cosa succede con le email che non superano il controllo DMARC:

• none: serve per monitorare e raccogliere risultati senza eseguire alcuna azione; le e-mail vengono consegnate come di consueto.
• quarantine: i messaggi che non superano il controllo DMARC vanno a finire per la maggior parte nella cartella di spam del destinatario.
• reject: i messaggi e-mail che non superano il controllo DMARC non vengono consegnati affatto.

La procedura consigliata, quando si impostano i criteri, prevede di iniziare con “none” per monitorare quali e-mail vengono inviate dal tuo dominio. Quando hai concluso la fase di monitoraggio puoi procedere con “quarantine” e quindi mettere in quarantena per testare l’effetto e infine rifiutare tutte le e-mail che non possono essere autenticate con “reject”.

Se desideri solo abilitare DMARC, ti consigliamo di selezionare “quarantine”. Questo consegna le e-mail non autenticate nella cartella spam o le contrassegna come sospette.

Rapporti e-mail DMARC

Quando crei un record DMARC devi anche inserire un indirizzo email per ricevere i rapporti. I rapporti contengono una panoramica in XML di tutto il traffico e-mail dal tuo dominio e quali e-mail non superano il controllo DMARC.

Esistono due tipi di rapporti:

• I rapporti RUA vengono inviati quotidianamente e contengono una panoramica di tutte le email inviate dal tuo dominio, inclusi gli indirizzi IP.
• I rapporti RUF vengono inviati solo se un’e-mail non supera il controllo DMARC. Contengono il messaggio originale e l’intestazione del messaggio dell’e-mail non riuscita.

Ti consigliamo di creare un account e-mail sul tuo dominio e di utilizzarlo appositamente per ricevere i rapporti. Si consiglia inoltre di ottenere sia i rapporti RUA che RUF.

Per leggere i report DMARC, ti consigliamo vivamente di utilizzare un servizio esterno, ce ne sono sia gratuiti che a pagamento, che ti aiuti con l’analisi dei report, ad esempio DMARC Analyzer  o PowerDMARC.

Nota: non tutti i provider di posta elettronica aderiscono alle politiche DMARC, quindi è possibile che non tutte le e-mail inviate siano elencate.

Crea un record DMARC sul tuo dominio

1. Accedi al pannello di controllo del tuo dominio e accedi alla gestione dei DNS.
2. Vai ai record DNS e crea un nuovo record TXT.
3. Inserisci i seguenti dettagli:
   – Come nome host inserisci _dmarc
   – Come Valore inserisci il testo sottostante, aggiungendo la tua policy e il tuo indirizzo email:
   v=DMARC1; p=nome criterio; rua=mailto:indirizzo-e-mail; ruf=mailto:indirizzo-e-mail
   – Lasciare l’impostazione predefinita per TTL.
4. Salvare le impostazioni.
5. Attendi qualche minuto e controlla se il tuo record è impostato correttamente con un analizzatore DMARC.

Esempio: in questo esempio stiamo impostando il record DMARC sul dominio esempio.com. 
Abbiamo scelto la quarantena come criterio e inserito dmarc-reports@esempio.com come indirizzo email a cui verranno inviati i rapporti RUA e RUF.

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@esempio.com; ruf=mailto:dmarc-report@esempio.com; pct=100; aspf=r; adkim=r;

Puoi anche utilizzare uno dei tanti strumenti gratuiti online per generare il tuo record DMARC, come questo generatore DMARC.

In conclusione, implementare un record DMARC sul proprio dominio è un passaggio fondamentale per proteggere le e-mail aziendali e rafforzare la fiducia nei confronti dei destinatari. Il sistema DMARC, insieme ai protocolli SPF e DKIM, riduce significativamente i rischi legati al phishing e allo spoofing, proteggendo la reputazione del dominio e migliorando la consegna delle e-mail legittime. Seguendo i passaggi descritti e monitorando i rapporti DMARC, potrai ottimizzare gradualmente le tue policy e assicurarti che solo le comunicazioni autentiche raggiungano i tuoi contatti.

L'articolo Cos’è un record DMARC e come crearlo proviene da Digiwave.

IN QUESTO ARTICOLO:

• Cos’è il record SPF?
• Come si aggiunge un record SPF?
• Come è strutturato un record SPF?
• Sintassi del record SPF
• Crea il tuo record SPF

Cos’è il record SPF?

Il record SPF (Sender Policy Framework)  è un sistema di convalida della posta elettronica progettato per prevenire lo spam rilevando lo spoofing della posta elettronica. È una sorta di “autenticazione” che i server di posta elettronica eseguono per indicare quali e-mail sono legittime e quali no.

Quando un mittente invia un messaggio e-mail, il server destinatario esegue una ricerca sul dominio di invio per individuare il record SPF: la presenza di un record SPF fa sì che il server destinatario possa “capire” se l’indirizzo IP da cui è stato inviato il messaggio è un mittente autenticato e, in tal caso, il messaggio viene consegnato.
Al contrario, i messaggi inviati da mittenti non autenticati finiscono in spam.

In sintesi, il record SPF impedirà che i tuoi messaggi vengano contrassegnati come spam prima che raggiungano i tuoi destinatari.

Oltre al record SPF, sono state sviluppate nel corso degli anni altre misure per affrontare lo spoofing: Sender ID , DKIM e DMARC. 

Come si aggiunge un record SPF?

Un record SPF è collegato al nome di dominio. Quindi non è necessario un record separato per ogni indirizzo e-mail, ma uno per il nome di dominio (es. miodominio.com). Tutti gli indirizzi e-mail collegati a quel dominio sono protetti in questo modo.

Per poter aggiungere un record SPF è necessario avere accesso alla gestione dei DNS. Il record SPF è aggiunto come record TXT.
Se il DNS del proprio dominio è gestito da un provider, l’aggiunta dei record SPF è gestita dal provider.

Le modifiche ai record SPF avranno effetto solo dopo 1-4 ore.

Come è strutturato un record SPF?

Un record SPF tipo è così composto:

v=spf1 a mx ip4:123.0.0.0 ~all

Questa stringa indica che sono autorizzati in uscita:

1. tutti i server che hanno come IP il valore dei record di tipo A e MX della zona DNS sul quale è impostato l’SPF
2. l’IP 123.0.0.0

Se vogliamo includere diversi IP tra quelli autorizzati, possiamo utilizzare una sintassi di questo tipo:

v=spf1 a mx ip4:123.0.0.0 ip4:123.0.0.2/8 ip4:123.0.0.11 ~all

Per autorizzare gli indirizzi IP che si risolvono dall’SPF di un altro dominio a spedire a nostro nome scriviamo:

v=spf1 a mx ip4:123.0.0.0 ip4:123.0.0.2/8 ip4:123.0.0.11 include:spf.miohost.com ~all

Attenzione: è fondamentale includere nel record SPF tutti gli IP da cui può essere inviata posta a nome del proprio dominio!
Ad esempio, se invii la newsletter dal tuo sito devi includere l’host di invio della newsletter nel record SPF!

Sintassi del record SPF

Vediamo nel dettaglio i valori del record SPF:

v=spf1: indica quale versione dello standard SPF si utilizza; spf1 è la prima ed è perfetta
a : indica che i record A del dominio sono autorizzati
mx : indica che anche i record MX (server MX) del dominio stesso possono effettuare l’invio a nome del tuo dominio
include : indica che gli IP che si ottengono risolvendo il record SPF dell’host specificato sono autorizzati a spedire e-mail a nome del tuo dominio: nel nostro esempio “spf.miohost.com”
ip4: indica che il server con l’indirizzo IP specificato può inviare posta per questo dominio: nel nostro esempio “ip4:123.0.0.0”, “ip4:123.0.0.2/8”, “ip4:123.0.0.11”
all : questo parametro va dichiarato alla fine del record e può esprimere una serie di opzioni:

• -all = Hard Fail. Qualsiasi messaggio che non proviene da un server di posta elencato nel record SPF viene considerato spam
• ~all = Soft Fail. Qualsiasi messaggio che non proviene da un server di posta elencato nel record SPF è probabilmente spam e vengono lasciati passare con riserva
• ?all = Neutro. Per i messaggi provenienti da server che non sono stati incluso nel record SPF, non esiste una raccomandazione e devono essere considerati neutri
• +all = Pass. Nessuna restrizione per questo dominio. Indica che il record non contiene errori o avvisi ed è considerato sicuro

Crea il tuo record SPF

Per creare un record SPF personalizzato, vai qui. Sulla base di alcune domande, questo strumento genera il tuo record SPF.

Segui questi passaggi su dynu.com:

1. Inserisci il tuo nome di dominio (es. tuodominio.com)
2. Imposta “Consenti ai server elencati come MX di inviare email per tuodominio.com” su  Sì se il server che gestisce il traffico di posta elettronica in entrata dal tuo dominio invia anche la posta elettronica. Se il traffico e-mail attraverso la Piattaforma e-mail di base scade, scegliere No .
3. Impostare “Consenti l’indirizzo IP corrente del dominio per l’invio di e-mail ” su SÌ se il server Web a cui si riferisce il nome del dominio invia anche la posta. 
4. Usi un SMTP diverso? Inserisci il suo indirizzo IP nel campo “Indirizzi IP in formato CIDR che recapitano o inoltrano mail per questo dominio “. Il campo può contenere più indirizzi IP e gruppi di indirizzi IP.
5. Inserisci in questo campo il nome dei domini autorizzati ad inviare la tua posta “Qualsiasi dominio che può consegnare o inoltrare la posta questo dominio”.
6. Imposta “Consenti qualsiasi nome host che termina in lemonsoft.it per inviare email per tuodominio.com” su Sì se anche i tuoi sottodomini possono inviare e-mail.
7. “Aggiungi nomi host del server che possono recapitare o inoltrare la posta per tuodominio.com”: qui inserisci gli host che puntano a server di posta elettronica per inviare mail per il tuo dominio.
8. Copia il risultato e  aggiungilo tramite le impostazioni DNS nel pannello di controllo del tuo gestore.

L'articolo Cos’è il record SPF e come configurarlo per evitare di finire in spam proviene da Digiwave.