La configurazione tecnica è un passaggio cruciale ma un po’ confuso quando si configura il dominio perfetto.

Vedremo cos’è DMARC, come configurarlo e perché è così importante.

Che cos’è DMARC

DMARC è l’acronimo di «Domain-based Message Authentication, Reporting and Conformance».

È un protocollo di autenticazione e sicurezza e-mail progettato per aiutare le organizzazioni a proteggere i propri domini di posta elettronica da spoofing, phishing e altri attacchi basati sulla posta elettronica.

DMARC si basa su altri due protocolli di autenticazione e-mail, SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail), per fornire un approccio completo all’autenticazione e alla convalida delle e-mail.

DMARC è una specifica tecnica utilizzata nell’autenticazione delle e-mail.

Il suo scopo è proteggere i domini di invio dall’uso non autorizzato. Con ciò intendiamo specificamente che aiuta a prevenire il phishing, compromessi relativi alla posta elettronica aziendale (BEC)e altre truffe via email.

Perché DMARC è importante?

Non tutti utilizziamo la posta elettronica per gli stessi scopi.

Abbiamo raggruppato gli utenti di posta elettronica in tre diverse categorie in modo da poter capire come DMARC apparirà utile indipendentemente dal tuo lavoro principale.

  • Fornitori di cassette postali

A volte i messaggi non superano il processo di autenticazione.

La politica DMARC offre tutte le informazioni necessarie su come filtrare questi messaggi.

In caso di dubbio, i provider di caselle di posta inviano in genere un messaggio non autenticato, poiché è più probabile che un cliente preferisca eliminare lo spam piuttosto che perdere un’e-mail effettiva che avrebbe potuto essere utile e significativa.

Ecco perché a volte lo spam penetra nella tua casella di posta.

Tutti i principali provider di caselle di posta supportano DMARC. In effetti, l’implementazione di DMARC è un segnale per questi fornitori che sei un mittente responsabile e affidabile di cui possono fidarsi.

Tutti i principali provider di caselle di posta supportano DMARC. Ad esempio:

Gmail: Per configurare correttamente DMARC, DKIM e SPF devono avere messaggi autenticati per almeno 48 ore.

→ Yahoo: secondo la politica DMARC di Yahoo, tutte le email inviate da un account @yahoo .com verranno rifiutate se non inviate direttamente da un server Yahoo.

ATTENZIONE: a partire dal 1° febbraio 2024, ci saranno alcune modifiche che potrebbero influire sull’invio di email dai server Gmail, Yahoo e AOL. Quindi non dimenticate di controllali.

Microsoft Outlook: Avrai bisogno di un centro di amministrazione di Microsoft 365 e dell’accesso al tuo provider DNS per configurarlo.

→ AOL: ha un tag p=reject, quindi funziona proprio come Yahoo. Tieni presente questo aspetto se stai utilizzando un servizio di invio di email a freddo o in blocco.

Alcuni altri server non convalidano i record DMARC, come…

→ Mailchimp: tuttavia, puoi aggiungerlo in aggiunta a SPF o DKIM.

  • Destinatari e-mail

Questo gruppo probabilmente beneficia maggiormente di una buona politica DMARC, in quanto assicurerà che nessuna email dannosa o spam arrivi nella tua casella di posta. Vi proteggerà anche dall’impersonificazione nel campo «da», che in genere può portare a frodi.

  • Mittenti di posta elettronica

Il miglior vantaggio che i mittenti ricevono da DMARC è un dominio di posta elettronica sicuro e protetto. Garantire un’elevata recapitabilità delle email garantirà la reputazione del tuo dominio.

Inoltre, riceverai report sugli indirizzi IP che inviano posta per conto del tuo dominio. Ciò consente di tenere d’occhio lo spoofing delle e-mail e scoprire se le e-mail legittime presentano problemi di autenticazione che influiscono sulla recapitabilità.

Come funziona DMARC?

DMARC entra in azione per ultimo in un processo di autenticazione in tre fasi.

Prima di tutto, devi configurare SPF e DKIM.

SPF (Sender Policy Framework)

SPF consente al proprietario di un dominio di specificare quali server di posta sono autorizzati a inviare e-mail per conto di quel dominio. I destinatari delle e-mail possono quindi controllare i record SPF delle e-mail in arrivo per verificarne l’autenticità.

La configurazione dell’SPF è un passaggio fondamentale per prevenire lo spoofing delle e-mail e gli attacchi di phishing.

Ecco i passaggi per configurare l’SPF:

  1. Comprendi la sintassi SPF: i record SPF vengono pubblicati come record TXT DNS (Domain Name System) per il tuo dominio. Dovrai specificare quali indirizzi IP o server di posta sono autorizzati a inviare email per conto del tuo dominio utilizzando la sintassi SPF. I record SPF sono definiti in un record TXT nelle impostazioni DNS.
  2. Determina i tuoi server di posta autorizzati: prima di creare un record SPF, devi identificare i server di posta autorizzati a inviare e-mail per conto del tuo dominio. Ciò potrebbe includere i tuoi server di posta, i servizi di email marketing e qualsiasi altra fonte legittima.
  3. Crea il tuo record SPF: Una volta identificati i server di posta autorizzati, puoi crea il tuo record SPFI record.SPF vengono in genere aggiunti ai record DNS del dominio come record TXT. La sintassi SPF consente di specificare quali server sono autorizzati a inviare posta dal dominio.
  4. Ecco un esempio di record SPF:
  • v=spf1 indica che si tratta di un record SPF.
  • includi: _spf.google.com consente qualsiasi server di posta elencato nella _spf.example.com Record SPF per inviare email per conto del tuo dominio.
  • ~ tutti è un meccanismo soft fail che indica ai server di posta riceventi di contrassegnare le e-mail provenienti da fonti non autorizzate come «controlli SPF falliti» ma non necessariamente di rifiutarle.

Puoi personalizzare il tuo record SPF in base alle tue esigenze specifiche.

4. Aggiungi il record SPF al DNS: accedi all’interfaccia di gestione DNS del tuo dominio, spesso fornita dal registrar di domini o dal provider di hosting. Crea un nuovo record TXT con il nome del tuo dominio (ad es. esempio.com) e incolla il tuo record SPF come valore del record. Salva le modifiche.

5. Metti alla prova il tuo record SPF: dopo aver aggiunto il record SPF, è essenziale testarlo per assicurarsi che sia configurato correttamente. Esistono strumenti di test dei record SPF online come «SPF Record Testing Tools» di dmarcian, che possono aiutarti a verificare se il tuo record SPF è impostato correttamente.

6. Monitora le modifiche ai record SPF: tieni d’occhio il tuo record SPF, soprattutto quando apporti modifiche alla tua infrastruttura di posta. Configurazioni SPF errate possono far sì che le email legittime vengano contrassegnate come spam o rifiutate.

DKIM (DomainKeys Identified Mail)

DKIM aggiunge una firma digitale alle e-mail in uscita, che può essere verificata dai destinatari di e-mail utilizzando la chiave pubblica pubblicata nei record DNS del dominio.

Questo aiuta a garantire che il contenuto dell’email non sia stato manomesso durante il transito.

Ecco come configurare DKIM:

1. Genera una coppia di chiavi DKIM:

a. Accedi al pannello di controllo o all’interfaccia del tuo server di posta elettronica o del tuo provider di hosting. Molti provider di hosting offrono la possibilità di generare coppie di chiavi DKIM direttamente dal loro pannello di controllo.

b. Se il tuo servizio di posta elettronica non fornisce questa funzionalità, puoi utilizzare uno strumento di generazione di chiavi DKIM o un generatore online per creare una coppia di chiavi DKIM. Uno strumento popolare è OpenSSL:

openssl genpkey -algorithm RSA -out private.pem -aes256 -outform PEM
openssl rsa -in private.pem -pubout -out public.pem

Questi comandi genereranno una chiave privata (private.pem) e una chiave pubblica corrispondente (public.pem).

2. Configura il tuo server di posta elettronica:

a. Accedi alla configurazione del tuo server di posta elettronica o al pannello di controllo e individua la sezione per le impostazioni DKIM.

b. Carica o copia la chiave privata (private.pem) nella configurazione DKIM del tuo server di posta elettronica. Il modo per eseguire questa operazione può variare a seconda del software del server di posta elettronica.

c. Assicurarsi che la chiave privata sia protetta e non sia esposta a persone non autorizzate.

3. Aggiungi un record DNS DKIM:

a. Dopo aver configurato il server di posta elettronica con la chiave privata, è necessario creare un record DNS DKIM. Questo record DNS consentirà ai server di posta elettronica riceventi di verificare l’autenticità delle tue e-mail.

b. Nell’interfaccia di gestione DNS (fornita dal registrar di domini o dal provider di hosting), crea un record TXT con un nome che segua il formato del selettore DKIM. Il selettore DKIM è un nome univoco che scegli, utilizzato nella firma DKIM. In genere è un nome breve e descrittivo come «2024″ o «predefinito».

Ad esempio, se il tuo dominio è example.com e hai scelto «predefinito» come selettore DKIM, il nome del tuo record DNS potrebbe essere simile a:

default._domainkey.example.com


c. Il valore di questo record TXT deve essere la tua chiave pubblica (public.pem) racchiusa tra virgolette. Dovrebbe assomigliare a questo:

“v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAy…”

Assicurati di sostituire l’esempio precedente con la tua chiave pubblica DKIM effettiva.

4. Pubblica il record DKIM:

Dopo aver creato il record DNS DKIM, salva le modifiche. La propagazione dei record DNS su Internet può richiedere del tempo, quindi sii paziente. Puoi utilizzare i correttori DKIM online per verificare che il tuo record DKIM sia pubblicato correttamente.

5. Verifica l’autenticazione DKIM:

Per assicurarti che DKIM funzioni correttamente, invia un’email dal tuo dominio e controlla le intestazioni delle email. Dovresti vedere un’intestazione con firma DKIM che indica che l’autenticazione DKIM è attiva.

6. Monitora e mantieni:

Monitora regolarmente la tua configurazione DKIM per assicurarti che continui a funzionare correttamente. Se apporti modifiche alla tua infrastruttura e-mail o ruoti le chiavi DKIM, aggiorna i record DNS di conseguenza.

L’implementazione di DKIM migliora la sicurezza delle e-mail e aiuta a stabilire la fiducia dei destinatari delle e-mail prevenendo lo spoofing delle e-mail e garantendo l’integrità dei messaggi in uscita.

Ultime, ma non meno importanti… politiche DMARC

DMARC aiuta le organizzazioni a combattere lo spoofing delle email e gli attacchi di phishing fornendo un modo per applicare le politiche di autenticazione per i loro domini. Consente inoltre ai proprietari di domini di ottenere informazioni sulla consegna delle e-mail e identificare potenziali minacce alla sicurezza attraverso la segnalazione e il monitoraggio.

DMARC consente al proprietario amministrativo di un dominio di pubblicare una politica nei propri record DNS per specificare quale meccanismo (DKIM, SPF o entrambi) viene utilizzato per l’invio di e-mail da quel dominio; come controllare il campo «Da:» presentato agli utenti finali; come il destinatario deve gestire i guasti e un meccanismo di segnalazione per le azioni eseguite nell’ambito di tali politiche.

In base ai risultati ricevuti da SPF e DKIM, ci sono tre possibili esiti per il DMARC:

1. Politica di «quarantena»:

L’email verrà recapitata ma sarà contrassegnata come spam o inviata direttamente nella cartella spam.

  • Comportamento: Quando si specifica una politica DMARC di «quarantena», le e-mail che non superano l’autenticazione DMARC vengono in genere recapitate nella cartella spam o quarantena del destinatario. Il comportamento esatto può variare a seconda del provider di servizi di posta elettronica del destinatario.
  • Esempio di record DMARC:
v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com; ruf=mailto:dmarc-forensics@example.com

2. Politica di «rifiuto»:

Queste e-mail sono bloccate, quindi non possono raggiungere i destinatari, né possono farlo altre e-mail inviate dallo stesso mittente.

  • Comportamento: In base a una politica DMARC di «rifiuto», le e-mail che non superano l’autenticazione DMARC vengono respinte definitivamente dal server di posta elettronica ricevente. Queste e-mail non vengono recapitate nella casella di posta, nella cartella spam o nella cartella di quarantena del destinatario. Vengono invece rifiutate e possono generare un messaggio di rimbalzo al mittente.
  • Esempio di record DMARC:
v=DMARC1; p=reject; rua=mailto:dmarc@example.com; ruf=mailto:dmarc-forensics@example.com

3. Politica «Nessuna»:

Le e-mail arrivano nella casella di posta del destinatario e sono pronte per essere aperte e lette.

  • Comportamento: Una politica DMARC «nessuna» è essenzialmente una politica di monitoraggio. Indica ai server di posta elettronica riceventi di non intraprendere alcuna azione specifica in base ai risultati DMARC. Invece, consente di raccogliere report DMARC per l’analisi senza influire sulla consegna delle e-mail.
  • Esempio di record DMARC:
v=DMARC1; p=none; rua=mailto:dmarc@example.com; ruf=mailto:dmarc-forensics@example.com


In base a ciascuna di queste politiche, DMARC fornisce anche meccanismi per specificare quali azioni intraprendere quando le email superano l’autenticazione DMARC. L’obiettivo principale di queste politiche è come gestire le email che non superano i controlli DMARC.

È importante notare che l’esatto comportamento dei server di posta elettronica può variare e non tutti i provider di servizi di posta elettronica applicano completamente le politiche DMARC.

Per garantire una corretta implementazione di DMARC e monitorarne l’impatto, è essenziale rivedere regolarmente i report DMARC e modificare le impostazioni delle politiche secondo necessità.

Inoltre, le organizzazioni possono iniziare con una politica «nessuna» o «quarantena» e passare gradualmente a una politica di «rifiuto» man mano che acquisiscono fiducia nelle proprie pratiche di autenticazione delle e-mail.

Ci sono tag DMARC aggiuntivi come:

v= Version of DMARC used (DMARC1)
p= DMARC enforcement policy: none, quarantine, or reject
rua= List of email addresses where DMARC aggregate reports are sent
pct= Percentage of messages that are subject to the enforcement policy. Default is pct=100
aspf= Defines the alignment mode for SPF, which could be strict or relaxed with pass/fail scenarios
adkim= Defines the alignment mode for DKIM, which could be strict or relaxed with pass/fail scenarios
sp= Represents different enforcement policies for subdomains
ruf= Lists email addresses for sending DMARC failure/forensic reports.
fo= Indicated the options for creating a DMARC failure/forensic report
rf= Declares the forensic reporting format for message-specific failure reports
ri= Sets the interval for sending DMARC reports, which is defined in second but is usually 24 hours or more

Come pubblicare un record DMARC

Per pubblicare un record DMARC, segui questi passaggi:

  1. Assicurati di aver precedentemente impostato SPF e DKIM e che siano attivi da almeno 48 ore.
  2. Aggiungete il vostro record DMARC al vostro DNS creando un nuovo record.
  3. Usa il tipo di record TXT
  4. Inserisci _dmarc nel campo Nome o Host.
  5. Determina la politica DMARC che vuoi implementare e quanto rigida vuoi che sia la tua politica.
  • nessunaModalità solo monitoraggio. Raccogli report DMARC senza influire sulla consegna delle email.
  • quarantenaLe email non riuscite vengono recapitate nella cartella spam o in quarantena del destinatario.
  • rifiutareLe email non riuscite vengono rifiutate e non vengono recapitate nella casella di posta del destinatario.
  1. Crea un record DMARC

Per creare un record DMARC, è necessario specificare la versione DMARC, la politica e altri tag opzionali.

Ecco un esempio di record DMARC di base:

NOTA: Sostituisci dmarc@example.com con il tuo indirizzo email.

Puoi includere tag aggiuntivi se necessario per personalizzare la tua politica DMARC.

  1. Accedi al sito web del tuo provider di hosting DNS o accedi al pannello di controllo del tuo registrar di domini dove gestisci i record DNS per il tuo dominio.
  2. Individua l’opzione per aggiungere o modificare un record DNS DMARC e creare un nuovo record TXT con il seguente formato:
  • Nome del record: _dmarc.tuodominio.com (sostituisci yourdomain.com con il tuo dominio effettivo)
  • Tipo di registrazione: TXT
  • Valore: incolla il record DMARC che hai creato in precedenza.

Ad esempio, se il tuo dominio è example.com, il nome del tuo record DNS DMARC sarà _dmarc.example.com

  1. Salva o crea il record DMARC. Il record DNS DMARC richiede in genere entro poche ore o fino a 48 ore.
  2. Testa il tuo record DMARC per assicurarti che il tuo record DMARC sia pubblicato correttamente e funzioni come previsto, puoi utilizzare strumenti di test dei record DMARC online o ricevere e analizzare i report DMARC.
  3. Monitora i report DMARC inviati all’indirizzo email specificato nel rua tag
    Questi report forniscono informazioni sullo stato di autenticazione delle e-mail per il tuo dominio e ti aiutano a perfezionare la tua politica DMARC.
  4. Modifica gradualmente la tua politica.
    Puoi iniziare con una politica meno rigida (ad es. p=nessuno) e aumentare gradualmente il rigore della politica (ad es. p=quarantena o p=rifiuto) man mano che acquisisci sicurezza nelle tue pratiche di autenticazione delle email.

La pubblicazione di un record DMARC (Domain-based Message Authentication, Reporting and Conformance) comporta l’aggiunta di un record DNS TXT alle impostazioni DNS del dominio.

Questo record DMARC definisce la politica DMARC del tuo dominio e specifica dove devono essere inviati i report DMARC. Ecco una guida dettagliata su come pubblicare un record DMARC:

Rapporto DMARC

Essenzialmente, come con tutti gli altri report, un report DMARC consente di valutare la deliverability di un particolare dominio.

Riceverai informazioni complete su come e dove arrivano le tue email e sulla loro autenticità. Sarai anche in grado di individuare le email che si presume vengano inviate dal tuo dominio.

Con queste informazioni, vedrai chiaramente i problemi che devi risolvere (e anche cosa stai facendo bene).

Sfortunatamente, i report vengono inviati in un formato XML che può essere piuttosto difficile da analizzare, quindi uno strumento che renderà tali report più leggibili, come Analizzatore di report DMARC di easyDMARC può essere molto utile.

Ma quali informazioni visualizzerai esattamente nel tuo rapporto?

  • Tutti i domini che inviano email utilizzando il tuo dominio nel campo «Da»
  • Indirizzi IP dei domini che utilizzano il tuo dominio
  • Il numero di email giornaliere
  • Risultati dell’autenticazione SPF e DKIM
  • Risultati DMARC
  • E-mail che sono state messe in quarantena
  • Email che sono state rifiutate
  • Segnalazioni forensiche/di guasto

Come abilitare i report DMARC

  1. Crea un record DMARC.
  2. Inserisci l’indirizzo email a cui desideri ricevere i report aggregati nel campo «Email di segnalazione». Ti consigliamo di non utilizzare il tuo indirizzo email principale, in modo da non ingombrare la tua casella di posta con report giornalieri.
  3. Inserisci il tuo indirizzo email nel campo «Failure Reporting» per ricevere rapporti forensi DMARC.
  4. Dopo aver inserito il resto delle tue informazioni, fai clic su «genera»
  5. Pubblica il tuo record nel tuo DNS quando è pronto.

Ora che abbiamo discusso l’uso e il processo dei report DMARC, analizziamo i due tipi di report:

Rapporti aggregati (rua)

I report con un tag rua sono essenzialmente report descrittivi generici.

Questi report vengono inviati in formato XML e possono apparire come tali:

Fonte: DMARCLY

Quali sono le informazioni chiave incluse in un rapporto DMARC aggregato?

Reporting Period Timeframe the Report Covers
Sender IP Addresses IP addresses that sent emails on behalf of your domain
SPF Results Including nº of messages that passed SPF, nº of messages that failed SPF, and domains involved in SPF authentication
DKIM Results Including nº of messages that passed DKIM, nº of messages that failed DKIM, and DKIM signatures used
DMARC Results Including nº of messages that aligned with your DMARC policy, nº of messages that did not align and the disposition applied
Authentication Results Summary of authentication methods used
Message Count Total number of messages received from each source
Failure Details Information on failed authentication methods
Message Headers Headers of failed authentication messages
Aggregate Statistics Summary statistics including percentage of authenticated and failed messages, among other metrics
Reporting Identifier An identifier to match reports to specific DMARC configurations

Segnalazioni di guasto (ruf)

Questi report vengono inviati in tempo reale e riguardano messaggi specifici, in genere in testo semplice.

Message Headers Full header of the failed email
Message Body Content of failed email
Authentication Results Authentication check details and why they failed
Envelope Sender Email address used as the return path for the failed message
DKIM Signature Information In case of DKIM authentication failure, report includes details of the DKIM signature used, such as selector and domain
SPF Information In case of SPF authentication failure, the report includes information about the SPF record for the sending domain and the IP address that sent the message
Autenthication-Results Header Summary of authentication results, including failure checks and why they failed
DMARC Policy Policy type (quarantine or reject)
Timestamps When the message was received and when the failure report was generated
Message Size Size of the failed message
Reporting Source Information about the source that generated and sent the DMARC failure report
Additional Metadata Additional information that can be helpful in the failure analysis and authentication failure

Conclusioni chiave

La configurazione tecnica del tuo dominio è fondamentale se desideri proteggere la recapitabilità delle tue email e assicurarti che arrivino dove desideri.

Se hai appena iniziato, assicurati di mantenere leggera la tua politica DMARC e di controllare regolarmente i tuoi rapporti aggregati e forensi per comprendere meglio cosa devi correggere e modificare. Man mano che andrete avanti sarete in grado di stabilire una politica più rigida.

Ora che stai facendo tutto il possibile per proteggere la recapitabilità delle tue email, lascia che anche noi ti aiutiamo.

Con scaldare puoi scaldare il tuo account email in modo da non essere contrassegnato come spam all’avvio delle tue campagne!

lemlist team
lemlist team

Your source of actionable outreach tips and strategies that will help you get replies and grow your business.