dominio DKIM per DMARC

In che modo l’allineamento del dominio DKIM influisce sull’autenticazione DMARC nel 2020.

DMARC significa: autenticazione, reportistica e conformità dei messaggi basata sul dominio.
È uno standard di autenticazione delle email, sviluppato per combattere la posta elettronica falsificata.

Nel capitolo “3.1. Identifier Alignment” dice:

   DMARC autentica l'utilizzo del dominio RFC5322.From richiedendo
   che corrisponda (è allineato con) un identificatore autenticato.
   
   -- https://tools.ietf.org/html/rfc7489#section-3.1

Che significa semplicemente:

   quando un mittente autentica la propria email utilizzando SPF e/o DKIM,
   almeno uno dei domini deve essere allineato con il dominio From del mittente

Non ci era chiaro se un messaggio potesse fallire il controllo SPF oppure DKIM
e ancora passare l’autenticazione DMARC.

Lo abbiamo verificato utilizzando uno strumento disponibile a tutti: una casella di posta Gmail.
Per il vedere il risultato, occorre aprire il messaggio e selezionare “Mostra originale”:

Test 1 - messaggio inoltrato: spf-fail, dkim-pass (allineato)
spf-fail dmarc-pass

Test 2 - chiave dkim danneggiata: dkim-fail, spf-pass (allineato)
dkim-fail dmarc-pass

Il risultato è evidente, il messaggio passa l’autenticazione DMARC se si verifica:
SPF e allineamento del dominio <OPPURE> DKIM e allineamento del dominio

Per superare il controllo DMARC, in alcuni casi è quindi importante convalidare la firma DKIM:
il dominio di firma (d=example.com) deve essere allineato con il dominio From del mittente.

Esempi di risultati “DMARC-PASS” che diversamente non avrebbero funzionato:

Caso 1 - l’inoltro interrompe l’autenticazione SPF

Risultato: l’allineamento DKIM consente al messaggio di superare il controllo DMARC.

Caso 2 - il dominio SPF fornito dall’ESP (Email Service Provider)
NON PUÒ essere allineato con il dominio From del mittente

Risultato: l’allineamento DKIM consente al messaggio di superare il controllo DMARC.