dominio DKIM per DMARC

In che modo l’allineamento del dominio DKIM influisce sull’autenticazione DMARC nel 2020.

DMARC significa: autenticazione, reportistica e conformità dei messaggi basata sul dominio.
È uno standard di autenticazione delle email, sviluppato per combattere la posta elettronica falsificata.

Nel capitolo “3.1. Identifier Alignment” dice:

   DMARC autentica l'utilizzo del dominio RFC5322.From richiedendo
   che corrisponda (è allineato con) un identificatore autenticato.
   
   -- https://tools.ietf.org/html/rfc7489#section-3.1

Che significa semplicemente:

   quando un mittente autentica la propria email utilizzando SPF e/o DKIM,
   almeno uno dei domini deve essere allineato con il dominio From del mittente

Non ci era chiaro se un messaggio potesse fallire il controllo SPF oppure DKIM
e ancora passare l’autenticazione DMARC.

Lo abbiamo verificato utilizzando uno strumento disponibile a tutti: una casella di posta Gmail.
Per il vedere il risultato, occorre aprire il messaggio e selezionare “Mostra originale”:

Test 1 - messaggio inoltrato: spf-fail, dkim-pass (allineato)
spf-fail dmarc-pass

Test 2 - chiave dkim danneggiata: dkim-fail, spf-pass (allineato)
dkim-fail dmarc-pass

Il risultato è evidente, il messaggio passa l’autenticazione DMARC se si verifica:
SPF e allineamento del dominio <OPPURE> DKIM e allineamento del dominio

Per superare il controllo DMARC, in alcuni casi è quindi importante convalidare la firma DKIM:
il dominio di firma (d=example.com) deve essere allineato con il dominio From del mittente.

Esempi di risultati “DMARC-PASS” che diversamente non avrebbero funzionato:

Caso 1 - l’inoltro interrompe l’autenticazione SPF

  • SPF-FAIL: i controlli di autenticazione SPF falliranno,
    perché una nuova entità, non inclusa nel record SPF del mittente originale, invia l’email inoltrata

  • DKIM-PASS (allineato): l’inoltro dell’email non influisce sulla firma DKIM

Risultato: l’allineamento DKIM consente al messaggio di superare il controllo DMARC.

Caso 2 - il dominio SPF fornito dall’ESP (Email Service Provider)
NON PUÒ essere allineato con il dominio From del mittente

  • SPF~PASS (NON allineato): l’autenticazione SPF non rispetta l’allineamento del dominio,
    poiché il dominio utilizzato dall’ESP nell’indirizzo Mail-From è diverso da quello nel mittente From

  • DKIM-PASS (allineato): la firma DKIM utilizza lo stesso dominio del mittente From

Risultato: l’allineamento DKIM consente al messaggio di superare il controllo DMARC.