come funziona DMARC in autunno

Come funziona dmarc con Google Mail ed Office 365 nell’autunno del 2020.

Abbiamo provato come l’autenticazione delle email influisce sulla loro consegna
verso le mailbox di Google Mail e Office 365, i provider di email aziendali più diffusi.

I risultati possono essere divisi in due gruppi:

consegna delle email

(in che modo spf, dkim e dmarc influenzano la consegna dei messaggi inviati)
 
# Google mail: le email vengono sempre accettate, l’autenticazione spf sembra non essere considerata
   La firma Dkim viene valutata solo se è allineata con l’indirizzo email del mittente
   ed anche dmarc è impostato con la policy “quarantine” o “reject”.
 
# Office 365: è reattivo ad spf. Quando un messaggio supera il controllo spf, raggiunge la posta in arrivo.
   La firma Dkim viene considerata solo se è allineata con l’indirizzo email del mittente, altrimenti non ha alcuna importanza.
 
   Nota: nell’ultima settimana di agosto Office 365 ha avuto uno strano comportamento:
   sono stati recapitati nella Posta in arrivo
   solo i messaggi firmati con dkim (dominio di firma allineato con l’indirizzo email del mittente)
   ed anche il record dmarc impostato (con qualsiasi criterio)

protezione da spoofing

(in che modo spf, dkim e dmarc proteggono l’indirizzo email del mittente dallo spoofing*)
* = far sembrare che il messaggio provenga da un mittente diverso da quello effettivo
 
# Google mail: attivando dmarc, i mittenti falsificati vengono filtrati nella cartella Spam (con p=quarantine) o respinti (con p=reject).
Non succede nulla se la policy è impostata su “none” (p=none), in questo caso tutti i messaggi raggiungono la Posta in arrivo.
 
# Office 365: i risultati “spf fail” o “spf softfail”, sono sufficienti per filtrare i mittenti fasulli nella cartella Posta indesiderata.

 

requisiti di autenticazione

i requisiti di autenticazione delle email consigliati, sono riassunti come segue:

consegna email protezione da spoofing
Google Mail dkim pass (dominio allineato) dmarc impostato con p=quarantine or p=reject
Office 365 spf pass ed anche dkim pass (dominio allineato) spf impostato ed anche dmarc impostato (per maggiore sicurezza)

 

risultati test consegna email

di seguito è disponibile l’intera gamma di test effettuati.

Google Mail Google Mail
(dmarc impostato)
Office 365 Office 365
(dmarc impostato)
spf Pass dkim none inbox inbox inbox inbox
spf Fail dkim none inbox spam junk junk
spf SoftFail dkim none inbox spam junk junk
spf none dkim none inbox spam junk junk
spf Pass dkim diff inbox inbox inbox inbox
spf Fail dkim diff inbox spam junk junk
spf SoftFail dkim diff inbox spam junk junk
spf none dkim diff inbox spam junk junk
spf Pass dkim pass inbox inbox inbox inbox
spf Fail dkim pass inbox inbox inbox inbox
spf SoftFail dkim pass inbox inbox inbox inbox
spf none dkim pass inbox inbox inbox inbox
spf Pass dkim invalid inbox inbox inbox inbox
spf Fail dkim invalid inbox spam junk junk
spf SoftFail dkim invalid inbox spam junk junk
spf none dkim invalid inbox spam junk junk

Note:

  • l’indirizzo From del mittente (mittente visibile) e il Mail-From (detto anche “envelope from” o “return-path”) sono identici, ovvero fanno riferimento allo stesso dominio
  • “dkim pass”: il dominio nella firma dkim è lo stesso di quello dell’indirizzo From (il dominio è allineato)
  • “dkim diff”: il dominio nella firma dkim è diverso rispetto a quello dell’indirizzo From" (il dominio NON È allineato)