come funziona DMARC
Come funziona dmarc con Google Mail ed Office 365 nel 2020.
Abbiamo provato come l’autenticazione delle email influisce sulla loro consegna
presso Google Mail e Office 365, i provider di email aziendali più diffusi.
I risultati possono essere divisi in due gruppi:
consegna email
(in che modo spf, dkim e dmarc influenzano la consegna dei messaggi inviati)
Google mail: le email vengono sempre accettate, l’autenticazione sembra non essere considerata
Office 365: è generalmente reattivo a spf e dkim. L’unico modo per ottenere risultati costanti, con la consegna nella posta in arrivo, è utilizzare anche dmarc
protezione da spoofing
(in che modo spf, dkim e dmarc proteggono l’indirizzo email del mittente dallo spoofing*)
* = far sembrare che il messaggio provenga da un mittente diverso da quello effettivo
Google mail: combinando dmarc e spf (con gli attributi fail o softfail), i mittenti falsificati vengono filtrati nella cartella Spam o respinti (a seconda delle impostazioni di dmarc)
Office 365: spf (con gli attributi fail o softfail) è sufficiente per filtrare i mittenti falsificati nella cartella Posta indesiderata
Sono riassunti come segue:
| consegna email | protezione da spoofing | |
|---|---|---|
| Google Mail | sempre accettato, l’autenticazione non viene considerata | dmarc + spf (fail oppure softfail) |
| Office 365 | dmarc + spf pass oppure dmarc + dkim pass | spf (fail oppure softfail) |
Di seguito è disponibile l’intera gamma di test effettuati.
| Google Mail | Office 365 | |
|---|---|---|
| spf Pass - dkim none | inbox | inbox |
| spf Fail - dkim none | inbox | junk |
| spf SoftFail - dkim none | inbox | junk |
| spf Neutral - dkim none | inbox | inbox |
| spf none - dkim none | inbox | junk |
| spf Pass - dkim pass | inbox | junk* |
| spf Fail - dkim pass | inbox | junk |
| spf SoftFail - dkim pass | inbox | junk* |
| spf Neutral - dkim pass | inbox | junk* |
| spf none - dkim pass | inbox | junk* |
| spf Pass - dkim invalid | inbox | junk |
| spf Fail - dkim invalid | inbox | junk |
| spf SoftFail - dkim invalid | inbox | junk |
| spf Neutral - dkim invalid | inbox | junk |
| spf none - dkim invalid | inbox | junk |
| spf Pass - dkim invalid - dmarc reject | inbox | inbox |
| spf Fail - dkim invalid - dmarc reject | dsn=5.0.0, stat=Service unavailable | junk |
| spf SoftFail - dkim invalid - dmarc reject | dsn=5.0.0, stat=Service unavailable | junk |
| spf Neutral - dkim invalid - dmarc reject | inbox | inbox |
| spf none - dkim invalid - dmarc reject | dsn=5.0.0, stat=Service unavailable | junk |
| spf Pass - dkim pass - dmarc reject | inbox | inbox |
| spf Fail - dkim pass - dmarc reject | inbox | inbox |
| spf SoftFail - dkim pass - dmarc reject | inbox | inbox |
| spf Neutral - dkim pass - dmarc reject | inbox | inbox |
| spf none - dkim pass - dmarc reject | inbox | inbox |
| spf Pass - dkim diff - dmarc reject | inbox | inbox |
| spf Fail - dkim diff - dmarc reject | dsn=5.0.0, stat=Service unavailable | junk |
| spf SoftFail - dkim diff - dmarc reject | dsn=5.0.0, stat=Service unavailable | junk |
| spf Neutral - dkim diff - dmarc reject | inbox | inbox |
| spf none - dkim diff - dmarc reject | dsn=5.0.0, stat=Service unavailable | junk |
Note:
- l’indirizzo “from” (mittente visibile) e l’ “envelope from” (return-path) provengono dallo stesso dominio
- “dkim pass”: il dominio nella firma dkim è lo stesso di quello dell’indirizzo “from”
- “dkim diff”: il dominio nella firma dkim è diverso rispetto a quello dell’indirizzo “from”
- gli asterischi nel secondo gruppo indicano che i risultati non sono stati coerenti nel tempo