<spf> allineamento per dmarc

allineamento del dominio spf per dmarc

DMARC è uno standard di autenticazione delle email, sviluppato per combattere la posta elettronica falsificata.
Per l’allineamento del dominio richiede che:

   quando un mittente autentica la propria email utilizzando SPF e/o DKIM,
   almeno uno dei domini deve essere allineato con il dominio From del mittente

Con SPF (Sender Policy Framework), per ottenere l’allineamento si controllano due domini:

• l’indirizzo “From” del mittente, visibile ai destinatari
• L’indirizzo “Mail-From” (detto anche “envelope sender” o “return-path”), che è nascosto

DMARC prevede due tipi di allineamento SPF: allineamento “relaxed” e allineamento “strict” (rigoroso).
Se non viene dichiarato un allineamento “strict”, per default viene utilizzato l’allineamento “relaxed”.

allineamento “relaxed”

Con l’allineamento “relaxed”, solo il dominio di base (root) dell’indirizzo Mail-From deve corrispondere al dominio di base (root) dell’indirizzo From del mittente.
L’allineamento “relaxed” consente di utilizzare qualsiasi sottodominio e di soddisfare comunque i requisiti di allineamento del dominio.

esempio:

• se il dominio Mail-From è mail.abc.it ed il dominio From è abc.it,
  l’email passerà il test per l’allineamento SPF (i domini di base “abc.it” corrispondono)

• se il dominio Mail-From è abc.mail.it ed il dominio From è abc.it,
  l’email NON passerà il test per l’allineamento SPF (i domini di base “mail.it” e “abc.it” non corrispondono)

allineamento “strict” (rigoroso)

Con l’allineamento “strict”, il dominio dell’indirizzo Mail-From deve corrispondere esattamente al dominio dell’indirizzo From.

esempio:

• se il dominio Mail-From è mail.abc.it ed il dominio From è mail.abc.it,
  l’email passerà il test per l’allineamento SPF (i domini “mail.abc.it” corrispondono)

• se il dominio Mail-From è mail.abc.it ed il dominio From è abc.it,
  l’email NON passerà il test per l’allineamento SPF (i domini “mail.abc.it” e “abc.it” non corrispondono)

aggiornato il 28 luglio 2020

<dkim> allineamento per dmarc

allineamento del dominio dkim per dmarc

DMARC è uno standard di autenticazione delle email, sviluppato per combattere la posta elettronica falsificata.
Per l’allineamento del dominio richiede che:

   quando un mittente autentica la propria email utilizzando SPF e/o DKIM,
   almeno uno dei domini deve essere allineato con il dominio From del mittente

Con DKIM (DomainKeys Identified Mail), per ottenere l’allineamento
il dominio della firma dkim (DKIM-Signature: d = …) deve corrispondere al dominio From del mittente.

DMARC prevede due tipi di allineamento DKIM: allineamento “relaxed” e allineamento “strict” (rigoroso).
Se non viene dichiarato un allineamento “strict”, per default viene utilizzato l’allineamento “relaxed”.

allineamento “relaxed”

Con l’allineamento “relaxed”, solo la base (root) del dominio nella firma dkim deve corrispondere al dominio di base (root) dell’indirizzo From del mittente.
L’allineamento “relaxed” consente di utilizzare qualsiasi sottodominio e di soddisfare comunque i requisiti di allineamento del dominio.

esempio:

• se il dominio della firma dkim è mail.abc.it ed il dominio From è abc.it,
  l’email passerà il test per l’allineamento DKIM (i domini di base “abc.it” corrispondono)

• se il dominio della firma dkim è abc.mail.it ed il dominio From è abc.it,
  l’email NON passerà il test per l’allineamento SPF (i domini di base “mail.it” e “abc.it” non corrispondono)

allineamento “strict” (rigoroso)

Con l’allineamento “strict”, il dominio della firma dkim deve corrispondere esattamente al dominio dell’indirizzo From.

esempio:

• se il dominio della firma dkim è mail.abc.it ed il dominio From è mail.abc.it,
  l’email passerà il test per l’allineamento DKIM (i domini “mail.abc.it” corrispondono)

• se il dominio della firma dkim è mail.abc.it ed il dominio From è abc.it,
  l’email NON passerà il test per l’allineamento DKIM (i domini “mail.abc.it” e “abc.it” non corrispondono)

aggiornato il 28 luglio 2020

<dmarc> individua email fasulle

dmarc spiegazione

DMARC significa: autenticazione, reportistica e conformità dei messaggi basata sul dominio.
È uno standard di autenticazione delle email, sviluppato per combattere la posta elettronica falsificata.

Mittenti:

• autenticano le loro email con spf e dkim
• pubblicano una “dmarc policy” su come gestire la posta non autenticata

Destinatari:

• agiscono sulla posta non autenticata, in base alla “dmarc policy” del mittente
• riportano il risultato al mittente

Con alcuni provider di caselle email, la sua impostazione influenza la consegna dei messaggi in modo significativo, vedi:
Come funziona dmarc con Google Mail ed Office 365 nel 2020 *
“Office 365: è generalmente reattivo a spf e dkim.
L’unico modo per ottenere risultati costanti, con la consegna nella posta in arrivo, è utilizzare anche dmarc”

* = collegamento a un sito web esterno, verrà aperto in una nuova pagina

come funziona dmarc

DMARC utilizza SPF (Sender Policy Framework) e DKIM (Domain Keys Identified Emails)
per controllare la situazione quando i messaggi di posta elettronica non superano i test di autenticazione.

SPF richiede che vengano dichiarati quali server smtp si utilizzano per inviare messaggi email.
Vedi come si configura spf per saperne di più ed impostarlo correttamente.

I server smtp di RealSender firmano già tutti i messaggi di posta elettronica in uscita con la firma DKIM.
È necessaria una configurazione se si desidera firmare con lo stesso dominio del mittente.
Vedi come si configura dkim per saperne di più.

RealSender fornisce una casella di posta che riceve i report dmarc generati dai destinatari.

come si configura dmarc

1. All’inizio va impostato il tag della policy su “none” (p=none),
   ciò significa che il provider di caselle email non farà nulla con le email contraffatte/fasulle.
   
   Va aggiunto un record TXT sul vostro dominio (example.com), che dovrebbe assomigliare a questo:

_dmarc.example.com. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc.example@rsbox.com"

2. A partire dal giorno successivo, inizierete a ricevere i dmarc report rua online.
   
   Potreste scoprire di aver dimenticato di autenticare una campagna email che viene distribuita da una terza parte. Se succede qualcosa del genere, è sufficiente autenticarla e verificare che il mailing successivo superi i controlli di dmarc.

3. Quando i report sono corretti per alcune settimane, si può dire ai provider di caselle email di rifiutare/bloccare le email contraffatte/fasulle.
   
   Il record TXT _dmarc del vostro dominio va modificato come segue:

"v=DMARC1; p=reject; rua=mailto:dmarc.example@rsbox.com"

dmarc aspetti negativi ed inconvenienti

Se la vostra organizzazione implementa dmarc, dovrete fare attenzione
prima di introdurre qualsiasi nuova modalità di invio delle email.

Dmarc applica politiche rigide su come vengono verificati spf e dkim.
Questo può causare che delle email che normalmente verrebbero accettate,
siano rifiutate dai provider di caselle email.

Anche se tutto è impostato correttamente, la verifica potrebbe fallire:

• per il controllo spf, se l’email è stata reindirizzata (inoltrata) o inviata tramite una mailing list
• per il controllo dkim, se il messaggio è stato modificato, corrompendo la firma dkim

aggiornato il 25 agosto 2020

<dmarc> report rua online

RealSender riceve ed analizza i report di dmarc rua(*) per voi.

* = significato di rua:
Reporting URI(s) for aggregate data. 

In RealSender, il “rua” è l’indirizzo email fornito ai clienti, a cui vengono inviati i report aggregati
dai domini che hanno ricevuto posta elettronica che dichiara di appartenere al vostro dominio.

I report vengono generati ogni giorno alle 13:00 e contengono i dati degli ultimi sette giorni.

Questa è una pagina di esempio del report dmarc online: