Conformità al protocollo di autenticazione DMARC in Amazon SES - Amazon Simple Email Service
Impostazione della policy DMARC sul tuo dominioImplementazione di DMARCConformità a DMARC tramite SPFConformità a DMARC tramite DKIM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Conformità al protocollo di autenticazione DMARC in Amazon SES

DMARC (Domain-based Message Authentication, Reporting and Conformance) è un protocollo di autenticazione e-mail che utilizza Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM) per rilevare lo spoofing e il phishing delle e-mail. Per essere conformi a DMARC, i messaggi devono essere autenticati tramite SPF o DKIM, ma idealmente, quando entrambi vengono utilizzati con DMARC, garantirete il massimo livello di protezione possibile per l'invio di e-mail.

Esaminiamo brevemente cosa fa ciascuno di essi e come DMARC li collega tutti insieme:

  • SPF — Identifica quali server di posta sono autorizzati a inviare posta per conto del dominio MAIL FROM personalizzato tramite un record DNS TXT utilizzato dal DNS. I sistemi di posta dei destinatari fanno riferimento al record TXT SPF per determinare se un messaggio proveniente dal dominio personalizzato proviene da un server di messaggistica autorizzato. Fondamentalmente, SPF è progettato per aiutare a prevenire lo spoofing, ma esistono tecniche di spoofing a cui SPF è suscettibile nella pratica ed è per questo che è necessario utilizzare anche DKIM insieme a DMARC.

  • DKIM: aggiunge una firma digitale ai messaggi in uscita nell'intestazione dell'e-mail. I sistemi di ricezione delle e-mail possono utilizzare questa firma digitale per verificare se le e-mail in arrivo sono firmate da una chiave di proprietà del dominio. Tuttavia, quando un sistema di posta elettronica ricevente inoltra un messaggio, la busta del messaggio viene modificata in modo da invalidare l'autenticazione SPF. Poiché la firma digitale rimane nel messaggio di posta elettronica perché fa parte dell'intestazione dell'e-mail, DKIM funziona anche quando un messaggio è stato inoltrato tra server di posta (purché il contenuto del messaggio non sia stato modificato).

  • DMARC: assicura l'allineamento del dominio con almeno uno tra SPF e DKIM. L'uso di SPF e DKIM da soli non fa nulla per assicurare che l'indirizzo From sia autenticato (questo è l'indirizzo e-mail che il destinatario vede nel suo client di posta elettronica). SPF controlla solo il dominio specificato nell'indirizzo MAIL FROM (non visualizzato dal destinatario). DKIM controlla solo il dominio specificato nella firma DKIM (inoltre, non viene visualizzato dal destinatario). DMARC risolve questi due problemi richiedendo che l'allineamento del dominio sia corretto su SPF o DKIM:

    • Affinché SPF passi l'allineamento DMARC, il dominio nell'indirizzo From deve corrispondere al dominio nell'indirizzo MAIL FROM (noto anche come indirizzo Return-Path e Envelope-from). Ciò è raramente possibile con la posta inoltrata perché viene rimossa o quando si invia posta tramite provider di posta elettronica di massa di terze parti, perché il Return-Path (MAIL FROM) viene utilizzato per rimbalzi e reclami che il provider (SES) monitora utilizzando un indirizzo di sua proprietà.

    • Affinché DKIM passi l'allineamento DMARC, il dominio specificato nella firma DKIM deve corrispondere al dominio nell'indirizzo From. Se utilizzi mittenti o servizi di terze parti che inviano posta per tuo conto, puoi farlo assicurandoti che il mittente terzo sia configurato correttamente per la firma DKIM e che tu abbia aggiunto i record DNS appropriati all'interno del tuo dominio. I server di posta riceventi saranno quindi in grado di verificare le e-mail inviate loro da terze parti come se fossero e-mail inviate da qualcuno autorizzato a utilizzare un indirizzo all'interno del dominio.

Mettendo tutto insieme con DMARC

I controlli di allineamento DMARC di cui abbiamo parlato sopra mostrano come SPF, DKIM e DMARC collaborino per aumentare la fiducia del dominio e la consegna delle e-mail nelle caselle di posta. DMARC ottiene ciò assicurando che l'indirizzo From, visto dal destinatario, sia autenticato da SPF o DKIM:

  • Un messaggio passa DMARC se uno o entrambi i controlli SPF o DKIM descritti vengono superati.

  • Un messaggio non supera il protocollo DMARC se entrambi i controlli SPF o DKIM descritti falliscono.

Pertanto, sia SPF che DKIM sono necessari affinché DMARC abbia le migliori possibilità di ottenere l'autenticazione per le e-mail inviate e, utilizzandoli tutti e tre, contribuirete a garantire un dominio di invio completamente protetto.

DMARC consente inoltre di istruire i server di posta elettronica su come gestire le e-mail quando falliscono l'autenticazione DMARC attraverso le politiche impostate. Questo verrà spiegato nella sezione seguenteImpostazione della policy DMARC sul tuo dominio, che contiene informazioni su come configurare i domini SES in modo che le e-mail inviate siano conformi al protocollo di autenticazione DMARC tramite SPF e DKIM.

Impostazione della policy DMARC sul tuo dominio

Per configurare DMARC, devi modificare le impostazioni DNS per il tuo dominio. Le impostazioni DNS per il tuo dominio devono includere un record TXT specificante le impostazioni DMARC del dominio. Le procedure per l'aggiunta di record TXT per la tua configurazione DNS dipendono dal provider di hosting o DNS utilizzato. Se utilizzi Amazon Route 53 per DNS, consulta la sezione Utilizzo dei record nella Guida per gli sviluppatori di Amazon Route 53. Se utilizzi un altro provider, consulta la documentazione del provider relativa alla configurazione DNS.

Il nome del record TXT creato deve essere _dmarc.example.com, in cui example.com rappresenta il tuo dominio. Il valore del record TXT contiene la policy DMARC che si applica al tuo dominio. Di seguito è riportato un esempio di record TXT contenente una policy DMARC:

Nome Type Valore
_dmarc.example.com TXT "v=DMARC1;p=quarantine;rua=mailto:my_dmarc_report@example.com"

Nel precedente esempio di politica DMARC, questa politica indica ai provider di posta elettronica di fare quanto segue:

  • Per tutti i messaggi che falliscono l'autenticazione, inviateli alla cartella Spam come specificato dal parametro policy,. p=quarantine Altre opzioni includono non fare nulla utilizzando p=none o rifiutare completamente il messaggio utilizzando. p=reject

  • Invia report su tutte le e-mail che non sono riuscite ad autenticarsi in un digest (ovvero un rapporto che aggrega i dati per un determinato periodo di tempo, anziché inviare report individuali per ogni evento) come specificato dal parametro di reporting rua=mailto:my_dmarc_report@example.com (rua sta per Reporting URI for Aggregate reports). I provider di posta elettronica in genere inviano questi report aggregati una volta al giorno, anche se tali policy possono variano per ogni provider.

Per ulteriori informazioni sulla configurazione DMARC per il tuo dominio, consulta la Panoramica sul sito Web DMARC.

Per le specifiche complete del sistema DMARC, vedere la bozza DMARC della Internet Engineering Task Force (IETF).

Le migliori pratiche per l'implementazione di DMARC

È meglio implementare l'applicazione della politica DMARC con un approccio graduale e graduale in modo da non interrompere il resto del flusso di posta. Crea e implementa un piano di implementazione che segua questi passaggi. Esegui ciascuno di questi passaggi prima con ciascuno dei tuoi sottodomini e infine con il dominio di primo livello dell'organizzazione prima di passare alla fase successiva.

  1. Monitora l'impatto dell'implementazione di DMARC (p=none).

    • Inizia con un semplice record in modalità di monitoraggio per un sottodominio o dominio che richiede che le organizzazioni che ricevono la posta ti inviino statistiche sui messaggi che vedono utilizzando quel dominio. Un record in modalità di monitoraggio è un record DMARC TXT il cui criterio è impostato su none. p=none

    • I report generati tramite DMARC forniranno i numeri e le fonti dei messaggi che superano questi controlli, rispetto a quelli che non lo fanno. Puoi facilmente vedere quanto del tuo traffico legittimo è coperto o meno da essi. Vedrai segni di inoltro, poiché i messaggi inoltrati non rispetteranno gli standard SPF e DKIM se il contenuto viene modificato. Inizierai anche a vedere quanti messaggi fraudolenti vengono inviati e da dove vengono inviati.

    • Gli obiettivi di questo passaggio sono capire quali saranno le email che subiranno l'implementazione di uno dei due passaggi successivi e fare in modo che eventuali mittenti terzi o autorizzati allineino le proprie politiche SPF o DKIM.

    • Ideale per i domini esistenti.

  2. Richiedete che i sistemi di posta esterni mettano in quarantena la posta che non rispetta DMARC (p=quarantine).

    • Se ritieni che tutto o la maggior parte del tuo traffico legittimo provenga da un dominio allineato a SPF o DKIM e comprendi l'impatto dell'implementazione di DMARC, puoi implementare una politica di quarantena. Una politica di quarantena è un record DMARC TXT il cui criterio è impostato sulla quarantena. p=quarantine In questo modo, chiedete ai ricevitori DMARC di inserire i messaggi del vostro dominio che non contengono DMARC nell'equivalente locale di una cartella spam anziché nelle caselle di posta dei vostri clienti.

    • Ideale per i domini in transizione che hanno analizzato i report DMARC durante la Fase 1.

  3. Richiedete che i sistemi di posta esterni non accettino messaggi che non rispettano il DMARC (p=reject).

    • L'implementazione di una politica di rifiuto è di solito il passaggio finale. Una politica di rifiuto è un record TXT DMARC la cui politica è impostata per rifiutare. p=reject Quando lo fai, chiedi ai ricevitori DMARC di non accettare messaggi che non superano i controlli DMARC: questo significa che non verranno nemmeno messi in quarantena in una cartella spam o posta indesiderata, ma verranno respinti a titolo definitivo.

    • Quando si utilizza una politica di rifiuto, saprete esattamente quali messaggi non rispettano la politica DMARC, poiché il rifiuto comporterà un rimbalzo SMTP. Con la quarantena, i dati aggregati forniscono informazioni sulle percentuali di email che superano o non superano i controlli SPF, DKIM e DMARC.

    • Ideale per i nuovi domini o per i domini esistenti che hanno superato i due passaggi precedenti.

Conformità a DMARC tramite SPF

Affinché un'e-mail sia conforme a DMARC in base a SPF, è necessario soddisfare le condizioni seguenti:

  • Il messaggio deve superare un controllo SPF basato sulla presenza di un record SPF (tipo TXT) valido da pubblicare nella configurazione DNS del dominio MAIL FROM personalizzato.

  • Il dominio nell'indirizzo From dell'intestazione dell'email deve essere allineato (corrispondere) al dominio o a un sottodominio di, specificato nell'indirizzo MAIL FROM. Per ottenere l'allineamento SPF con SES, la politica DMARC del dominio non deve specificare una politica SPF rigorosa (aspf=s).

Per rispettare questi requisiti, completa le fasi seguenti:

  • Configura un dominio MAIL FROM personalizzato completando le procedure in Uso di un dominio MAIL FROM personalizzato.

  • Assicurati che il dominio mittente usi una policy flessibile per SPF. Se non hai modificato l'allineamento delle politiche del tuo dominio, per impostazione predefinita utilizza una politica semplificata, così come SES.

    Nota

    Puoi determinare l'allineamento DMARC del dominio per SPF digitando il comando seguente nella riga di comando, sostituendo example.com con il tuo dominio:

    dig -type=TXT _dmarc.example.com

    Nell'output del comando, in Non-authoritative answer (Risposta non autorevole) cerca un record che inizia con v=DMARC1. Se il record include la stringa aspf=r oppure se la stringa aspf non è presente, il dominio usa l'allineamento flessibile per SPF. Se il record include la stringa aspf=s, il dominio usa l'allineamento rigoroso per SPF. L'amministratore di sistema dovrà rimuovere questo tag dal record TXT DMARC nella configurazione DNS del dominio.

    In alternativa, puoi utilizzare uno strumento di ricerca DMARC basato sul web, come DMARC Inspector dal sito dmarcian o lo strumento DMARC Check Tool dal sito Web, per determinare l'allineamento delle politiche del tuo dominio per SPF. MxToolBox

Conformità a DMARC tramite DKIM

Affinché un'e-mail sia conforme a DMARC in base a DKIM, è necessario soddisfare le condizioni seguenti:

  • Il messaggio deve avere una firma DKIM valida e superare il controllo DKIM.

  • Il dominio specificato nella firma DKIM deve essere allineato (corrispondere) al dominio nell'indirizzo From. Se la politica DMARC del dominio specifica un allineamento rigoroso per DKIM, questi domini devono corrispondere esattamente (SES utilizza una politica DKIM rigorosa per impostazione predefinita).

Per rispettare questi requisiti, completa le fasi seguenti:

  • Configura Easy DKIM completando le procedure in Easy DKIM in Amazon SES. Quando usi Easy DKIM, Amazon SES firma automaticamente le e-mail.

    Nota

    Se non vuoi usare Easy DKIM, puoi anche firmare manualmente i messaggi. Se scegli di farlo, fai tuttavia molta attenzione, perché Amazon SES non convalida la firma DKIM creata. Per questo motivo, consigliamo di usare Easy DKIM.

  • Assicurati che il dominio specificato nella firma DKIM sia allineato al dominio nell'indirizzo From. Oppure, se invii da un sottodominio del dominio nell'indirizzo From, assicurati che la tua politica DMARC sia impostata su un allineamento rilassato.

    Nota

    Puoi determinare l'allineamento DMARC del dominio per DKIM digitando il comando seguente nella riga di comando, sostituendo example.com con il tuo dominio:

    dig -type=TXT _dmarc.example.com

    Nell'output del comando, in Non-authoritative answer (Risposta non autorevole) cerca un record che inizia con v=DMARC1. Se il record include la stringa adkim=r oppure se la stringa adkim non è presente, il dominio usa l'allineamento flessibile per DKIM. Se il record include la stringa adkim=s, il dominio usa l'allineamento rigoroso per DKIM. L'amministratore di sistema dovrà rimuovere questo tag dal record TXT DMARC nella configurazione DNS del dominio.

    In alternativa, puoi utilizzare uno strumento di ricerca DMARC basato sul web, come DMARC Inspector dal sito dmarcian o lo strumento DMARC Check Tool dal sito Web, per determinare l'allineamento delle politiche del tuo dominio per DKIM. MxToolBox