Configurazione dei protocolli per Marketo

Ultimo aggiornamento: 2023-11-16
  • Argomenti:
  • Getting Started
    Visualizza ulteriori informazioni su questo argomento

Se l'utente o l'organizzazione utilizza impostazioni restrittive per il firewall o il server proxy, potrebbe essere necessario inserire nell'elenco Consentiti alcuni domini e intervalli di indirizzi IP per garantire il corretto funzionamento di Adobe Marketo Engage.

Per assistenza nell’implementazione dei protocolli riportati di seguito, condividi questo articolo con il tuo reparto IT. Se limitano l’accesso web utilizzando un inserisco nell'elenco Consentiti di, accertati di aggiungere i seguenti domini (incluso l’asterisco) per consentire tutte le risorse e i websockets di Marketo:

  • *.marketo.com
  • *.marketodesigner.com
  • *.mktoweb.com
  • *.experience.adobe.com
  • *.adobe.net

Passaggio 1: creare record DNS per le pagine di destinazione e l’e-mail

Tracciamento dei CNAME dei collegamenti

Il team marketing avrebbe dovuto inviarti due richieste per nuovi record CNAME. Il primo è per gli URL della pagina di destinazione, in modo che le pagine di destinazione vengano visualizzate in URL che riflettono il dominio e non Marketo (l’host effettivo). La seconda è per i collegamenti di tracciamento inclusi nelle e-mail inviate da Marketo.

1 Aggiungi CNAME per le pagine di destinazione

Aggiungi il CNAME della pagina di destinazione che ti hanno inviato al tuo record DNS, in modo che [YourLandingPageCNAME] punta alla stringa account univoca assegnata alle pagine di destinazione di Marketo. Accedi al sito del tuo registrar di dominio e immetti il CNAME della pagina di destinazione e la stringa dell’account. In genere, questo comporta tre campi:

  • Alias: Invio [YourLandingPageCNAME] (fornito da marketing)
  • Tipo: CNAME
  • Puntare a: Invio [MunchkinID].mktoweb.com (fornito da marketing)

2 Aggiungi CNAME per i collegamenti di tracciamento e-mail

Aggiungi il CNAME e-mail che ti ha inviato il marketing, in modo che [YourEmailCNAME] punta a [MktoTrackingLink], il collegamento di tracciamento predefinito assegnato da Marketo, nel formato:
[YourEmailCNAME].[YourDomain].com IN CNAME [MktoTrackingLink]

Ad esempio:

pages.abc.com IN CNAME mkto-a0244.com

NOTA

[MktoTrackingLink] deve essere il dominio di branding predefinito.

3 Notifica al team marketing

Avvisa il team marketing quando hai completato questo processo.

4 Contatto Supporto Marketo per avviare il processo di provisioning di un certificato SSL.

Il completamento di questo processo può richiedere fino a 3 giorni lavorativi.

Passaggio 2: Inserire nell'elenco Consentiti gli IP di Marketo

Quando il gruppo Marketing utilizza Marketo per inviare e-mail di test (una best practice per evitare l’invio di messaggi esplosivi), a volte le e-mail di test vengono bloccate da sistemi anti-spam che si basano sugli indirizzi IP del mittente per verificare che l’e-mail sia valida. Per assicurarti che le e-mail di test arrivino, aggiungi Marketo al tuo inserisco nell'elenco Consentiti di.

Aggiungi questi indirizzi IP al tuo inserisco nell'elenco Consentiti di aziendale:

94.236.119.0/26

103.237.104.0/22

130.248.172.0/24

130.248.173.0/24

130.248.244.88/29

185.28.196.0/22

192.28.144.0/20

192.28.160.0/19

199.15.212.0/22

Alcuni sistemi anti-spam utilizzano il campo Return-Path (Percorso di ritorno) dell’e-mail invece dell’indirizzo IP per l’inserimento nell’elenco Consentiti. In questi casi, l'approccio migliore è quello di inserire nell'elenco Consentiti il sistema di controllo dell'".*.mktomail.com’, in quanto Marketo utilizza diversi sottodomini delle caselle postali. Inserire nell'elenco Consentiti Altri sistemi anti-spam si in base all indirizzo Da. In queste situazioni, assicurati di includere tutti i domini di invio ("Da") utilizzati dal gruppo Marketing per comunicare con persone/lead.

NOTA

Postini impiega una tecnologia unica e richiede la inserire nell'elenco Consentiti di intervalli IP da parte di. Consulta Inserire nell'elenco Consentiti con Postini.

Passaggio 3: configurare SPF e DKIM

Il team di marketing avrebbe inoltre dovuto inviarti informazioni DKIM (Domain Keys Identified Mail) da aggiungere al record di risorse DNS (anch’esso elencato di seguito). Segui i passaggi per configurare correttamente DKIM e SPF (Sender Policy Framework), quindi avvisa il team di marketing che l’aggiornamento è stato completato.

  1. Per impostare SPF, aggiungi la seguente riga alle voci DNS:

    [CompanyDomain] IN TXT v=spf1 mx ip4:[CorpIP]
    include: mktomail.com ~tutti

    Se disponiamo già di un record SPF nella voce DNS, è sufficiente aggiungervi quanto segue:
    include: mktomail.com

    Sostituisci il dominio dell’azienda con il dominio principale del tuo sito web (ad esempio: "(company.com/)") e CorpIP con l'indirizzo IP del server e-mail aziendale (ad es. "255.255.255.255"). Se intendi inviare e-mail da più domini tramite Marketo, il tuo staff IT dovrebbe aggiungere questa riga per ciascun dominio (su una riga).

  2. Per DKIM, crea record di risorse DNS per ogni dominio che desideri impostare. Di seguito sono riportati i record host e i valori TXT per ogni dominio per cui firmeremo:

    [DKIMDomain1]: il record host è [HostRecord1] e il valore TXT è [TXTValue1].

    [DKIMDomain2]: il record host è [HostRecord2] e il valore TXT è [TXTValue2].

    Copiare HostRecord e TXTValue per ogni dominio DKIMD configurato dopo aver seguito istruzioni. Non dimenticare di verificare ogni dominio in Amministratore > E-mail > DKIM dopo che il personale IT ha completato questo passaggio.

Passaggio 4: configurare DMARC

DMARC (Domain-based Message Authentication, Reporting & Conformance) è un protocollo di autenticazione utilizzato per aiutare le organizzazioni a proteggere il proprio dominio dall'uso non autorizzato. DMARC estende i protocolli di autenticazione esistenti, come SPF e DKIM, per informare i server destinatari sulle azioni da intraprendere in caso di errore di autenticazione nel dominio. Anche se DMARC è attualmente facoltativo, è vivamente consigliato in quanto proteggerà meglio il marchio e la reputazione della tua organizzazione. A partire da febbraio 2024, i principali fornitori come Google e Yahoo richiederanno l’uso di DMARC per i mittenti in blocco.

Affinché DMARC funzioni, è necessario disporre di almeno uno dei seguenti record TXT DNS:

  • Un SPF valido
  • Un record DKIM valido per il dominio FROM: (consigliato per il Marketo Engage)

Inoltre, è necessario disporre di un record TXT DNS specifico per DMARC per il dominio FROM:. In alternativa, è possibile definire un indirizzo e-mail a scelta per indicare la destinazione dei rapporti DMARC all'interno dell'organizzazione, in modo da poter monitorare i rapporti.

Come best practice, si consiglia di implementare lentamente l’implementazione di DMARC aumentando il livello dei criteri DMARC da p=none a p=quarantena, a p=rifiuta man mano che si comprende il potenziale impatto di DMARC, e di impostare i criteri DMARC su un allineamento più rilassato in SPF e DKIM.

Esempio di flusso di lavoro DMARC

  1. Se si è configurati per la ricezione di rapporti DMARC, è necessario effettuare le seguenti operazioni…

    I. Analizza il feedback e i rapporti ricevuti e utilizzati (p=none), che indica al destinatario di non eseguire azioni contro i messaggi che non superano l’autenticazione, ma che inviano comunque i rapporti e-mail al mittente.

    II. Rivedi e risolvi i problemi relativi a SPF/DKIM se l’autenticazione dei messaggi legittimi non riesce.

    III. Determina se SPF o DKIM sono allineati e trasmette l’autenticazione per tutte le e-mail legittime.

    IV. Rivedi i rapporti per assicurarti che i risultati siano quelli previsti in base ai criteri SPF/DKIM.

  2. Procedi con l’impostazione del criterio (p=quarantena), che indica al server e-mail ricevente di mettere in quarantena le e-mail che non superano l’autenticazione (in genere significa inserire tali messaggi nella cartella di posta indesiderata).

    I. Rivedi i rapporti per assicurarti che i risultati siano quelli previsti.

  3. Se si è soddisfatti del comportamento dei messaggi a livello di p=quarantena, è possibile modificare i criteri in (p=rifiuta). Il criterio p=rifiuta indica al destinatario di rifiutare completamente (non recapitare) qualsiasi e-mail per il dominio che non supera l’autenticazione. Con questo criterio abilitato, solo i messaggi e-mail verificati come autenticati al 100% dal dominio avranno anche la possibilità di inserire messaggi nella casella in entrata.

ATTENZIONE

Utilizza questo criterio con cautela e stabilisci se è appropriato per la tua organizzazione.

Reporting DMARC

DMARC offre la possibilità di ricevere rapporti relativi alle e-mail che non superano SPF/DKIM. Esistono due diversi rapporti generati dai server ISP come parte del processo di autenticazione che i mittenti possono ricevere tramite i tag RUA/RUF nei propri criteri DMARC.

  • Aggregate Reports (RUA): non contiene dati PII (personalmente identificabili) sensibili ai requisiti del GDPR (General Data Protection Regulation, Regolamento generale sulla protezione dei dati).

  • Rapporti forensi (RUF): contiene indirizzi e-mail sensibili al RGPD. Prima di utilizzare, è consigliabile verificare internamente come gestire le informazioni che devono essere conformi ai requisiti RGPD.

L’utilizzo principale di questi rapporti consiste nel ricevere una panoramica delle e-mail che vengono tentate di spoofing. Si tratta di rapporti altamente tecnici che è meglio digerire tramite uno strumento di terze parti.

Esempio di record DMARC

  • Record minimo: v=DMARC1; p=none

  • Per ricevere i rapporti, registra la reindirizzamento a un indirizzo e-mail: v=DMARC1; p=none; rua=mailto:emaill@domain.com; ruf=mailto:email@domain.com

Tag DMARC e relative funzioni

I record DMARC hanno più componenti denominati tag DMARC. Ogni tag ha un valore che specifica un determinato aspetto di DMARC.

Nome tag Obbligatorio/facoltativo Funzione Esempio Valore predefinito
v Obbligatorio Questo tag DMARC specifica la versione. Al momento è disponibile una sola versione, quindi il valore fisso sarà v=DMARC1 V=DMARC1 DMARC1 DMARC1
p Obbligatorio Mostra il criterio DMARC selezionato e indica al destinatario di segnalare, mettere in quarantena o rifiutare i messaggi che non superano i controlli di autenticazione. p=none, quarantena o rifiuto -
fo Facoltativo Consente al proprietario del dominio di specificare le opzioni di reporting. 0: genera il rapporto se tutto non riesce
1: generare un rapporto in caso di errori
d: Genera report in caso di errore DKIM
s: Genera report se SPF non riesce
1 (consigliato per i rapporti DMARC)
pct Facoltativo Indica la percentuale di messaggi soggetti a filtro. pct=20 100
rua Facoltativo (consigliato) Identifica dove verranno consegnati i rapporti aggregati. rua=mailto:aggrep@example.com -
ruf Facoltativo (consigliato) Identifica dove verranno consegnati i rapporti forensi. ruf=mailto:authfail@example.com -
sp Facoltativo Specifica il criterio DMARC per i sottodomini del dominio padre. sp=rifiuta -
adkim Facoltativo Può essere Strict (s) o Relaxed ®. L’allineamento rilassato indica che il dominio utilizzato nella firma DKIM può essere un sottodominio dell’indirizzo "Da". L'allineamento rigido indica che il dominio utilizzato nella firma DKIM deve corrispondere esattamente al dominio utilizzato nell'indirizzo Da. adkim=r r
aspf Facoltativo Può essere Strict (s) o Relaxed ®. L'allineamento semplificato indica che il dominio ReturnPath può essere un sottodominio dell'indirizzo From. L'allineamento rigido indica che il dominio del percorso di ritorno deve corrispondere esattamente all'indirizzo Da. aspf=r r

Per informazioni complete su DMARC e sulle opzioni disponibili, visitare il sito https://dmarc.org/.

DMARC e MARKETO ENGAGE

Esistono due tipi di allineamento per l'allineamento DMARC: DKIM e SPF.

NOTA

Si consiglia di eseguire l'allineamento DMARC su DKIM rispetto a SPF per Marketo.

  • DMARC allineato DKIM: per impostare DMARC allineato DKIM è necessario:

    • Imposta DKIM per il dominio FROM: del messaggio. Utilizzare le istruzioni in questo articolo.
    • Configura DMARC per il dominio FROM:/DKIM configurato in precedenza
  • SPF allineato DMARC - Per impostare SPF allineato DMARC tramite il percorso di ritorno del marchio, è necessario:

    • Imposta il dominio del percorso di ritorno con marchio

      • Configurare il record SPF appropriato
      • Modifica il record MX in modo che punti al record MX predefinito per il datacenter in cui verrà inviata la posta
    • Configurare DMARC per il dominio del percorso restituito con marchio

  • Se invii messaggi da Marketo tramite un IP dedicato e non hai già implementato il percorso di ritorno del brand, o se non sei sicuro di averlo, apri un ticket con Supporto Marketo.

  • Se invii messaggi da Marketo tramite un pool condiviso di IP, puoi verificare se sei idoneo per gli IP attendibili da applicazione. Il percorso di ritorno con marchio è offerto gratuitamente a chi invia da IP attendibili di Marketo. Se approvato per questo programma, contatta il supporto Marketo per impostare il percorso di ritorno a marchio.

    • IP attendibili: un pool condiviso di IP riservati agli utenti con volumi inferiori che inviano <75.000/mese che non sono idonei per un IP dedicato. Anche questi utenti devono soddisfare i requisiti delle best practice.
  • Se invii messaggi da Marketo tramite IP condivisi e non sei idoneo per gli IP attendibili e invii più di 100.000 messaggi al mese, devi contattare il Team account Adobe (il tuo account manager) per acquistare un IP dedicato.

  • L'allineamento rigoroso dell'SPF non è supportato né consigliato in Marketo.

Passaggio 5: configurare i record MX per il dominio

Un record MX ti consente di ricevere e-mail al dominio da cui stai inviando l’e-mail per elaborare le risposte e i risponditori automatici. Se invii dal dominio aziendale, probabilmente lo hai già configurato. In caso contrario, in genere è possibile configurarlo per eseguire la mappatura sul record MX del dominio aziendale.

Indirizzi IP in uscita

Per connessione in uscita si intende una connessione effettuata dal Marketo Engage a un server su Internet per conto dell'utente. Alcuni partner/fornitori con cui collabori o la tua organizzazione IT possono utilizzare i inserisce nell'elenco Consentiti di accesso ai server di un'organizzazione di produttori di cui si è proprietari, in modo da limitare l'accesso ai server. In tal caso, devi fornire loro blocchi di indirizzi IP in uscita di Marketo Engage da aggiungere ai loro inserisce nell'elenco Consentiti di.

Webhook

Marketo Engage Webhook are an outbound integration mechanism. When a Call Webhook azione di flusso eseguita come parte di una campagna intelligente, viene effettuata una richiesta HTTP a un servizio web esterno. Se l’editore del servizio web utilizza un inserisco nell’elenco Consentiti di sul firewall della rete in cui si trova il servizio web esterno, deve aggiungere i blocchi di indirizzi IP elencati di seguito al proprio inserisco nell’elenco Consentiti di.

Sincronizzazione CRM

Marketo Engage Sincronizzazione CRM Salesforce and Microsoft Dynamics Sync sono meccanismi di integrazione che effettuano richieste HTTP in uscita alle API pubblicate dal fornitore del sistema di gestione delle relazioni con i clienti. È necessario assicurarsi che l’organizzazione IT non blocchi nessuno dei blocchi di indirizzi IP riportati di seguito per l’accesso alle API del fornitore CRM.

Blocchi di indirizzi IP in uscita del Marketo Engage

Le tabelle seguenti descrivono tutti i server di Marketo Engage che effettuano chiamate in uscita. Utilizzare gli elenchi riportati di seguito se si sta configurando un elenco Consentiti IP, un server, un firewall, un elenco di controllo di accesso, un gruppo di sicurezza o un servizio di terze parti per ricevere connessioni in uscita dal Marketo Engage.

Blocco IP (notazione CIDR)
94.236.119.0/26
103.237.104.0/22
130.248.172.0/24
130.248.173.0/24
130.248.244.88/29
185.28.196.0/22
192.28.144.0/20
192.28.160.0/19
199.15.212.0/22
Indirizzo IP individuale
13.237.155.207
13.55.192.247
18.200.201.81
34.247.24.245
35.165.244.220
44.235.171.179
52.20.211.99
52.64.109.86
54.160.246.246
54.212.167.17
54.220.138.65
54.237.141.197
130.248.168.16
130.248.168.17

In questa pagina