Record DMARC dmarc-record
Che cos'è DMARC? what-is-dmarc
DMARC (Domain-based Message Authentication, Reporting, and Conformance) è un metodo di autenticazione e-mail che consente ai proprietari del dominio di proteggere il proprio dominio da utilizzi non autorizzati. Offrendo una politica chiara ai provider di posta elettronica e di servizi Internet (ISP), aiuta a evitare che gli attori malintenzionati inviino e-mail che affermano di appartenere al tuo dominio. L’implementazione di DMARC riduce il rischio che le e-mail legittime vengano contrassegnate come spam o vengano rifiutate, inoltre migliora il recapito dei messaggi e-mail.
DMARC offre anche rapporti sui messaggi che non superano l’autenticazione, oltre al controllo sulla gestione delle e-mail che non superano la convalida DMARC. A seconda dei criteri DMARC implementati, queste e-mail possono essere monitorate, messe in quarantena o rifiutate. Queste funzionalità consentono di intraprendere azioni per mitigare e risolvere potenziali errori.
Per evitare problemi di recapito messaggi e ottenere il controllo dei messaggi che non riescono a eseguire l'autenticazione, Journey Optimizer ora supporta la tecnologia DMARC direttamente nell'interfaccia di amministrazione. Ulteriori informazioni
Come funziona DMARC? how-dmarc-works
SPF e DKIM vengono entrambi utilizzati per associare un’e-mail a un dominio e collaborare per l’autenticazione dell’e-mail. DMARC compie un ulteriore passo avanti e aiuta a prevenire lo spoofing facendo corrispondere il dominio controllato da DKIM e SPF.
Per passare il DMARC, un messaggio deve trasmettere SPF o DKIM:
- SPF (Sender Policy Framework) consente di verificare che il messaggio di posta elettronica provenga da una fonte autorizzata controllando l'indirizzo IP del server di invio rispetto a un elenco di indirizzi IP autorizzati per il dominio.
- DKIM (DomainKeys Identified Mail) aggiunge una firma digitale ai messaggi e-mail, consentendo al destinatario di verificarne l’integrità e l’autenticità.
In caso di errore di autenticazione di entrambe o di una di queste, DMARC avrà esito negativo e l’e-mail verrà consegnata in base ai criteri DMARC selezionati.
Criteri DMARC dmarc-policies
Se l'autenticazione DMARC di un messaggio e-mail non riesce, puoi decidere quale azione verrà applicata al messaggio. DMARC dispone di tre opzioni:
- Monitoraggio (p=none): indica al provider di cassette postali/ISP di eseguire le operazioni normalmente eseguite sul messaggio.
- Quarantena (p=quarantena): indica al provider della cassetta postale o all'ISP di recapitare messaggi che non passano DMARC alla cartella di posta indesiderata o indesiderata del destinatario.
- Rifiuta (p=rifiuta): indica al provider di cassette postali/ISP di bloccare la posta che non passa DMARC causando un mancato recapito.
Aggiornamento requisiti DMARC dmarc-update
Come parte delle best practice di settore, Google e Yahoo! richiedono entrambi di disporre di un record DMARC per qualsiasi dominio utilizzato per inviare loro e-mail. Questo nuovo requisito si applica a partire dal 1° febbraio 2024.
Di conseguenza, Adobe consiglia vivamente di effettuare le seguenti operazioni:
-
Assicurati di avere record DMARC configurato per tutti i sottodomini già delegati all'Adobe in Journey Optimizer. Scopri come
-
Quando si delega un nuovo sottodominio ad Adobe, è possibile configurare DMARC direttamente nell'interfaccia di amministrazione Journey Optimizer. Scopri come
Implementare DMARC in Journey Optimizer implement-dmarc
L'interfaccia di amministrazione Journey Optimizer consente di impostare il record DMARC per tutti i sottodomini già delegati o che si sta delegando ad Adobe. I passaggi dettagliati sono descritti di seguito.
Verifica la presenza di DMARC nei sottodomini esistenti check-subdomains-for-dmarc
Per verificare che il record DMARC sia impostato per tutti i sottodomini delegati in Journey Optimizer, eseguire la procedura seguente.
-
Accedi al menu Amministrazione > Canali > Impostazioni e-mail > Sottodomini, quindi fai clic su Configura sottodominio.
-
Per ogni sottodominio delegato, controlla la colonna Record DMARC. Se non è stato trovato alcun record per un determinato sottodominio, viene visualizzato un avviso.
note caution CAUTION Per soddisfare i nuovi requisiti di Gmail e Yahoo! ed evitare problemi di recapito messaggi con i principali ISP, si consiglia di impostare un record DMARC per tutti i sottodomini delegati. Ulteriori informazioni -
Seleziona un sottodominio a cui non è associato alcun record DMARC e compila la sezione Record DMARC in base alle esigenze della tua organizzazione. I passaggi per compilare i campi del record DMARC sono descritti in questa sezione.
-
Considera le due opzioni seguenti:
-
Se stai modificando un sottodominio configurato con CNAME, devi copiare il record DNS per DMARC nella soluzione di hosting per generare i record DNS corrispondenti.
Assicurati che il record DNS sia stato generato nella soluzione di hosting del tuo dominio e seleziona la casella "Confermo…".
-
Se stai modificando un sottodominio completamente delegato ad Adobe, compila semplicemente i campi record DMARC descritti in questa sezione. Non sono necessarie ulteriori azioni.
-
-
Salva le modifiche.
Configurare DMARC per i nuovi sottodomini set-up-dmarc
Quando si delegano nuovi sottodomini ad Adobe in Journey Optimizer, verrà creato un record DMARC in DNS per il dominio. Per implementare DMARC, segui i passaggi indicati di seguito.
-
Configura un nuovo sottodominio. Scopri come
-
Passare alla sezione Record DMARC.
Se il sottodominio ha un record DMARC esistente e viene recuperato da Journey Optimizer, è possibile utilizzare gli stessi valori evidenziati nell'interfaccia o modificarli in base alle esigenze.
note note NOTE Se non aggiungi alcun valore, verranno utilizzati i valori predefiniti precompilati. -
Definire l'azione che il server destinatario eseguirà se DMARC non riesce. A seconda dei criteri DMARC che si desidera applicare, selezionare una delle tre opzioni seguenti:
- Nessuno (valore predefinito): indica al destinatario di non eseguire azioni sui messaggi che non superano l'autenticazione DMARC, ma di inviare comunque i report e-mail al mittente.
- Quarantena: indica al server e-mail ricevente di mettere in quarantena l'e-mail che non riesce l'autenticazione DMARC. Ciò in genere significa inserire tali messaggi nella cartella di posta indesiderata o indesiderata del destinatario.
- Rifiuta: indica al destinatario di negare completamente (non recapitare) qualsiasi messaggio e-mail per il dominio che non supera l'autenticazione. Con questo criterio abilitato, solo i messaggi e-mail verificati come autenticati al 100% dal dominio avranno anche la possibilità di inserire messaggi nella casella in entrata.
note note NOTE Come best practice, si consiglia di eseguire il rollout dell'implementazione DMARC eseguendo l'escalation dei criteri DMARC da None a Quarantine e a Rifiuta per comprendere il potenziale impatto di DMARC. -
Facoltativamente, aggiungi uno o più indirizzi e-mail di tua scelta per indicare dove rapporti DMARC nelle e-mail che non riescono a eseguire l'autenticazione devono essere inviati all'interno della tua organizzazione. Puoi aggiungere fino a cinque indirizzi per ogni rapporto.
note note NOTE Assicurati di avere una casella in entrata autentica (non Adobe) nel controllo in cui puoi ricevere tali rapporti. Esistono due diversi rapporti generati dagli ISP che i mittenti possono ricevere tramite i tag RUA/RUF nei loro criteri DMARC:
- Rapporti aggregati (RUA): non contengono dati PII (personalmente identificabili) che potrebbero essere sensibili ai requisiti RGPD.
- Rapporti sugli errori forensi (RUF): contengono indirizzi e-mail sensibili ai requisiti RGPD. Prima di utilizzare, controlla internamente come gestire le informazioni che devono essere conformi ai requisiti RGPD.
note note NOTE Questi rapporti altamente tecnici forniscono una panoramica delle e-mail che vengono tentate di spoofing. È consigliabile digerirli attraverso uno strumento di terze parti. -
Seleziona la percentuale applicabile di e-mail per DMARC.
Questa percentuale dipende dalla fiducia nell’infrastruttura e-mail e dalla tolleranza per i falsi positivi (le e-mail legittime vengono contrassegnate come fraudolente). In genere le organizzazioni iniziano con i criteri DMARC impostati su Nessuno, aumentano gradualmente la percentuale di criteri DMARC e monitorano attentamente l'impatto sulla consegna di e-mail legittime.
note note NOTE Collabora con i tuoi amministratori e-mail e il team IT per aumentare gradualmente la percentuale man mano che acquisisci fiducia nelle tue pratiche di autenticazione e-mail. Come best practice, è consigliabile ottenere un tasso di conformità DMARC elevato, idealmente vicino al 100%, per ottimizzare i vantaggi in termini di sicurezza e ridurre al minimo il rischio di falsi positivi.
-
Seleziona un intervallo di reporting compreso tra 24 e 168 ore. Consente ai proprietari del dominio di ricevere aggiornamenti regolari sui risultati dell’autenticazione e-mail e di intraprendere le azioni necessarie per migliorare la sicurezza e-mail.