La guida di Red Sift per raggiungere l’applicazione DMARC

L’email è uno dei canali di comunicazione più sfruttati, spesso preso di mira da phishing, spoofing e attacchi informatici. Domain-based Message Authentication, Reporting, and Conformance (DMARC) è una difesa potente contro queste minacce, ma il suo vero impatto dipende da un’adozione e un’applicazione diffuse.

Nonostante i benefici riconosciuti, l’implementazione di DMARC resta disomogenea a livello globale. Raggiungere l’applicazione mondiale richiede collaborazione tra governi, aziende e organizzazioni internazionali.

Questa guida offre una tabella di marcia chiara per avanzare nell’adozione di DMARC, affrontando aspetti normativi e legali e superando le sfide regionali. Lavorando insieme, possiamo favorire l’applicazione e creare un internet più sicuro per tutti.

L’applicazione di DMARC impedisce che email fraudolente raggiungano i tuoi dipendenti, clienti, fornitori e utenti. Funziona assicurando che solo le email legittime siano correttamente autenticate, così i server di posta di tutto il mondo possono rifiutare i messaggi non autorizzati.

Questi attacchi di impersonificazione spaziano da campagne mirate come whaling e spear-phishing da parte di hacker legati a stati nazionali e minacce persistenti avanzate (APT) fino alle truffe di phishing quotidiane, che possono essere altrettanto dannose. Applicare DMARC aiuta a proteggere la tua organizzazione da entrambi i tipi di minaccia.

Prima di puntare all’applicazione globale di DMARC, è fondamentale capire come arrivarci. La chiave è un approccio graduale: implementare progressivamente le policy DMARC assieme a DKIM (DomainKeys Identified Mail) e SPF (Sender Policy Framework). Questo rilascio controllato garantisce che solo email legittime vengano inviate dal tuo dominio, bloccando tentativi di spoofing e phishing. Seguendo questo percorso strutturato, le organizzazioni possono rafforzare la propria sicurezza e gettare le basi per un’adozione più ampia a livello settoriale.

La configurazione della reportistica DMARC inizia aggiungendo una voce DNS _dmarc a tutti i tuoi domini. Questo indica ai server email dove trovare la tua policy DMARC e come gestire i fallimenti di autenticazione.

Con Red Sift OnDMARC, devi aggiornare il DNS una sola volta per ciascun dominio. Puntando i tuoi record DMARC ai Dynamic Services di OnDMARC, puoi gestire la policy direttamente dall’interfaccia di OnDMARC, senza più modifiche manuali al DNS che rischiano errori o ritardi.

Prima di applicare DMARC, hai bisogno di dati per comprendere la situazione attuale dell’email e assicurarti che i cambiamenti non interrompano la consegna delle email. Per questo DMARC parte dalla modalità “none” (solo report): tutte le email vengono consegnate mentre raccogli le informazioni necessarie.

Una volta configurato Red Sift OnDMARC, riceverai report dai server email su come viene usato il tuo dominio. Questi report sono di due tipi:

• Report aggregati (lo standard): Inviati ogni giorno dalla maggior parte dei server email, forniscono una panoramica dei risultati di autenticazione.
• Report forensi (approfondimenti avanzati da Red Sift): Inviati quando una singola email fallisce la verifica DMARC, offrono dettagli approfonditi su problemi specifici di autenticazione.

Entrambi i report sono in formato XML leggibile da macchina, ma analizzarli manualmente può essere complesso. Red Sift OnDMARC semplifica questo processo elaborando automaticamente i report e offrendo una dashboard intuitiva per individuare e risolvere rapidamente i problemi di sicurezza.

"v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com; ruf=mailto:forensic@example.com; fo=1"

• p=none: Nessuna applicazione, solo monitoraggio. Le email verranno consegnate anche se non superano i controlli.
• rua=mailto:dmarc-reports@example.com: Indirizzo email a cui inviare i report aggregati. Da qui deriva la capacità di reportistica di DMARC.
• ruf=mailto:forensic@example.com: Indirizzo email a cui inviare i report di fallimento.
• fo=1: Invia report forensi di fallimento se le email non superano SPF o DKIM.

Entro 24 ore dovresti ricevere il tuo primo report DMARC, pronto per essere analizzato.

Con Red Sift OnDMARC, l’analisi dei report è semplicissima. Vedrai subito quali fonti email sono autorizzate, noterai le configurazioni mancanti e individuerai eventuali mittenti non autorizzati. Questi potrebbero essere servizi legittimi da aggiornare o soggetti malintenzionati che tentano di impersonare il tuo dominio.

• Volume totale di email e percentuali di successo dell’autenticazione.
• Ripartizione pass/fail per DMARC, SPF e DKIM.
• Elenco dettagliato dei mittenti, che mostra le prestazioni di ciascun servizio.

Grazie a questa visibilità puoi facilmente individuare e risolvere i problemi, assicurando la piena protezione del tuo dominio.

Proprio come puoi puntare il record DMARC su Red Sift OnDMARC per una gestione semplificata senza modifiche manuali al DNS, puoi fare lo stesso per DKIM e SPF utilizzando i nostri servizi Dynamic DKIM e Dynamic SPF. Potrai così gestire tutte le impostazioni di autenticazione delle email in un unico posto, senza la fatica di aggiornare continuamente i record DNS.

Configurare DKIM dinamico

Per impostare Dynamic DKIM dovrai copiare tutte le tue chiavi DKIM attuali nel DNS dentro Dynamic DKIM. Quindi dovrai puntare DKIM “_domainkey” per il tuo dominio su Dynamic DKIM aggiungendo un singolo record NS nel DNS.

D’ora in avanti tutta la gestione delle chiavi DKIM, aggiunta o rimozione, potrà essere svolta sulla piattaforma invece che modificando manualmente i record DNS.

Per impostare Dynamic SPF dovrai importare il tuo record SPF su Dynamic SPF. Poi sostituire tutto nel record SPF con una singola istruzione include che punti a Dynamic SPF.

Il tuo record SPF sarà così: v=spf1 include:_u.example.org._spf.smart.ondmarc.com ~all

Una volta configurato, potrai gestire il record SPF completamente dalla piattaforma, aggiungere o rimuovere meccanismi senza dover modificare manualmente il DNS.

Per i mittenti legittimi devi puntare ad una conformità DKIM quasi perfetta nella maggior parte dei casi. Per ottenere questo, il tuo provider DMARC deve supportare DKIM e fornirti istruzioni chiare per la configurazione. Di solito questo comporta:

• Record CNAME che puntano alle chiavi DKIM pubbliche ospitate (preferito).
• Record TXT che contengono le chiavi pubbliche DKIM.

Si raccomanda una lunghezza minima delle chiavi DKIM di 1024 bit, ma se possibile chiedi chiavi a 2048 bit per maggiore sicurezza. Se utilizzi il DKIM Dinamico di OnDMARC, puoi gestire la configurazione DKIM direttamente dalla piattaforma, senza editare manualmente il DNS, riducendo il rischio e risparmiando tempo.

*Alcuni mittenti, come Microsoft Exchange Online, rendono più difficile distinguere tra report provenienti dal mittente originale e quelli da email inoltrate: ciò può influire sul monitoraggio della conformità DKIM.

Per i mittenti legittimi che utilizzano il tuo dominio come indirizzo di bounce**, devi configurare SPF per autorizzare i loro indirizzi IP.

Se utilizzi il Dynamic SPF di OnDMARC, puoi gestire queste impostazioni direttamente in piattaforma, eliminando le modifiche manuali del DNS, riducendo i rischi e risparmiando tempo.

**Bounce address è anche noto come MAIL FROM, Return-Path ed Envelope From.

Dopo ogni modifica, valida sempre inviando email di test da ogni mittente per assicurarti che tutto sia configurato correttamente.

Con Red Sift OnDMARC puoi usare lo strumento Investigate integrato per esaminare rapidamente i risultati di autenticazione, identificare problemi e ottenere indicazioni chiare, senza dover decifrare manualmente intestazioni complesse delle email.

Se tutto supera i controlli, ottimo! Altrimenti, verifica le ragioni e correggi la configurazione.

Ripeti le Fasi 1 - 4 e continua a revisionare, configurare, validare fino a quando tutti i tuoi domini e i mittenti legittimi sono correttamente configurati e autorizzati, passando DMARC, DKIM e SPF.

Passare a quarantine da none indica ai server email di spostare i messaggi non autorizzati nello spam, riducendo il rischio di attacchi di phishing e spoofing mentre prosegui il monitoraggio.

Non c’è differenza tra un attacco di impersonificazione non autorizzato e un mittente legittimo non autorizzato con configurazione mancante. Entrambi falliscono l’autenticazione. Ecco perché una corretta configurazione DMARC è fondamentale. Garantire che tutti i mittenti legittimi siano correttamente autorizzati evita blocchi e interruzioni, mentre blocca le reali minacce.

Dopo aver elevato la policy a quarantine, è importante monitorare i report DMARC per almeno alcuni giorni. Consigliamo di controllare almeno una volta a settimana, per verificare quali mittenti vengano messi in quarantena e se siano effettivamente non autorizzati. In questo periodo ascolta segnalazioni da utenti o stakeholder su email legittime finite in spam inaspettatamente.

Se riscontri che email legittime vengono messe in quarantena, configura e valida il mittente. Durante questi aggiustamenti puoi decidere se tornare temporaneamente a una policy ‘none’ o proseguire verso la piena applicazione.

Dopo un periodo sufficiente in quarantena, è il momento di compiere l’ultimo passo e applicare la policy p=reject. Questa scelta offre la massima protezione, impedendo agli attori malevoli di impersonare il tuo dominio e riducendo il rischio per dipendenti, clienti, fornitori e utenti.

Impostando p=reject, la tua organizzazione ottiene:

• Protezione totale da spoofing e phishing: Le email non autorizzate che non superano la verifica DMARC vengono automaticamente rifiutate, bloccando i tentativi di impersonificazione e riducendo il rischio phishing. Insieme a awareness sulla sicurezza, MFA e formazione dello staff, rafforza le difese dell’organizzazione.
• Fiducia rafforzata nel marchio: Blocca gli attacchi di phishing con il tuo dominio, protegge reputazione e fiducia dei clienti.
• Migliore deliverability delle email: Gli Internet Service Provider (ISP) riconoscono le mail autenticate come legittime, riducendo il rischio che finiscano nello spam.
• Massima visibilità sull’attività email: I report DMARC ti aiutano a tenere traccia di usi autorizzati e non autorizzati delle email.
• Idoneità BIMI: Con DMARC applicato, il logo del tuo marchio può comparire accanto alle email autenticate, aumentando riconoscibilità e fiducia, e portando ad un open rate superiore del 39%.
• Conformità normativa: Molti standard e regolamenti raccomandano o richiedono l’applicazione DMARC tra le best practice di cybersecurity.

Raggiungendo p=reject, il tuo dominio è pienamente protetto: solo email legittime vengono consegnate, mentre i tentativi di impersonificazione sono bloccati.

L’organizzazione è in continua evoluzione, così come l’assetto email. Per mantenere la protezione DMARC, controlla regolarmente i report per identificare nuovi mittenti legittimi da configurare correttamente. Essere proattivi mantiene sempre elevata la sicurezza delle email.

Ricorda di proteggere tutti i tuoi domini, inclusi quelli “parked” non utilizzati attivamente. Raccomandiamo un controllo periodico (almeno trimestrale) dell'elenco domini per evitare dimenticanze.

I principali provider DMARC, come Red Sift OnDMARC, semplificano il processo permettendo di aggiungere nuovi mittenti direttamente dalla piattaforma senza modifiche manuali al DNS. Questo consente di risparmiare tempo, ridurre errori e garantire una protezione continua senza complessità inutili.