Come funziona il record DMARC?
DMARC (Domain-based Message Authentication, Reporting & Conformance) è un sistema di validazione dei messaggi di posta elettronica. Esso utilizza due tecnologie già esistenti (SPF e DKIM) per definire una serie di criteri con lo scopo di verificare se una data email proviene ed è inviata da un mittente legittimo.
Pertanto prima di procedere con l'attivazione del record DMARC, è molto importante assicurarsi che sul dominio di riferimento siano già attivi e funzionanti i servizi SPF e DKIM dei quali troverete le relative guide nella nostra knowledge-base.
Se desiderate avere una visione tecnica dettagliata delle verifiche eseguite dal protocollo DMARC vi consigliamo la documentazione ufficiale, presente a questo link.
Verifiche da fare prima di procedere con DMARC
Come precedentemente detto è molto importante aver attivato i record SPF e DKIM, prima di procedere con l'attivazione del record DMARC. Questo perchè quest'ultimo si basa su quei due record, per aggiungere ulteriori criteri di veridicità del mittente. Qualora tali record non siano configurati, o siano configurati in modo errato, lo stesso record DMARC, restituirebbe dei report errati. Con il risultato di confondere il server di destinazione generando così risposte inaspettate.
Potete verificare il record SPF del vostro dominio tramite questo tool ed il record DKIM tramite questo tool. Se entrambi rispondono in modo positivo, potete procedere nella configurazione di DMARC.
SPF e DKIM sono configurati correttamente, come configurare DMARC?
Il record DMARC lato configurazione si presenta come un semplice record DNS. Questo significa che non è necessario eseguire impostazioni particolari. Il modo più semplice per procedere alla sua configurazione è tramite questo tool https://www.kitterman.com/dmarc/assistant.html
Accedendo al link sopra riportato viene proposta la seguente schermata principale. La successiva immagine vi mostra una configurazione d'esempio con il dominio example.com in cui è possibile vedere come impostare i valori nel modo corretto.
La configurazione di default va bene quasi in modo totale, è sufficiente impostare solo le seguenti voci:
Domain: questo è il vostro dominio di posta
Requested policy type: Selezionare quarantine (istruisce l'antispam ad spostare una eventuale mail con il controllo DMARC fallito nella cartella Junk della posta)
Aggregate Data Reporting Address (ADRA): è l'indirizzo email in cui saranno inviati i report aggregati per le mail che non dovessero passare il check DMARC. Maggiori informazioni qui.
Forensic Data Reporting Address (FDRA): è l'indirizzo email in cui saranno inviati i report forensi per le mail che non dovessero passare il check DMARC. Maggiori informazioni qui.
Tutte le altre impostazioni possono rimanere come proposto dal tool, senza variazioni. Successivamente premere sul pulsante Get DMARC Record.
Nella schermata successiva verranno proposti i record DNS da configurare sul dominio. Di seguito quelli per il dominio example.com di questo esempio:
Il primo record (1) è il record DMARC vero e proprio:
Record TXT: _dmarc.example.com
Valore Record: v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com; ruf=mailto:dmarc@example.com; sp=quarantine
Il secondo record (2) è il record relativo al report dei messaggio (ADRA, FDRA):
Record TXT: example.com._report._dmarc.example.com
Valore Record: v=DMARC1;
Successivamente alla creazione di questi record, occorre attendere 12/24 ore per la propagazione dei DNS. Successivamente il vostro record DMARC sarà operativo.
