Demistificazione del record DMARC

Pubblicato: 2021-08-18

Lo standard DMARC (Domain-based Message Authentication, Reporting & Conformance) è lo strumento migliore a disposizione dei marchi per combattere gli attacchi di phishing che prendono di mira i clienti falsificando i loro domini di proprietà. Ma l'implementazione di DMARC può creare confusione molto rapidamente.

In questo post, demistifichiamo il record DMARC definendo i tag DMARC che lo compongono. Tratteremo sia i tag obbligatori che quelli facoltativi, oltre a discutere alcune strategie e casi d'uso in cui i tag DMARC meno noti possono offrire alla tua organizzazione un livello maggiore di sicurezza della posta elettronica.

Cosa sono i tag DMARC?
I tag DMARC sono la lingua dello standard DMARC. Dicono al destinatario dell'e-mail di (1) verificare la presenza di DMARC e (2) cosa fare con i messaggi che non superano l'autenticazione DMARC.

Tag DMARC richiesti
Sono necessari solo due tag DMARC: "v:" e "p:"

v: Versione . Questo tag viene utilizzato per identificare il record TXT come record DMARC, in modo che i destinatari dell'e-mail possano distinguerlo dagli altri record TXT. Il tag v: deve avere il valore "DMARC1" e deve essere elencato come primo tag all'interno dell'intero record DMARC. Se il valore non corrisponde esattamente a "DMARC1" o il tag v: non è elencato per primo, l'intero record DMARC verrà ignorato dal destinatario.

Esempio: v=DMARC1

p: Politica del destinatario della posta richiesta. Questo tag indica la policy che deve essere attuata dal destinatario per i messaggi che non superano i controlli di autenticazione e allineamento DMARC, come specificato dal proprietario del dominio. Questa politica si applicherà al dominio interrogato e a tutti i sottodomini, a meno che non venga esplicitamente descritta una politica separata per i sottodomini (ne parleremo più avanti nel post). Ci sono tre possibili valori per la p: tag

  1. p=none: il proprietario del dominio non richiede che venga intrapresa alcuna azione specifica sulla posta che non supera l'autenticazione e l'allineamento DMARC.
  2. p=quarantena: il proprietario del dominio desidera che la posta che non supera i controlli di autenticazione e allineamento DMARC sia trattata come sospetta dai destinatari della posta. Ciò può significare che i destinatari inseriscono l'e-mail nella cartella spam/posta indesiderata, contrassegnano come sospetta o esaminano questa e-mail con maggiore intensità.
  3. p=reject: il proprietario del dominio richiede che i destinatari della posta rifiutino l'e-mail che non supera i controlli di autenticazione e allineamento DMARC. Il rifiuto dovrebbe verificarsi durante la transazione SMTP. Questa è la politica più rigorosa e offre il più alto livello di protezione.

Date le informazioni di cui sopra, l'esempio di record DMARC più elementare potrebbe essere: v=DMARC1; p=nessuno.

Tag DMARC opzionali
 I tag DMARC facoltativi di seguito consentono ai mittenti di posta elettronica di fornire istruzioni più specifiche su cosa fare con la posta che non si autentica, rimuovendo le congetture per i destinatari.

  • rua: indica dove devono essere inviati i report DMARC aggregati. I mittenti designano l'indirizzo di destinazione nel seguente formato: rua=mailto:[email protected]
  • ruf: indica dove devono essere inviati i rapporti DMARC forensi. I mittenti designano l'indirizzo di destinazione nel seguente formato: ruf=mailto:[email protected]

I seguenti tag facoltativi hanno un valore predefinito che verrà assunto se il tag viene escluso. L'elenco dei tag con un valore predefinito presunto è:

  • adkim: indica un allineamento dell'identificatore DKIM rigoroso o rilassato. L'impostazione predefinita è rilassata.
  • aspf: indica un allineamento dell'identificatore SPF rigoroso o rilassato. L'impostazione predefinita è rilassata.
  • rf: formato per i rapporti di errore dei messaggi. L'impostazione predefinita è Authentication Failure Reporting Format, o "AFRF".
  • ri: il numero di secondi trascorsi tra l'invio di report aggregati al mittente. Il valore predefinito è 86.400 secondi o un giorno.
  • pct: percentuale di messaggi a cui deve essere applicata la politica DMARC. Questo parametro fornisce un modo per implementare e testare gradualmente l'impatto della politica.
  • fo : determina quale tipo di vulnerabilità di autenticazione e/o allineamento vengono segnalate al proprietario del dominio.
  • Ci sono quattro valori per quest'ultimo fo: tag:
  • 0: genera un rapporto di errore DMARC se tutti i meccanismi di autenticazione sottostanti non riescono a produrre un risultato "pass" allineato. (Predefinito)
  • 1: genera un rapporto di errore DMARC se un meccanismo di autenticazione sottostante ha prodotto qualcosa di diverso da un risultato "pass" allineato.
  • d: Genera un rapporto di errore DKIM se il messaggio aveva una firma che non ha superato la valutazione, indipendentemente dal suo allineamento.
  • s: genera un rapporto di errore SPF se il messaggio non ha superato la valutazione SPF, indipendentemente dal suo allineamento.

Sebbene l'impostazione predefinita sia "fo=0", Return Path consiglia ai client di utilizzare fo:1 per generare i rapporti di errore più completi, fornendo una visibilità molto più granulare nel canale di posta elettronica.

Di seguito è riportato un esempio di record DMARC. Sulla base di ciò che hai imparato finora, prova a decifrare ogni tag:

v=DMARC1; p=rifiuto; fo=1; rua=mailto:[email protetta]; ruf=mailto:[email protetta]; rf=afrf; pct=100

E i sottodomini?
Il tag DMARC finale di cui parleremo oggi è il tag sp:, che viene utilizzato per indicare una politica richiesta per tutti i sottodomini in cui la posta non supera i controlli di autenticazione e allineamento DMARC. Questo tag è applicabile solo ai domini di primo livello (domini di livello organizzativo). È più efficace quando un proprietario di dominio desidera specificare criteri diversi per il dominio di primo livello e tutti i sottodomini.

Per i seguenti scenari, utilizzeremo il dominio di primo livello di "domain.com" e il sottodominio di "mail.domain.com" per illustrare i casi d'uso.

  1. Il proprietario del dominio desidera applicare una politica di rifiuto per "domain.com", ma una politica di quarantena per "mail.domain.com" (e tutti gli altri sottodomini). Il record DMARC per "dominio.com" includerebbe quindi "v=DMARC1; p=rifiuto; sp=quarantena.” Questa è una strategia efficace se l'organizzazione deve mantenere criteri DMARC separati per il dominio di primo livello e tutti i sottodomini.
  2. Il proprietario del dominio desidera applicare una politica di rifiuto per "mail.domain.com" (e tutti gli altri sottodomini) ma non imporre una politica di rifiuto per "dominio.com". Il record DMARC per "dominio.com" includerebbe quindi "v=DMARC1; p=nessuno; sp=rifiutare.” Questa sarebbe una strategia efficace per combattere gli attacchi del dizionario nel caso in cui il dominio di primo livello non sia pronto per applicare la politica, ma i truffatori stanno falsificando sottodomini come mail.domain.com, abc.domain.com, 123.domain. com, xyz.domain.com, ecc. L'impostazione del tag sp: su rifiutare proteggerà l'organizzazione da questi attacchi del dizionario che prendono di mira i sottodomini senza influire sulla posta inviata dal dominio di primo livello, "domain.com"

Ora che hai compreso il DNA del record DMARC, scopri di più su quali tipi di attacchi blocca e quali tipi di attacchi non lo fa in The Email Threat Intelligence Report .