Ottimizzazione dei criteri DMARC

È un must-have

Il DMARC non è più solo un "nice-to-have". È un requisito indispensabile per proteggere la reputazione del vostro marchio e garantire che le vostre campagne e-mail arrivino effettivamente nella casella di posta. Che siate nel marketing, nelle vendite o nell'IT, capire il DMARC significa avere il controllo su chi può inviare come voi.

Come bloccare lo spoofing delle e-mail senza perdere la posta legittima

Se siete esperti di marketing che gestiscono le e-mail del vostro marchio, è molto probabile che abbiate sentito parlare di DMARC, soprattutto se qualcuno vi ha messo in guardia dallo spoofing delle e-mail, dai reclami per spam o dalla necessità di BIMI e di una migliore deliverability. Ma per molti il DMARC è ancora un mistero. Si presenta come un record TXT dall'aspetto strano nelle impostazioni del vostro dominio. Se avete visto qualcosa del genere...

v=DMARC1; p=none;rua=mailto:dmarc-reports@yourdomain.com

... e non siete sicuri di cosa faccia, questo articolo è per voi.

Vi spieghiamo tutto, in parole semplici, e vi mostriamo come ottimizzare la vostra politica DMARC per la sicurezza, la reputazione del marchio e le prestazioni delle e-mail.

Il DMARC si basa su due vecchi metodi di autenticazione delle e-mail:

SPF (Sender Policy Framework): Definisce quali server sono autorizzati a inviare posta per conto del vostro dominio.
DKIM (DomainKeys Identified Mail): Aggiunge una firma digitale alle intestazioni delle e-mail per verificare che il messaggio non sia stato alterato.

Il DMARC aggiunge l'ultimo livello: l'applicazione dei criteri e il reporting.

Perché è necessario il DMARC?

Previene lo spoofing: Impedisce ai malintenzionati di inviare e-mail false utilizzando il vostro dominio (come il phishing o le truffe).
Proteggere il vostro marchio: Se qualcuno usa il vostro dominio per frode, può danneggiare la reputazione del vostro marchio.
Consegnabilità delle e-mail: I provider di e-mail favoriscono le e-mail autenticate: il DMARC aiuta le vostre e-mail legittime ad arrivare nella casella di posta.
Abilitazione del BIMI: volete che il vostro logo venga visualizzato accanto alle vostre e-mail in Gmail o Yahoo? Dovete avere una politica DMARC forte (con applicazione).

Anatomia di un record DMARC

Un record DMARC è una singola riga di testo aggiunta alle impostazioni DNS del vostro dominio (di solito nel dashboard del vostro provider di hosting o della società di registrazione del dominio). Vediamo questo esempio:

v=DMARC1; p=reject; rua=mailto:reports@yourdomain.com

Ora decodifichiamo tutte le opzioni che si possono utilizzare:

Tag	Cosa fa	Esempio
v	Versione (sempre DMARC1)	v=DMARC1
p	Politica: cosa fare con le e-mail non riuscite	p=nessuno, p=quarantena, p=rifiuto
rua	Email di report aggregato (dati giornalieri)	rua=mailto:reports@yourdomain.com
ruf	Email di resoconto forense (dati per ogni guasto) (opzionale)	ruf=mailto:alerts@yourdomain.com
pct	Percentuale di email a cui applicare il criterio	pct=50 applica i criteri al 50%.
sp	Politica per i sottodomini	sp=rifiuta (politica per i sottodomini)
adkim	Allineamento DKIM: rigoroso(s) o rilassato(r)	adkim=s
aspf	Allineamento SPF: rigoroso o rilassato	aspf=r
fo	Opzioni di segnalazione forense	fo=1, fo=0, ecc.

Le 3 modalità dei criteri DMARC

1. p=nessuno

Solo monitoraggio. Le e-mail non vengono bloccate.
Utilizzare questa modalità per iniziare a raccogliere dati.
Ideale per le prime 1-3 settimane.

2. p=quarantena

Le e-mail sospette finiscono nella cartella spam.
Una buona via di mezzo. Si inizia a filtrare mantenendo il rischio basso.

3. p=rifiuto

Completamente applicato. I provider di posta elettronica bloccano le e-mail non autorizzate.
La migliore protezione, necessaria per il BIMI e la piena fiducia.
Da utilizzare dopo aver verificato che i mittenti siano allineati (tramite i rapporti).

Strategia di ottimizzazione DMARC (passo dopo passo)

1. Iniziare con il monitoraggio

Impostare p=nessuno, aggiungere rua=mailto:yourreports@yourdomain.com
Attendere 1-2 settimane, raccogliere i rapporti.

2. Analizzare chi invia

Utilizzare i rapporti per identificare tutti i mittenti legittimi (Mailchimp, Google Workspace, strumenti CRM, ecc.).
Assicurarsi che ogni mittente sia impostato con SPF e DKIM corretti.

3. Correggere i problemi di allineamento

Assicuratevi che i record DKIM e SPF corrispondano al vostro dominio(d= e Return-Path).
Impostare adkim=s e aspf=s per un allineamento rigoroso una volta che si è sicuri.

4. Passare gradualmente all'applicazione

Iniziate con p=quarantena; pct=25, poi aumentate al 50%, poi al 100%.
Infine, impostare p=rifiuto quando si è sicuri.

5. Mantenere e monitorare

Mantenere attive le segnalazioni. Anche con p=rifiuto, gli aggressori possono provare nuovi trucchi.
Aggiornare i record SPF e DKIM quando si aggiungono nuove piattaforme.

Avete bisogno di assistenza? Programmate un incontro con noi; vi aiuteremo a configurare il tutto.

Esempio di un record DMARC forte

v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com; ruf=mailto:alerts@yourdomain.com; sp=reject; adkim=s; aspf=s; fo=1

Questo indica ai provider di posta in arrivo:

1. Blocca tutte le e-mail non autenticate(p=reject).

2. Inviare rapporti all'utente ogni giorno(rua)

3. Essere rigorosi con l'allineamento(adkim=s, aspf=s)

4. Applicatelo anche ai sottodomini(sp=reject).

Ottimizzazione dei criteri DMARC: Proteggere il marchio e aumentare la deliverability delle e-mail