Cos’è DMARC e come funziona

L’email è uno strumento fondamentale per qualsiasi azienda e un’interruzione prolungata può causare non solo perdite economiche, ma anche danni all’immagine e persino complicazioni legali. Purtroppo, ormai quasi ogni giorno riceviamo email sospette nella nostra posta. Spesso queste comunicazioni vengono scambiate per messaggi legittimi, e basta un clic sul link sbagliato per creare grossi problemi. Questo tipo di truffa si chiama phishing e, in alcuni casi, può portare a un attacco più grave chiamato Business Email Compromise (BEC). Hornetsecurity ha affrontato questi temi in modo approfondito, se ti interessa puoi dare un’occhiata qui:

• Attenzione alle truffe di phishing durante le festività 
• Cosa devono sapere i tuoi dipendenti sul phishing + esempi reali 
• Smascherare il phishing: comprendere la minaccia insidiosa per la tua organizzazione 

Il messaggio centrale in tutti questi articoli è chiaro e coerente: gli attacchi di phishing e spoofing sono incessanti e in continua crescita. Le aziende devono restare vigili e adottare soluzioni efficaci per rilevare e bloccare questi tentativi di attacco.

Cos’è DMARC? 

Abbiamo visto quanto l’email sia cruciale per le aziende e accennato alle principali minacce. Ora vediamo quali strumenti di protezione si possono adottare per contrastarle. È il momento di presentare tre protocolli di autenticazione email, configurati come record DNS, pensati per proteggere dai più comuni attacchi BEC:

• DMARC (Domain-based Message Authentication, Reporting & Conformance) 
• SPF (Sender Policy Framework) 
• DKIM (DomainKeys Identified Mail) 

Anche se ci concentreremo principalmente su DMARC, è fondamentale introdurre prima SPF e DKIM, poiché sono alla base del suo funzionamento. SPF consente ai proprietari del dominio di specificare quali server possono inviare email per conto del loro dominio. DKIM, invece, utilizza la crittografia a chiave pubblica per garantire che il contenuto dell’email non sia stato modificato durante la trasmissione. DMARC (si legge “di-mark”) utilizza un insieme di regole, chiamate “policies”, che si basano sui controlli effettuati tramite SPF e/o DKIM per determinare se un messaggio è autentico.

Come lavorano insieme

Come già accennato, una policy DMARC prende in considerazione i risultati dei controlli SPF e DKIM per stabilire se un’email può essere considerata legittima. Mostreremo una rappresentazione semplificata del modo in cui DMARC, SPF e DKIM collaborano.

Approfondiamo ora il funzionamento pratico, cioè cosa succede quando un’email viene ricevuta e valutata attraverso la policy DMARC:

• Controllo SPF: verifica che il dominio nel mittente corrisponda al campo “Return-Path”, confermando l’autenticità del mittente.
• Controllo DKIM: utilizza la crittografia a chiave pubblica per confermare l’integrità del messaggio e garantire che non sia stato alterato.

DMARC utilizza i risultati di questi controlli per decidere come gestire ogni messaggio in arrivo. È importante capire che, anche se DMARC prevede tre azioni precise per le email che non superano i controlli, la scelta finale dipende molto dal contesto dell’azienda. Per esempio, se per un’organizzazione è fondamentale che le email arrivino sempre, la policy può essere impostata in modo più “morbido”, lasciando passare qualche messaggio che non supera tutti i controlli. Quindi, anche se chi invia imposta la propria policy DMARC, alla fine spetta a chi riceve decidere come applicarla.

In combinazione con DKIM e SPF, DMARC consente alle aziende di pubblicare un record nel DNS contenente le istruzioni su come gestire i messaggi che falliscono entrambi i controlli.

SPF e DKIM rappresentano le fondamenta su cui si basa DMARC. Il record DMARC specifica come il server deve trattare le email che non possono essere gestite in modo efficace solo da SPF e DKIM. Una volta pubblicato, il record viene inserito nel DNS e può essere aggiornato in qualsiasi momento. Ed è proprio in questa fase che le cose possono diventare complesse.

Le policy DMARC

La policy DMARC è il cuore dell’intero sistema: è qui che si decide come trattare i messaggi in base all’esito dei controlli SPF e DKIM.
Una nota importante: la configurazione dei record SPF e DKIM può risultare complessa, a seconda di vari fattori. Non entrerò nei dettagli in questo momento, ma puoi trovare maggiori informazioni su come configurarli qui:

• SPF 
• DKIM 

Per ora, ci limiteremo a una panoramica generale delle tre opzioni disponibili nella policy DMARC: – None (nessuna azione) – Quarantine (quarantena) – Reject (rifiuto)

Nome opzione	Azione	Risultato
None	Non intraprendere alcuna azione	Il messaggio viene consegnato
Quarantine	Segnala come spam	Il messaggio viene trattato come spam
Reject	Blocca la consegna	Il messaggio non viene consegnato

La prima opzione, “None”, è generalmente la scelta migliore quando un dominio è appena stato acquisito e si vuole stabilire una base di riferimento per assicurarsi che le email vengano consegnate tramite DMARC. Successivamente, a seconda della tua infrastruttura e del contesto aziendale, potresti decidere di passare a contrassegnare i messaggi come “Quarantine”. L’opzione “Reject” farà esattamente ciò che promette.

È importante sottolineare che una policy DMARC può essere utilizzata anche se esiste solo un record SPF o DKIM, ma averli entrambi è preferibile. Questo è particolarmente rilevante in un periodo in cui le email di phishing rappresentano una minaccia significativa per la sicurezza della posta elettronica.

Per ottenere un reale miglioramento della sicurezza delle email e contrastare efficacemente le minacce online, è necessaria una diffusione più ampia di questi meccanismi di protezione. La buona notizia è che la tendenza è positiva. Pur essendo stato introdotto nel 2012, dmarc.org ha monitorato l’adozione dei record attivi dal 2016 al 2022, registrando i seguenti dati:

• Dopo una lenta crescita dei record DNS configurati a partire dal 2016, nel 2019 il numero di DMARC ha raggiunto circa ottantamila.
• Una crescita esponenziale con oltre tre milioni e mezzo a giugno 2021 e quasi sei milioni ad aprile 2022.

Ormai possiamo dire con buona certezza che l’adozione di DMARC è cresciuta ancora rispetto agli ultimi dati che avevamo. Un ruolo importante lo hanno avuto soprattutto Yahoo e Google, che verso la fine del 2023 hanno annunciato una novità: da febbraio 2024, chiunque mandi più di 5.000 email al giorno dovrà per forza avere una policy DMARC attiva. Questo messaggio ha fatto capire a tutti quanto sia fondamentale migliorare la sicurezza delle email, e il settore stesso ne è ormai consapevole.

Come DMARC migliora la sicurezza delle email

DMARC svolge un ruolo fondamentale nel verificare l’autenticità delle email tramite i controlli SPF e DKIM, offrendo una doppia garanzia sia per il mittente sia per il destinatario:

• Il dominio mittente può essere certo che le email in uscita saranno consegnate.
• Il server che riceve le email può essere sicuro che il dominio da cui provengono è autorizzato a inviarle.

Un dominio compromesso rappresenta un’arma pericolosa nelle mani dei malintenzionati, che possono sfruttarlo per lanciare attacchi di phishing e spoofing del dominio, inviando email non autorizzate a nome di quel dominio. Questo apre ulteriori vie di attacco, come l’hosting di malware su un dominio altrimenti legittimo e l’inganno delle vittime per far scaricare loro malware. I rischi di tutto questo si riducono sensibilmente grazie alla policy DMARC.

Abbiamo finora parlato molto delle capacità preventive di DMARC, ma cosa dire dei suoi controlli di rilevamento? Sarà un piacere sapere che DMARC include anche funzioni di reportistica e monitoraggio! Fornisce due tipi di report e un monitoraggio continuo in tempo reale di eventuali problemi di autenticazione delle email. Complessivamente, questi strumenti offrono ai proprietari di dominio preziose informazioni per identificare potenziali problemi di sicurezza, come spoofing, errori di configurazione o utilizzi non autorizzati del dominio.

I report sono di due tipi:

Minacce comuni che DMARC aiuta a mitigare

Abbiamo già parlato di come DMARC aiuti a bloccare phishing e spoofing, ma ci sono anche altri tipi di attacchi subdoli che passano tramite email. Per esempio, c’è il rischio che un dispositivo venga infettato da malware inviato tramite un indirizzo email falsificato. Anche in questi casi, DMARC fa la sua parte: le email che non superano i controlli vengono segnalate come pericolose e trattate di conseguenza.

E poi ci sono le minacce più “soft”, come i danni alla reputazione dell’azienda. Se qualcuno riesce a falsificare il dominio della tua azienda, può inviare messaggi offensivi, ingannevoli o addirittura fraudolenti, compromettendo la fiducia che hai costruito negli anni con i tuoi clienti. Qui DMARC torna utile perché permette ai proprietari del dominio di decidere cosa fare quando arriva una email che non passa i controlli di autenticazione, mettendo così un freno a questi abusi.

---

Evita problemi di configurazione DMARC con il DMARC Manager di Hornetsecurity

Configurare e mantenere le policy DMARC, DKIM e SPF può rappresentare un carico amministrativo significativo, soprattutto se si gestiscono organizzazioni grandi e complesse, con molti domini, configurazioni multiple e requisiti diversi per ogni dominio.

You’ll be glad to hear that a solution for this is available in the form of DMARC Management Tools, also known simply as “DMARC Manager”. Hornetsecurity’s DMARC Manager is designed to safeguard your brand’s reputation by protecting your domains against email impersonation, phishing, and spoofing with intuitive DMARC, DKIM, and SPF Management features such as: 

La buona notizia è che esiste una soluzione: gli strumenti di gestione DMARC, noti come “DMARC Manager”. Il DMARC Manager di Hornetsecurity è stato progettato per proteggere la reputazione del tuo brand, difendendo i domini da impersonificazione, phishing e spoofing, con funzionalità intuitive per gestire DMARC, DKIM e SPF, tra cui:

• Configuratore di domini
• Cruscotto di stato
• Analisi dei mittenti email
• Report e avvisi sui fallimenti

Non sei sicuro se il tuo dominio è a rischio? Prova il nostro controllo gratuito per analizzare le impostazioni SPF, DKIM e DMARC del tuo dominio.

---

Conclusione 

Le aziende devono agire in modo attivo per proteggere le loro comunicazioni email dalle minacce rappresentate da phishing e spoofing. Il protocollo di sicurezza email DMARC è una tecnologia fondamentale che può essere utilizzata creando una policy che, insieme a SPF e DKIM, stabilisce quali azioni intraprendere per ogni email in arrivo.

The adoption of DMARC is steadily rising, and recent requirements by key industry players is likely to keep driving that positive trend. To that end, businesses should already be developing a plan for implementing DMARC Manager. However, this should not be planned and implemented in isolation, instead forming part of their comprehensive email security strategy.  

L’adozione di DMARC è in costante crescita e i recenti requisiti imposti da importanti player del settore contribuiranno a mantenere questa tendenza positiva. Per questo motivo, le aziende dovrebbero già iniziare a pianificare l’implementazione di DMARC Manager. Tuttavia, questo non dovrebbe essere fatto in modo isolato, ma come parte integrante di una strategia completa di sicurezza email.