Come abilitare DMARC e configurarne i record DNS
Un po’di teoria
DMARC è un meccanismo scalabile che, utilizzando il DNS (Domain Name System) permette alle organizzazioni che spediscono posta elettronica di definire e distribuire policy di dominio per la validazione, la distribuzione e i report della stessa, mentre le organizzazioni che la posta la ricevono possono usare quelle stesse regole e preferenze per migliorarne la gestione.
Le specifiche complete di DMARC si possono trovare su
http://www.dmarc.org .
Come procedere su MDaemon
Creare il record DMARC
Il record DMARC è un record DNS di tipo TXT
Se il nome del dominio è domain.com il nome Host del record TXT sarà _dmarc.domain.com
Il valore del record TXT conterrà il tipo di policy e le funzioni opzionali di report
Per una descrizione dettagliata del formato del record TXT seguite il link sottostante:
Seguite i passi indicati qui sotto per controllare le impostazioni di verifica DMARC e sceglietene le opzioni.
Selezionate Sicurezza > Impostazioni di sicurezza > Autenticazione mittente > Verifica DMARC
I seguenti valori sono abilitati di default:
– Attiva verifica e report DMARC
– Non verificare messaggi di sessioni autenticate
– Non verificare messaggi provenienti da ip affidabili
– Record cache DMARC
Sono inoltre presenti i bottoni Cache e Lista Bianca
Quando si verifica il record DMARC per confrontare la posta in entrata sono presenti le seguenti opzioni:.
– Applica p=reject quando DMARC produce un risultato "FAIL" termina la sessione SMTP non appena DMARC fallirà la verifica delle mail in arrivo
– Spostare nella cartella della posta indesiderata i messaggi che non superano il test DMARC consegnerà tutti i messaggi che falliscono la verifica DMARC nella cartella della posta indesiderata dell'utente.
Quando verrà abilitata questa opzione, MDaemon chiederà se deve creare una regola di filtro IMAP per tutti gli utenti, che consegni la posta che fallisce la verifica DMARC alle caselle della posta indesiderata.
N.B. se è attiva l'opzione Applica p=reject quando DMARC produce un risultato "FAIL" in realtà la posta non finirà nella posta indesiderata, in quanto la sessione SMTP verrà chiusa prima di terminare la consegna dei messaggi.
Selezionate DMARC reporting
Abilitate la spunta di Invia report aggregati DMARC per abilitare la spedizione dei report aggregati DMARC ai domini che ne facciano richiesta.
Selezionate Invia i report sugli errori DMARC per far sì che MDaemon inoltri i report d'errore ai domini che hanno l'impostazione ruf= nel loro record DMARC pubblico.
I Metadati dei repor DMARC contengono le seguenti informazioni che vengono inoltrate quando i report sono spediti: Possono essere modificate per le proprie necessità:
– Nome dell'organizzazione
– E-Mail di contatto
– Informazioni di contatto
– Percorso restituzione report (il percorso cui arriveranno i reply ai report)
Selezionare Opzioni DMARC per vedere le varie opzioni che possono essere impostate per i report ed i log DMARC.
– Le intestazioni canonizzate DKIM sono incluse nei report degli errori DMARC
Include le intestazioni DKIM nei report d'errore DMARC inoltrati ai domini che ne facciano richiesta
Il corpo canonizzato DKIM è incluso nei report degli errori DMARC
Include il corpo dei messaggi DKIM nei report d'errore DMARC inoltrati ai domini che ne facciano richiesta
N.B.Le due opzioni sopra indicate sono utili in fase di diagnosi dei problemi, ma rendono pubblici i contenuti delle mail, vanno quindi usate con cautela e solo in presenza di problemi specifici
Sostituisci IP riservati nei report DMARC con 'X.X.X.X' abilitato di default, nasconde gli indirizzi ip nei report DMARC
Includi record DMARC in file di registro abilitato di default, scrive tutte le query DMARC nel file di log..
Aggiorna automaticamente il file dei suffissi pubblici se è più vecchio di abilitato di default ed impostato a 15 giorni.
– Il file dei suffissi è il record che MDaemon scarica automaticamente per DMARC.
– Il file che MDaemon usa per default si trova qui: http://publicsuffix.org/list/effective_tld_names.dat
Se si vuole aggiornare subito il file pubblico dei suffissi si può premere su Aggiorna ora il file dei suffissi pubblico.
