L’importanza dei report DMARC
Report DMARC: cosa sono, dove arrivano e perché aiutano a proteggere il dominio
Quando si parla di sicurezza email, sigle come SPF, DKIM e DMARC vengono spesso nominate insieme, ma non sempre è chiaro quale sia il loro ruolo concreto.
DMARC, in particolare, è uno standard pensato per proteggere i domini email da una delle truffe più diffuse: lo spoofing.
In termini semplici, lo spoofing avviene quando qualcuno invia email utilizzando come mittente un dominio che non gli appartiene, con l’obiettivo di apparire credibile agli occhi del destinatario. È una tecnica molto comune nelle campagne di phishing e nelle frodi via email. DMARC serve proprio a gestire questi casi e a dire ai server destinatari come comportarsi quando ricevono messaggi sospetti che dichiarano di provenire dal tuo dominio.
Cosa succede quando un’email non supera i controlli?
Quando un’email arriva a destinazione, il server che la riceve verifica se il messaggio supera alcuni controlli di autenticazione, tra cui SPF e DKIM.
Quando entrambi questi controlli falliscono, nella maggior parte dei casi l’email non proviene da un sistema autorizzato dal dominio dichiarato. In questo scenario entra in gioco DMARC.
Il legittimo proprietario del dominio deve aver precedentemente definito le policy, le regole che indicano cosa fare con questi messaggi “problematici”.
Le opzioni previste dallo standard sono tre:
- none: il messaggio viene consegnato, ma segnalato come sospetto;
- quarantine: il messaggio viene messo in quarantena;
- reject: il messaggio viene respinto e non consegnato.
Molti attacchi prendono di mira domini che non hanno una policy DMARC configurata o che utilizzano ancora la modalità none. In questi casi gli aggressori possono inviare email truffaldine utilizzando nell’header From l’indirizzo del dominio attaccato, mentre l’header envelope-from (quello realmente utilizzato per l’invio) appartiene a un dominio completamente diverso.
Una policy DMARC di tipo reject permette invece ai server destinatari di bloccare direttamente questi messaggi, impedendone la consegna e riducendo in modo significativo il rischio di frodi, abusi e campagne di phishing basate sulla falsificazione del dominio.
È una scelta che richiede attenzione e consapevolezza, ma rappresenta uno dei passi più efficaci per proteggere il proprio dominio email.
I report DMARC
Oltre alla definizione delle policy, DMARC consente di ricevere report giornalieri sul traffico email associato al proprio dominio. Questi report sono particolarmente importanti perché, nella maggior parte dei casi, in caso di spoofing, né il mittente né il destinatario ricevono alcuna segnalazione diretta dell’attacco.
Oltre alla protezione dallo spoofing, DMARC consente di individuare configurazioni impostate male o servizi legittimi che inviano email senza rispettare le policy di autenticazione del dominio. Un esempio, sono dispositivi o applicazioni configurati per inviare email direttamente, senza passare dai server autorizzati e senza applicare una firma DKIM valida. In queste situazioni i messaggi falliscono i controlli DMARC, pur essendo generati da sistemi interni e legittimi.
I report DMARC permettono di intercettare questo tipo di invii e di verificarne l’origine, evitando che problemi di configurazione restino nascosti.
In questo modo è possibile:
- accorgersi che qualcuno sta abusando del proprio dominio;
- individuare invii non autorizzati;
- rilevare configurazioni errate o servizi dimenticati che inviano email senza rispettare le policy.
Senza i report, molte attività di abuso restano invisibili.
Chi invia e chi riceve i report DMARC
I provider che ricevono email con mittente il tuo dominio generano i report DMARC, di norma una volta al giorno, e li inviano agli indirizzi indicati nel campo rua del record DMARC configurato nel tuo DNS.
È consigliabile usare un indirizzo fornito dal proprio provider email o dal servizio di sicurezza che gestisce l’analisi dei report, così da garantire una lettura corretta dei dati da parte di personale competente.
Se non hai ancora configurato un record DMARC, è possibile fare riferimento alla documentazione ufficiale di Qboxmail per l’impostazione corretta.
Come Qboxmail gestisce l’invio dei report DMARC
Abbiamo recentemente aggiornato la nostra infrastruttura di Email Security e migliorato la generazione e l’invio dei report DMARC verso tutti i domini che specificano un record valido con un indirizzo rua raggiungibile.
Ogni giorno i sistemi di Qboxmail ricevono e analizzano milioni di messaggi provenienti da migliaia di domini.
Per ciascun dominio vengono raccolti i dati dei messaggi, verificato l’esito rispetto alla policy DMARC configurata, generati report XML conformi allo standard e inviati agli indirizzi indicati nel record rua.
Questo processo comporta la creazione e l’invio di decine di migliaia di report al giorno, contribuendo in modo concreto a migliorare la sicurezza dell’intero ecosistema email.
Per gli Email Provider che desiderano identificare correttamente i report inviati da Qboxmail, i messaggi vengono spediti dal mittente report@dmarc.qboxmail.com tramite il server dmarcreport.qboxmail.com.
L’invio dei report DMARC è un’attività volontaria, ma rappresenta una pratica fondamentale per garantire un servizio email più sicuro per tutti. Configurare correttamente una policy e analizzare i report significa avere maggiore controllo su ciò che accade, anche quando i problemi non sono immediatamente visibili.
Se cerchi maggiore sicurezza per le email aziendali o sei un rivenditore che vuole offrire un servizio email più solido e affidabile ai propri clienti, i servizi di Qboxmail includono strumenti e competenze pensati proprio per questo tipo di esigenze.
Gestione sicura delle email in ambienti critici
L’importanza dell’autenticazione delle email
