Conformità al protocollo DMARC di autenticazione in Amazon SES - Amazon Simple Email Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Conformità al protocollo DMARC di autenticazione in Amazon SES

Domain-based Message Authentication, Reporting and Conformance (DMARC) è un protocollo di autenticazione e-mail che utilizza Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM) per rilevare lo spoofing e il phishing delle e-mail. Per garantire la conformitàDMARC, i messaggi devono essere autenticati tramite uno dei due metodi SPF oppureDKIM, idealmente, utilizzando entrambi i metodi, garantirete il massimo livello di protezione possibile per l'invio delle e-mail. DMARC

Esaminiamo brevemente cosa fa ciascuna di esse e come DMARC le unisce tutte:

  • SPF— Identifica quali server di posta sono autorizzati a inviare posta per conto del MAIL FROM dominio personalizzato tramite un DNS TXT record utilizzato daDNS. I sistemi di posta dei destinatari fanno riferimento al SPF TXT record per determinare se un messaggio del dominio personalizzato proviene da un server di messaggistica autorizzato. Fondamentalmente, SPF è progettato per aiutare a prevenire lo spoofing, ma esistono tecniche di spoofing che nella pratica sono suscettibili di applicazione ed SPF è per questo che è necessario utilizzarle anche insieme a. DKIM DMARC

  • DKIM— Aggiunge una firma digitale ai messaggi in uscita nell'intestazione dell'e-mail. I sistemi di posta elettronica di ricezione possono utilizzare questa firma digitale per verificare se la posta elettronica in arrivo è firmata da una chiave di proprietà del dominio. Tuttavia, quando un sistema di posta elettronica ricevente inoltra un messaggio, la busta del messaggio viene modificata in modo da invalidare l'autenticazione. SPF Poiché la firma digitale rimane nel messaggio di posta elettronica perché fa parte dell'intestazione dell'e-mail, DKIM funziona anche quando un messaggio è stato inoltrato tra server di posta (purché il contenuto del messaggio non sia stato modificato).

  • DMARC— Assicura l'allineamento del dominio con almeno uno dei e. SPF DKIM L'utilizzo di SPF and DKIM alone non assicura che l'indirizzo From sia autenticato (si tratta dell'indirizzo e-mail che il destinatario vede nel suo client di posta elettronica). SPFcontrolla solo il dominio specificato nell'MAILFROMindirizzo (non visualizzato dal destinatario). DKIMcontrolla solo il dominio specificato nella DKIM firma (inoltre, non visto dal destinatario). DMARCrisolve questi due problemi richiedendo che l'allineamento del dominio sia corretto su uno dei due o SPF su: DKIM

    • SPFPer eseguire l'DMARCallineamento, il dominio nell'indirizzo From deve corrispondere al dominio nell'indirizzo (noto anche come MAIL FROM indirizzo Return-Path e Envelope-from address). Ciò è raramente possibile con la posta inoltrata, perché viene eliminata, o quando si invia posta tramite provider di posta elettronica di massa di terze parti, poiché Return-Path (MAILFROM) viene utilizzato per respingimenti e reclami che il provider () monitora utilizzando un indirizzo di sua proprietà. SES

    • DKIMPer passare l'DMARCallineamento, il dominio specificato nella firma deve corrispondere al dominio nell'DKIMindirizzo From. Se utilizzi mittenti o servizi di terze parti che inviano posta per tuo conto, puoi farlo assicurandoti che il mittente terzo sia configurato correttamente per la DKIM firma e che tu abbia aggiunto i record DNS appropriati all'interno del tuo dominio. I server di posta riceventi saranno quindi in grado di verificare le e-mail inviate loro da terze parti come se fossero e-mail inviate da qualcuno autorizzato a utilizzare un indirizzo all'interno del dominio.

Mettendo tutto insieme con DMARC

I controlli di DMARC allineamento di cui abbiamo parlato in precedenza mostrano come SPFDKIM, e funzionano DMARC tutti insieme per aumentare la fiducia del dominio e la consegna delle e-mail alle caselle di posta. DMARCa tal fine si assicura che l'indirizzo del mittente, visualizzato dal destinatario, sia autenticato da uno dei seguenti: SPF DKIM

  • Un messaggio passa DMARC se uno o entrambi i DKIM controlli descritti SPF vengono superati.

  • Un messaggio ha esito negativo DMARC se entrambi i DKIM controlli descritti SPF o descritti falliscono.

Pertanto, entrambi SPF DKIM sono necessari DMARC per avere maggiori possibilità di autenticare l'e-mail inviata e, utilizzandoli tutti e tre, contribuirete a garantire un dominio di invio completamente protetto.

DMARCconsente inoltre di indicare ai server di posta elettronica come gestire le e-mail in caso di mancata DMARC autenticazione tramite policy da voi impostate. Questo verrà spiegato nella sezione seguenteConfigurazione della DMARC politica sul tuo dominio, che contiene informazioni su come configurare i SES domini in modo che le e-mail inviate siano conformi al protocollo di DMARC autenticazione tramite eSPF. DKIM

Configurazione della DMARC politica sul tuo dominio

Per effettuare la configurazioneDMARC, devi modificare le DNS impostazioni del tuo dominio. Le DNS impostazioni del dominio devono includere un TXT record che specifichi le DMARC impostazioni del dominio. Le procedure per aggiungere TXT record alla DNS configurazione dipendono dal provider DNS di hosting utilizzato. Se utilizzi Amazon Route 53 per DNS, consulta la sezione Utilizzo dei record nella Guida per gli sviluppatori di Amazon Route 53. Se utilizzi un altro provider, consulta la documentazione di DNS configurazione del tuo provider.

Il nome del TXT record che crei dovrebbe essere _dmarc.example.com «example.comDov'è il tuo dominio». Il valore del TXT record contiene la DMARC politica che si applica al tuo dominio. Di seguito è riportato un esempio di TXT record che contiene una DMARC policy:

Nome Type Valore
_dmarc.example.com TXT "v=DMARC1;p=quarantine;rua=mailto:my_dmarc_report@example.com"

Nell'esempio di DMARC policy precedente, questo criterio indica ai provider di posta elettronica di fare quanto segue:

  • Per tutti i messaggi che non superano l'autenticazione, inviateli alla cartella Spam come specificato dal parametro policy,p=quarantine. Altre opzioni includono non fare nulla utilizzando p=none o rifiutare completamente il messaggio utilizzando. p=reject

    • La sezione successiva illustra come e quando utilizzare queste tre impostazioni dei criteri: l'utilizzo di quella sbagliata nel momento sbagliato può causare il mancato recapito delle e-mail, vedi. Le migliori pratiche per l'implementazione DMARC

  • Invia report su tutte le e-mail che non sono riuscite ad autenticarsi in un digest (ovvero un rapporto che aggrega i dati per un determinato periodo di tempo, anziché inviare report individuali per ogni evento) come specificato dal parametro di reporting rua=mailto:my_dmarc_report@example.com (rua sta per Reporting URI for Aggregate reports). I provider di posta elettronica in genere inviano questi report aggregati una volta al giorno, anche se tali policy possono variano per ogni provider.

Per ulteriori informazioni sulla configurazione DMARC per il tuo dominio, consulta la Panoramica sul sito Web. DMARC

Per le specifiche complete del DMARC sistema, vedere Internet Engineering Task Force (IETF) DMARC Draft.

Le migliori pratiche per l'implementazione DMARC

È meglio implementare l'applicazione delle DMARC politiche con un approccio graduale e graduale in modo da non interrompere il resto del flusso di posta. Crea e implementa un piano di implementazione che segua questi passaggi. Esegui ciascuno di questi passaggi prima con ciascuno dei tuoi sottodomini e infine con il dominio di primo livello dell'organizzazione prima di passare alla fase successiva.

  1. Monitora l'impatto dell'implementazione DMARC (p=none).

    • Inizia con un semplice record in modalità di monitoraggio per un sottodominio o dominio che richiede che le organizzazioni che ricevono la posta ti inviino statistiche sui messaggi che vedono utilizzando quel dominio. Un record in modalità di monitoraggio è un DMARC TXT record il cui criterio è impostato su Nessuno. p=none

    • I report generati tramite DMARC forniranno i numeri e le fonti dei messaggi che superano questi controlli, rispetto a quelli che non lo fanno. Puoi facilmente vedere quanto del tuo traffico legittimo è coperto o meno da essi. Vedrai segni di inoltro, poiché i messaggi inoltrati falliranno SPF e DKIM se il contenuto viene modificato. Inizierai anche a vedere quanti messaggi fraudolenti vengono inviati e da dove vengono inviati.

    • Gli obiettivi di questo passaggio sono capire quali saranno le e-mail che subiranno l'implementazione di uno dei due passaggi successivi e fare in modo che eventuali mittenti terzi o autorizzati allineino le proprie DKIM politiche SPF o politiche.

    • Ideale per i domini esistenti.

  2. Richiedi che i sistemi di posta esterni mettano in quarantena la posta che non va a buon fine DMARC (p=quarantine).

    • Se ritieni che tutto o la maggior parte del tuo traffico legittimo provenga dall'invio di un dominio in linea con uno dei due SPF o con una delle due opzioni e comprendi l'impatto dell'implementazioneDKIM, puoi implementare DMARC una politica di quarantena. Una politica di quarantena è un DMARC TXT record il cui criterio è impostato sulla quarantena. p=quarantine In questo modo, chiedi DMARC ai destinatari di inserire i messaggi del tuo dominio che non vengono DMARC recapitati nell'equivalente locale di una cartella spam anziché nelle caselle di posta dei tuoi clienti.

    • Ideale per i domini in transizione che hanno analizzato DMARC i report durante la Fase 1.

  3. Richiedi che i sistemi di posta esterni non accettino messaggi con esito negativo DMARC (p=reject).

    • L'implementazione di una politica di rifiuto è in genere il passaggio finale. Una politica di rifiuto è un DMARC TXT record la cui politica è impostata per il rifiuto. p=reject Quando lo fai, chiedi DMARC ai destinatari di non accettare messaggi che non superano i DMARC controlli. Ciò significa che non verranno nemmeno messi in quarantena nella cartella spam o posta indesiderata, ma verranno respinti definitivamente.

    • Quando utilizzi una politica di rifiuto, saprai esattamente quali messaggi non rispettano tale criterio, in quanto il rifiuto comporterà un DMARC rimbalzo. SMTP Con la quarantena, i dati aggregati forniscono informazioni sulle percentuali di messaggi di posta elettronica ricevuti o non ricevuti e sui controlli. SPF DKIM DMARC

    • Ideale per i nuovi domini o per i domini esistenti che hanno superato i due passaggi precedenti.

Conformità alla DMARC SPF

Affinché un'e-mail sia conforme DMARC aSPF, devono essere soddisfatte entrambe le seguenti condizioni:

  • Il messaggio deve superare un SPF controllo in base alla presenza di un record SPF (tipoTXT) valido da pubblicare nella DNS configurazione del MAIL FROM dominio personalizzato.

  • Il dominio nell'indirizzo From dell'intestazione dell'email deve essere allineato (corrispondere) al dominio o a un sottodominio di, specificato nell'indirizzo. MAIL FROM Per ottenere l'SPFallineamento conSES, la politica del dominio non deve specificare una DMARC politica rigorosa SPF (aspf=s).

Per rispettare questi requisiti, completa le fasi seguenti:

  • Configura un MAIL FROM dominio personalizzato completando le procedure in. Uso di un dominio MAIL FROM personalizzato

  • Assicurati che il tuo dominio di invio utilizzi una politica semplificata perSPF. Se non hai modificato l'allineamento delle politiche del tuo dominio, per impostazione predefinita viene utilizzata una politica semplificata. SES

    Nota

    Puoi determinare l'DMARCallineamento del tuo dominio SPF digitando il seguente comando nella riga di comando, sostituendolo con il tuo dominio: example.com

    dig TXT _dmarc.example.com

    Nell'output del comando, in Non-authoritative answer (Risposta non autorevole) cerca un record che inizia con v=DMARC1. Se questo record include la stringaaspf=r, o se la aspf stringa non è affatto presente, il dominio utilizza l'allineamento rilassato per. SPF Se il record include la stringaaspf=s, il dominio utilizza un allineamento rigoroso per. SPF L'amministratore di sistema dovrà rimuovere questo tag dal DMARC TXT record nella configurazione del DNS dominio.

    In alternativa, puoi utilizzare uno strumento di DMARC ricerca basato sul Web, come DMARCInspector dal sito Web dmarcian o lo strumento DMARC Check Tool dal sito MxToolBox Web, per determinare l'allineamento delle politiche del tuo dominio per. SPF

Conformità alla DMARC DKIM

Affinché un'e-mail sia conforme DMARC aDKIM, devono essere soddisfatte entrambe le seguenti condizioni:

  • Il messaggio deve avere una DKIM firma valida e superare il DKIM controllo.

  • Il dominio specificato nella DKIM firma deve essere allineato (corrispondere) al dominio nell'indirizzo From. Se la DMARC politica del dominio specifica un allineamento rigoroso perDKIM, questi domini devono corrispondere esattamente (SESutilizza una politica rigorosa DKIM per impostazione predefinita).

Per rispettare questi requisiti, completa le fasi seguenti:

  • Configura Easy DKIM completando le procedure in. Easy DKIM in Amazon SES Quando usi EasyDKIM, Amazon firma SES automaticamente le tue e-mail.

    Nota

    Invece di usare EasyDKIM, puoi anche firmare manualmente i tuoi messaggi. Tuttavia, fai attenzione se scegli di farlo, perché Amazon SES non convalida la DKIM firma che crei. Per questo motivo, consigliamo vivamente di utilizzare Easy. DKIM

  • Assicurati che il dominio specificato nella DKIM firma sia allineato al dominio nell'indirizzo From. Oppure, se invii da un sottodominio del dominio nell'indirizzo From, assicurati che la DMARC policy sia impostata su un allineamento rilassato.

    Nota

    Puoi determinare l'DMARCallineamento del tuo dominio DKIM digitando il seguente comando nella riga di comando, sostituendolo con il tuo dominio: example.com

    dig TXT _dmarc.example.com

    Nell'output del comando, in Non-authoritative answer (Risposta non autorevole) cerca un record che inizia con v=DMARC1. Se questo record include la stringaadkim=r, o se la adkim stringa non è affatto presente, il dominio utilizza l'allineamento rilassato per. DKIM Se il record include la stringaadkim=s, il dominio utilizza un allineamento rigoroso per. DKIM L'amministratore di sistema dovrà rimuovere questo tag dal DMARC TXT record nella configurazione del DNS dominio.

    In alternativa, puoi utilizzare uno strumento di DMARC ricerca basato sul Web, come DMARCInspector dal sito Web dmarcian o lo strumento DMARC Check Tool dal sito MxToolBox Web, per determinare l'allineamento delle politiche del tuo dominio per. DKIM