Riassunto AI
Una policy DMARC è l'istruzione nel tuo record DMARC che dice ai server di posta riceventi cosa fare con le email che non superano l'autenticazione. Ci sono tre opzioni: none (solo monitoraggio), quarantine (invia allo spam) e reject (blocca interamente). Questo singolo tag, scritto come p= nel tuo record DNS, fa la differenza tra DMARC che si limita a monitorare il traffico email e DMARC che effettivamente impedisce ai messaggi falsificati di raggiungere una casella di posta.
Se hai già un record DMARC, la policy è facile da trovare. Si trova subito dopo p= nel record:
v=DMARC1; p=quarantine; rua=mailto:[email protected]
In questo esempio, la policy è quarantine. Di seguito, analizzerò cosa fa ciascuna delle tre policy, ti mostrerò la sintassi esatta del record per ciascuna e ti fornirò una tempistica realistica per passare dal monitoraggio all'applicazione completa.
- Hai già impostato una policy DMARC?
- None vs. quarantine vs. reject a colpo d'occhio
- p=none: monitoraggio senza applicazione
- p=quarantine: la policy di applicazione transitoria
- p=reject: applicazione completa
- I tag pct e sp
- Quanto tempo richiede effettivamente il passaggio da none a reject
- Errori comuni da evitare
- FAQ
Hai già impostato una policy DMARC?
Se non sei sicuro che il tuo dominio abbia un record DMARC o quale policy stia utilizzando, questa è la prima cosa da controllare prima che tutto il resto abbia importanza.
Il modo più semplice è uno strumento gratuito di ricerca DMARC come MXToolbox. Inserisci il tuo dominio e ti mostrerà il record completo, incluso il valore p=, se esiste. Vedrai una delle tre cose:
- Nessun record DMARC trovato. Il tuo dominio non ha alcuna policy, il che significa che chiunque può falsificare il tuo dominio nelle email senza conseguenze.
- Un record con p=none. DMARC è impostato in modalità di monitoraggio, ma non sta ancora applicando nulla.
- Un record con p=quarantine o p=reject. DMARC sta attivamente applicando una policy.
Se non compare nulla, dovrai creare un record DMARC prima che una policy ti venga applicata. Ho scritto una guida completa, con screenshot per aggiungere il record tramite il tuo provider DNS, in come creare un record DMARC. Quella guida copre dove si trovano i record DNS (il tuo host, registrar o CDN), i campi esatti da compilare e come confermare che il record sia attivo una volta pubblicato.
Mentre controlli, vale anche la pena confermare che la posta in uscita del tuo sito WordPress sia configurata per superare SPF e DKIM in primo luogo. WP Mail SMTP ti mostra lo stato di autenticazione di ogni email inviata dal tuo sito, così non dovrai indovinare se il tuo sito sia una delle fonti che DMARC sta per segnalare.
Correggi subito le tue email WordPress
Il resto di questo post presuppone che tu abbia già un record o ne abbia appena creato uno, e che tu voglia capire quale policy scegliere e quando cambiarla.
None vs. quarantine vs. reject a colpo d'occhio
| p=none | p=quarantine | p=reject | |
|---|---|---|---|
| Cosa succede alle email non conformi | Consegnate normalmente | Inviate allo spam/posta indesiderata | Bloccate prima della consegna |
| Livello di protezione | Nessuno (solo monitoraggio) | Parziale | Completo |
| Rischio di recapito in caso di errata configurazione | Nessuno | La posta legittima potrebbe finire nello spam | La posta legittima potrebbe essere respinta |
| Meglio usarlo quando | Inizio, mappatura dei mittenti | Mittenti per lo più verificati, test di applicazione | Tutti i mittenti confermati superano il test |
| I report vengono ancora inviati? | Sì | Sì | Sì |
p=none: monitoraggio senza applicazione
p=none è la policy iniziale per ogni dominio che pubblica DMARC per la prima volta. Indica ai server di ricezione di non intraprendere alcuna azione sulle e-mail che non superano l'autenticazione. I messaggi non validi vengono comunque recapitati esattamente come sarebbero senza DMARC. L'unica cosa che cambia è che inizi a ricevere report aggregati che mostrano quali origini stanno inviando e-mail come tuo dominio e se stanno superando SPF e DKIM.
v=DMARC1; p=none; rua=mailto:[email protected]
Cosa fa p=none:
- Genera visibilità su ogni server che invia posta per conto del tuo dominio
- Ha un impatto zero sulla recapitalità, poiché non viene intrapresa alcuna azione di applicazione
- Non richiede alcuna configurazione SPF o DKIM preliminare per la pubblicazione
Cosa non fa p=none:
- Bloccare tentativi di phishing o spoofing che utilizzano il tuo dominio
- Proteggere il tuo brand o i tuoi destinatari in alcun modo
- Servire come policy valida a lungo termine
Un dominio che rimane indefinitamente con p=none ha un record DMARC ma nessuna protezione effettiva. Questo è l'errore più comune nelle implementazioni DMARC: trattare il monitoraggio come il traguardo invece che come il primo passo.
p=quarantine: la policy di applicazione transitoria
p=quarantine istruisce i server di ricezione a trattare i messaggi non validi con sospetto, tipicamente instradandoli nella cartella spam o posta indesiderata del destinatario invece che nella casella di posta. L'e-mail non viene bloccata del tutto. Arriva comunque, solo non dove normalmente dovrebbe.
v=DMARC1; p=quarantine; rua=mailto:[email protected]
Esattamente come viene gestita la "quarantena" varia leggermente a seconda del provider di posta. Alcuni contrassegnano il messaggio come sospetto invece di spostarlo. La maggior parte, inclusi Gmail e Outlook, lo invia nello spam. In entrambi i casi, l'effetto pratico è lo stesso: la posta legittima che non supera l'autenticazione diventa più difficile da vedere per il destinatario, motivo per cui la quarantena dovrebbe essere impostata solo una volta che si è sicuri che tutti i mittenti noti siano configurati correttamente.
Perché i domini usano la quarantena come passaggio intermedio:
- Cattura le errate configurazioni prima che diventino bounce. Se un mittente legittimo inizia a non superare DMARC, l'e-mail finisce nello spam invece di scomparire del tutto. Puoi individuare il problema e risolverlo.
- Costruisce fiducia per il reject. Osservare la quarantena funzionare senza problemi per qualche settimana è il segnale più chiaro che sei pronto per l'applicazione completa.
- Può essere applicata gradualmente. Il tag
pctti consente di mettere in quarantena solo una percentuale di posta non valida all'inizio (maggiori dettagli di seguito).
p=reject: applicazione completa
p=reject è la policy più rigorosa. Istruisce i server di ricezione a bloccare le e-mail che non superano l'autenticazione DMARC prima che vengano consegnate. Nessuna casella di posta, nessuna cartella spam. Il messaggio viene rifiutato.
v=DMARC1; p=reject; rua=mailto:[email protected]
Ci sono due modi comuni in cui i server di ricezione implementano il reject:
- Rifiuto alla connessione SMTP. Il server di ricezione rifiuta il messaggio durante la connessione iniziale, prima che venga completamente accettato. Questo è il metodo più diffuso e quello raccomandato dalla maggior parte dei provider di posta.
- Accettazione e poi eliminazione. Il server accetta il messaggio e poi lo elimina silenziosamente o lo rimanda al mittente. Questo accade meno spesso ma è comunque valido secondo le specifiche DMARC.
Il rifiuto è l'obiettivo finale di qualsiasi implementazione DMARC seria. È anche la policy in cui gli errori sono più visibili. Se un mittente legittimo non è stato autenticato correttamente, la sua posta non finirà nello spam dove può essere trovata. Semplicemente non arriverà e non ci sarà alcun soft failure ad avvisarti.
I tag pct e sp
Due tag aggiuntivi ti consentono di controllare come viene applicata una policy e vale la pena conoscerli entrambi prima di andare oltre p=none.
pct controlla quale percentuale di posta non conforme riceve la policy. Invece di passare direttamente al 100% di applicazione, puoi applicare quarantena o rifiuto a una porzione più piccola del traffico non conforme prima.
v=DMARC1; p=quarantine; pct=25; rua=mailto:[email protected]
I messaggi al di fuori di quella percentuale vengono trattati come se la policy fosse ancora p=none. Questo ti offre una gradualità invece di un interruttore tutto o niente, ed è il modo più sicuro per passare all'applicazione se non sei completamente sicuro che tutti i mittenti siano stati considerati.
sp imposta una policy separata per i sottodomini. Senza di essa, i sottodomini ereditano qualsiasi policy imposti per il dominio principale.
v=DMARC1; p=reject; sp=quarantine; rua=mailto:[email protected]
Questo esempio applica il rifiuto al dominio principale, concedendo ai sottodomini una policy di quarantena più blanda, utile se un sottodominio è gestito da un team diverso o non è ancora stato completamente autenticato. Saltare questo tag è una lacuna comune: un dominio può essere completamente bloccato con p=reject mentre un sottodominio non monitorato rimane completamente aperto allo spoofing.
Quanto tempo richiede effettivamente il passaggio da none a reject
Non esiste una tempistica fissa nelle specifiche DMARC, ma affrettare il rollout è il modo più comune in cui le email legittime vengono bloccate. Un ritmo difendibile e comunemente raccomandato è il seguente:
- Rimani su p=none per almeno da 2 a 4 settimane, e più a lungo se il tuo dominio invia tramite diversi strumenti di terze parti (piattaforme di marketing, CRM, software di helpdesk, strumenti di fatturazione). Usa questa finestra per rivedere i report aggregati e confermare che ogni mittente legittimo stia superando SPF o DKIM.
- Passa a p=quarantine una volta che i mittenti conosciuti sono puliti, iniziando con un basso valore di
pctcome 25 e aumentandolo man mano che i report rimangono privi di traffico legittimo bloccato. - Avanza a p=reject solo dopo che la quarantena è stata applicata al 100% senza che alcuna email legittima sia stata interessata. La maggior parte dei domini raggiunge questa fase da qualche mese a circa un anno dopo l'inizio, a seconda di quante fonti di invio devono autenticare.
Saltare i passaggi è dove la maggior parte dei rollout DMARC va storta. Un dominio con un singolo provider di posta elettronica potrebbe procedere rapidamente. Un dominio che invia tramite una dozzina di strumenti di marketing, supporto e transazionali richiede più tempo, perché ognuna di quelle fonti deve superare l'autenticazione prima che l'applicazione sia sicura.
Errori comuni da evitare
- Saltare direttamente a reject. Pubblicare p=reject prima di confermare che ogni mittente legittimo sia autenticato respingerà le email reali, a volte senza alcun avviso.
- Mai impostazione p=none. Un record DMARC senza una policy di enforcement fornisce visibilità ma nessuna protezione effettiva contro lo spoofing.
- Dimenticare i sottodomini. Se
spnon è impostato, un aggressore può prendere di mira un sottodominio che non è stato bloccato, anche se il dominio principale è completamente applicato. - Saltare la rampa. Passare da p=none al 100% di rifiuto in un unico passaggio è più rischioso che passare gradualmente attraverso i valori di
pct. - Non ricontrollare dopo aver aggiunto nuovi mittenti. Un nuovo strumento di marketing o un servizio di posta elettronica transazionale deve superare SPF o DKIM prima di essere aggiunto al tuo mix di invio, altrimenti inizierà a fallire DMARC nel momento in cui l'enforcement sarà attivo.
Saltare i passaggi è dove la maggior parte dei rollout DMARC va storta. Un dominio con un singolo provider di posta elettronica potrebbe procedere rapidamente. Un dominio che invia tramite una dozzina di strumenti di marketing, supporto e transazionali richiede più tempo, perché ognuna di quelle fonti deve superare l'autenticazione prima che l'applicazione sia sicura.
Se il tuo sito WordPress è una di queste fonti di invio, vale la pena controllarlo presto. La funzione di posta predefinita di WordPress invia tramite PHP mail() o qualunque cosa il server sia configurato per utilizzare, che spesso fallisce l'allineamento SPF e DKIM anche quando il resto del tuo dominio è configurato correttamente. WP Mail SMTP instrada la posta di WordPress tramite una connessione SMTP autenticata, quindi le email del tuo sito non diventano l'unico mittente che ostacola il tuo passaggio a quarantena o rifiuto.
Correggi subito le tue email WordPress
FAQ
Cosa significa DMARC p=none? p=none significa che DMARC è in modalità di monitoraggio. Le email che falliscono l'autenticazione vengono comunque consegnate normalmente, ma ricevi report che mostrano quali fonti stanno inviando email a tuo nome e se stanno superando i controlli.
Qual è la differenza tra quarantena e rifiuto DMARC? La quarantena invia le email che falliscono nella cartella spam del destinatario, quindi vengono comunque consegnate ma sono più difficili da vedere. Il rifiuto blocca le email che falliscono prima della consegna, quindi non arrivano mai, nemmeno nello spam.
Quanto tempo dovresti rimanere su p=none? Almeno da 2 a 4 settimane, anche se i domini con diversi mittenti di terze parti spesso necessitano di più tempo per confermare che ogni fonte sia autenticata correttamente prima di passare all'enforcement.
Una policy DMARC influisce sulla recapitalità? p=none non ha alcun effetto sulla recapitalità. p=quarantine e p=reject possono influire sulla recapitalità se un mittente legittimo non è stato autenticato correttamente, motivo per cui entrambi dovrebbero essere applicati solo gradualmente e dopo che il monitoraggio conferma che i tuoi mittenti sono puliti.
Successivamente, Crea un Record DMARC
Una volta che sai quale policy si adatta alla tua situazione durante il rollout, pubblicare il record correttamente è importante quanto sceglierne uno giusto. La mia guida su come creare un record DMARC illustra passo dopo passo come aggiungere la sintassi esatta al tuo DNS, in modo che non vi sia il rischio che un errore di battitura comprometta il tuo enforcement.
Pronto a risolvere i tuoi problemi di posta elettronica? Inizia oggi stesso con il miglior plugin SMTP per WordPress. Se non hai tempo per risolvere i tuoi problemi di posta elettronica, puoi ottenere assistenza completa per la configurazione White Glove come acquisto aggiuntivo, e c'è una garanzia di rimborso di 14 giorni per tutti i piani a pagamento.
Se questo articolo ti è stato d'aiuto, seguici su Facebook e Twitter per altri suggerimenti e tutorial su WordPress.