come funziona DMARC in autunno
Come funziona dmarc con Google Mail ed Office 365 nell’autunno del 2020.
Abbiamo provato come l’autenticazione delle email influisce sulla loro consegna
verso le mailbox di Google Mail e Office 365, i provider di email aziendali più diffusi.
I risultati possono essere divisi in due gruppi:
consegna delle email
(in che modo spf, dkim e dmarc influenzano la consegna dei messaggi inviati)
# Google mail: le email vengono sempre accettate, l’autenticazione spf sembra non essere considerata
La firma Dkim viene valutata solo se è allineata con l’indirizzo email del mittente
ed anche dmarc è impostato con la policy “quarantine” o “reject”.
# Office 365: è reattivo ad spf. Quando un messaggio supera il controllo spf, raggiunge la posta in arrivo.
La firma Dkim viene considerata solo se è allineata con l’indirizzo email del mittente, altrimenti non ha alcuna importanza.
Nota: nell’ultima settimana di agosto Office 365 ha avuto uno strano comportamento:
sono stati recapitati nella Posta in arrivo
solo i messaggi firmati con dkim (dominio di firma allineato con l’indirizzo email del mittente)
ed anche il record dmarc impostato (con qualsiasi criterio)
protezione da spoofing
(in che modo spf, dkim e dmarc proteggono l’indirizzo email del mittente dallo spoofing*)
* = far sembrare che il messaggio provenga da un mittente diverso da quello effettivo
# Google mail: attivando dmarc, i mittenti falsificati vengono filtrati nella cartella Spam (con p=quarantine) o respinti (con p=reject).
Non succede nulla se la policy è impostata su “none” (p=none), in questo caso tutti i messaggi raggiungono la Posta in arrivo.
# Office 365: i risultati “spf fail” o “spf softfail”, sono sufficienti per filtrare i mittenti fasulli nella cartella Posta indesiderata.
requisiti di autenticazione
i requisiti di autenticazione delle email consigliati, sono riassunti come segue:
| consegna email | protezione da spoofing | |
|---|---|---|
| Google Mail | dkim pass (dominio allineato) | dmarc impostato con p=quarantine or p=reject |
| Office 365 | spf pass ed anche dkim pass (dominio allineato) | spf impostato ed anche dmarc impostato (per maggiore sicurezza) |
risultati test consegna email
di seguito è disponibile l’intera gamma di test effettuati.
| Google Mail | Google Mail (dmarc impostato) |
Office 365 | Office 365 (dmarc impostato) |
||
|---|---|---|---|---|---|
| spf Pass | dkim none | inbox | inbox | inbox | inbox |
| spf Fail | dkim none | inbox | spam | junk | junk |
| spf SoftFail | dkim none | inbox | spam | junk | junk |
| spf none | dkim none | inbox | spam | junk | junk |
| spf Pass | dkim diff | inbox | inbox | inbox | inbox |
| spf Fail | dkim diff | inbox | spam | junk | junk |
| spf SoftFail | dkim diff | inbox | spam | junk | junk |
| spf none | dkim diff | inbox | spam | junk | junk |
| spf Pass | dkim pass | inbox | inbox | inbox | inbox |
| spf Fail | dkim pass | inbox | inbox | inbox | inbox |
| spf SoftFail | dkim pass | inbox | inbox | inbox | inbox |
| spf none | dkim pass | inbox | inbox | inbox | inbox |
| spf Pass | dkim invalid | inbox | inbox | inbox | inbox |
| spf Fail | dkim invalid | inbox | spam | junk | junk |
| spf SoftFail | dkim invalid | inbox | spam | junk | junk |
| spf none | dkim invalid | inbox | spam | junk | junk |
Note:
- l’indirizzo From del mittente (mittente visibile) e il Mail-From (detto anche “envelope from” o “return-path”) sono identici, ovvero fanno riferimento allo stesso dominio
- “dkim pass”: il dominio nella firma dkim è lo stesso di quello dell’indirizzo From (il dominio è allineato)
- “dkim diff”: il dominio nella firma dkim è diverso rispetto a quello dell’indirizzo From” (il dominio NON È allineato)