Manuel Roccon

ICT & Cyber Security Specialist

Come leggere il DMARC Report (Parte 1)

ICT

Hai pubblicato  un record DMARC (Domain-based Message Authentication Reporting and Conformance) ? Se la risposta è sì, riceverai rapporti DMARC che rivelano informazioni cruciali sul tuo ecosistema di posta elettronica, inclusi risultati di autenticazione, allineamento del dominio, potenziali minacce e-mail e altro ancora. Ma la comprensione di questi rapporti non è intuitiva.

Ecco perché analizziamo come leggere i due tipi di rapporti DMARC a tua disposizione: rapporti aggregati e rapporti forensi. Inizieremo con rapporti aggregati.

Cosa sono i rapporti aggregati DMARC? 
I rapporti aggregati DMARC forniscono informazioni su quali e-mail si stanno autenticando con SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC, e quali no.

Sebbene i report aggregati non forniscano molte informazioni sui messaggi di posta elettronica, possono fornire una visibilità preziosa sullo stato del programma di posta elettronica, aiutandoti a identificare potenziali problemi di autenticazione e / o attività dannose.

Come richiedere i report aggregati DMARC
Per iniziare a raccogliere dati sui flussi di posta elettronica, pubblicare un semplice record DMARC in modalità monitoraggio (tag: p = ‘none’), con una richiesta di report aggregati (tag: rua = mailto: dominio @ esempio. com).

Una volta installato il record DMARC, i provider di cassette postali partecipanti invieranno rapporti aggregati giornalieri alla destinazione definita nel tag rua.

Di seguito è riportata una panoramica di cosa è e cosa non è incluso in questi report aggregati DMARC, insieme ad esempi reali in modo da poter acquisire familiarità con il formato.

Cosa è incluso nel rapporto Aggregate DMARC

1.  Informazioni ISP, tra cui: 

  • Nome del provider di cassette postali (tag: org_name)
  • L’indirizzo email di invio del fornitore di cassette postali e ulteriori informazioni di contatto
  • Segnala il numero ID
  • Inizio e fine dell’intervallo di date in secondi
immagine incollata 0

2. Una descrizione linea per linea del tuo record DMARC, inclusi:

  • Dominio di intestazione / amichevole dal dominio (nell’esempio seguente è “returnpath.com”)
  • Identifier alignment  per DKIM e SPF (tag: adkim e aspf)
  • Politica di dominio (tag: p)
  • Criterio di sottodominio, se applicabile (tag: sp)
  • Percentuale di messaggi a cui applicare la politica DMARC (tag: pct)
immagine incollata 0 (1)

3. Riepilogo dei risultati di autenticazione, tra cui:

  • IP identificato nell’e-mail legittima e / o fraudolenta (tag: source_ip)
  • Conteggio degli indirizzi IP identificati (tag: contare)
  • Disposizione del messaggio, per mostrare se la politica è stata applicata (tag: disposizione)
  • Risultati dell’autenticazione DKIM: elenca dominio e risultato (ad esempio, nessuno, superato o non riuscito)
  • Risultati di autenticazione SPF: elenca dominio e risultato (ad esempio neutro, superato o non riuscito)
nuova immagine

Cosa non è incluso nel rapporto Aggregate DMARC

  1. Tendenze tra i fornitori di servizi Internet:  identificare le tendenze relative alla creazione di report sugli indirizzi IP tra diversi ISP è un ottimo modo per risolvere i problemi di autenticazione e garantire che la posta legittima venga recapitata. Tuttavia, i report aggregati non contengono trend. La tua organizzazione deve avere la capacità (o lavorare con un’organizzazione che lo fa) di analizzare i dati collettivi attraverso molti diversi report aggregati per raccogliere informazioni utili.
  2. Punteggio mittente (dati di reputazione):  se un errore di autenticazione è dovuto a un indirizzo IP non all’interno della tua infrastruttura (ad esempio appartiene a una terza parte che invia email per conto tuo), dovrai effettuare ulteriori ricerche sulla reputazione di tale indirizzo IP per determinare se si tratta o meno di un mittente legittimo. Lo strumento senderscore.org può aiutare.
  3. Campioni di messaggi: i  rapporti aggregati non contengono dati a livello di messaggio. Rapporti forensi fanno. Se si identifica un indirizzo IP dubbio all’interno di un report aggregato e si ha bisogno di trovare i dati a livello di messaggio per risolverlo, è necessario cercare sia il report aggregato che quello forense e creare manualmente tali connessioni.
  4. Funzionalità di avviso: una  volta spostato il dominio per rifiutarlo, si desidera garantire che la nuova posta non venga influenzata negativamente dalla posta legittima. Poiché i report aggregati non contengono dati sulle tendenze, non è possibile stabilire se i tuoi messaggi legittimi vengono bloccati in blocco a causa della politica di rifiuto.

Come puoi vedere, le informazioni non incluse nei rapporti DMARC sono altrettanto importanti, se non di più, dei dati che sono inclusi. I dati sono solo dati finché non puoi organizzarli in un modo che fornisca valore.

Nella parte 2, ti  illustrerò come leggere i rapporti forensi di DMARC.

CategoriesICT

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *