come funziona DMARC in autunno
Come funziona dmarc con Google Mail ed Office 365 ? (aggiornato)
Abbiamo provato come l’autenticazione delle email influisce sulla loro consegna
verso le mailbox di Google Mail e Office 365, i provider di email aziendali più diffusi.
I risultati possono essere divisi in due gruppi:
consegna delle email
(in che modo spf, dkim e dmarc influenzano la consegna dei messaggi inviati)
# Google mail: le email vengono sempre accettate, l’autenticazione spf sembra non essere considerata
La firma Dkim viene valutata solo se è allineata con l’indirizzo email del mittente
ed anche dmarc è impostato con la policy “quarantine” o “reject”.
# Office 365: è reattivo ad spf. Quando un messaggio supera il controllo spf, raggiunge la posta in arrivo.
La firma Dkim viene considerata solo se è allineata con l’indirizzo email del mittente, altrimenti non ha alcuna importanza.
Nota: nell’ultima settimana di agosto Office 365 ha avuto uno strano comportamento:
sono stati recapitati nella Posta in arrivo
solo i messaggi firmati con dkim (dominio di firma allineato con l’indirizzo email del mittente)
ed anche il record dmarc impostato (con qualsiasi criterio)
protezione da spoofing
(in che modo spf, dkim e dmarc proteggono l’indirizzo email del mittente dallo spoofing*)
* = far sembrare che il messaggio provenga da un mittente diverso da quello effettivo
# Google mail: attivando dmarc, i mittenti falsificati vengono filtrati nella cartella Spam (con p=quarantine) o respinti (con p=reject).
Non succede nulla se la policy è impostata su “none” (p=none), in questo caso tutti i messaggi raggiungono la Posta in arrivo.
# Office 365: i risultati “spf fail” o “spf softfail”, sono sufficienti per filtrare i mittenti fasulli nella cartella Posta indesiderata.
requisiti di autenticazione
i requisiti di autenticazione delle email consigliati, sono riassunti come segue:
consegna email | protezione da spoofing | |
---|---|---|
Google Mail | dkim pass (dominio allineato) | dmarc impostato con p=quarantine or p=reject |
Office 365 | spf pass ed anche dkim pass (dominio allineato) | spf impostato ed anche dmarc impostato (per maggiore sicurezza) |
risultati test consegna email
di seguito è disponibile l’intera gamma di test effettuati.
Google Mail | Google Mail (dmarc impostato) |
Office 365 | Office 365 (dmarc impostato) |
||
---|---|---|---|---|---|
spf Pass | dkim none | inbox | inbox | inbox | inbox |
spf Fail | dkim none | inbox | spam | junk | junk |
spf SoftFail | dkim none | inbox | spam | junk | junk |
spf none | dkim none | inbox | spam | junk | junk |
spf Pass | dkim diff | inbox | inbox | inbox | inbox |
spf Fail | dkim diff | inbox | spam | junk | junk |
spf SoftFail | dkim diff | inbox | spam | junk | junk |
spf none | dkim diff | inbox | spam | junk | junk |
spf Pass | dkim pass | inbox | inbox | inbox | inbox |
spf Fail | dkim pass | inbox | inbox | inbox | inbox |
spf SoftFail | dkim pass | inbox | inbox | inbox | inbox |
spf none | dkim pass | inbox | inbox | inbox | inbox |
spf Pass | dkim invalid | inbox | inbox | inbox | inbox |
spf Fail | dkim invalid | inbox | spam | junk | junk |
spf SoftFail | dkim invalid | inbox | spam | junk | junk |
spf none | dkim invalid | inbox | spam | junk | junk |
Note:
- l’indirizzo From del mittente (mittente visibile) e il Mail-From (detto anche “envelope from” o “return-path”) sono identici, ovvero fanno riferimento allo stesso dominio
- “dkim pass”: il dominio nella firma dkim è lo stesso di quello dell’indirizzo From (il dominio è allineato)
- “dkim diff”: il dominio nella firma dkim è diverso rispetto a quello dell’indirizzo From" (il dominio NON È allineato)