Procedure consigliate per il supporto dell'autenticazione del mittente in Servizi di comunicazione di Azure messaggio di posta elettronica

  • Articolo

Questo articolo fornisce le procedure consigliate per l'invio di messaggi di posta elettronica sui record DNS e come usare i metodi di autenticazione del mittente che consentono agli utenti malintenzionati di inviare messaggi simili al dominio.

Autenticazione della posta elettronica e configurazione DNS

L'invio di un messaggio di posta elettronica richiede diversi passaggi che includono la verifica del mittente del messaggio di posta elettronica, il controllo della reputazione del dominio, l'analisi di virus, il filtro per posta indesiderata, tentativi di phishing, malware e così via. La configurazione dell'autenticazione corretta della posta elettronica è un principio fondamentale per stabilire la fiducia nella posta elettronica e proteggere la reputazione del dominio. Se un messaggio di posta elettronica supera i controlli di autenticazione, il dominio ricevente può applicare criteri a tale messaggio di posta elettronica in conformità alla reputazione già stabilita per le identità associate a tali controlli di autenticazione e il destinatario può essere certo che tali identità siano valide.

Record MX (Mail Exchange)

Il record MX (Mail Exchange) viene usato per instradare la posta elettronica al server corretto. Specifica il server di posta elettronica responsabile dell'accettazione dei messaggi di posta elettronica per conto del dominio. Il DNS deve essere aggiornato con le informazioni più recenti dei record MX del dominio di posta elettronica. In caso contrario, si verificano errori di recapito.

SPF (Sender Policy Framework)

SPF RFC 7208 è un meccanismo che consente ai proprietari di dominio di pubblicare e gestire, tramite un record TXT DNS standard, un elenco di sistemi autorizzati a inviare messaggi di posta elettronica per loro conto. Questo record viene usato per specificare quali server di posta sono autorizzati a inviare messaggi di posta elettronica per conto del dominio. Consente di evitare lo spoofing della posta elettronica e aumentare la recapitabilità della posta elettronica.

DKIM (chiavi di dominio identificate tramite posta elettronica)

DKIM RFC 6376 consente a un'organizzazione di richiedere la responsabilità di trasmettere un messaggio in modo che possa essere convalidato dal destinatario. Questo record viene usato anche per autenticare il dominio da cui viene inviato il messaggio di posta elettronica e consente di evitare lo spoofing della posta elettronica e aumentare la recapitabilità della posta elettronica.

DMARC (autenticazione dei messaggi basata su dominio, creazione di report e conformità)

DMARC RFC 7489 è un meccanismo scalabile grazie al quale un'organizzazione di origine della posta elettronica può esprimere criteri e preferenze a livello di dominio per la convalida, l'eliminazione e la segnalazione che un'organizzazione di ricezione della posta può usare per migliorare la gestione della posta elettronica. Viene usato anche per specificare il modo in cui i ricevitori di posta elettronica devono gestire i messaggi che non superano i controlli SPF e DKIM. Ciò migliora la recapitabilità della posta elettronica e consente di evitare lo spoofing della posta elettronica.

ARC (catena di ricezione autenticata)

Il protocollo ARC RFC 8617 fornisce una catena autenticata di custodia per un messaggio, consentendo a ogni entità che gestisce il messaggio di identificare le entità gestite in precedenza, nonché la valutazione dell'autenticazione del messaggio a ogni hop. ARC non è ancora uno standard Internet, ma l'adozione sta aumentando.

Funzionamento dell'autenticazione tramite posta elettronica

L'autenticazione tramite posta elettronica verifica che i messaggi di posta elettronica provenienti da un mittente (ad esempio, notification@contoso.com) siano legittimi e provengano da origini previste per il dominio di posta elettronica (ad esempio, contoso.com). Un messaggio di posta elettronica può contenere più indirizzi di origine o mittente. Questi indirizzi sono utilizzati per scopi differenti. Ad esempio, si consideri quanto segue:

  • Mail From address identifica il mittente e specifica dove inviare notifiche di restituzione se si verificano problemi con il recapito del messaggio, ad esempio notifiche di mancato recapito. Questa opzione viene visualizzata nella parte envelope di un messaggio di posta elettronica e non viene visualizzata dall'applicazione di posta elettronica. A volte viene chiamato l'indirizzo 5321.MailFrom o l'indirizzo di percorso inverso.

  • Dall'indirizzo è l'indirizzo visualizzato come indirizzo da dall'applicazione di posta elettronica. Questo indirizzo identifica l'autore del messaggio di posta elettronica. Ovvero la cassetta postale della persona o del sistema responsabile della scrittura del messaggio. A volte viene chiamato indirizzo 5322.From.

  • Sender Policy Framework (SPF) consente di convalidare la posta elettronica in uscita inviata dal dominio (proviene da chi lo dice).

  • DomainKeys Identified Mail (DKIM) consente di garantire che i sistemi di posta elettronica di destinazione considerino attendibili i messaggi inviati in uscita dalla posta dal dominio.

  • L'autenticazione dei messaggi basata su dominio, la creazione di report e la conformità (DMARC) funziona con Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM) per autenticare i mittenti di posta elettronica e assicurarsi che i sistemi di posta elettronica di destinazione considerino attendibili i messaggi inviati dal dominio.

Implementazione di DMARC

L'implementazione di DMARC con SPF e DKIM offre una protezione avanzata contro lo spoofing e la posta elettronica di phishing. SPF Usa un record TXT DNS per fornire un elenco di indirizzi IP di invio autorizzati per un determinato dominio. Normalmente, i controlli SPF vengono eseguiti solo in base all'indirizzo 5321.MailFrom. Ciò significa che l'indirizzo 5322.From non viene autenticato quando si usa SPF da solo. Ciò consente uno scenario in cui un utente può ricevere un messaggio, che passa un controllo SPF ma ha un indirizzo mittente 5322.From spoofed.

Come i record DNS per SPF, il record per DMARC è un record di testo DNS che consente di prevenire spoofing e phishing. Viene pubblicato i record TXT DMARC in DNS. I record TXT DMARC convalidano l'origine dei messaggi di posta elettronica verificando l'indirizzo IP dell'autore di un messaggio di posta elettronica rispetto al presunto proprietario del dominio di invio. I record TXT DMARC identificano i server di posta elettronica in uscita autorizzati. I sistemi di posta elettronica di destinazione possono quindi verificare che l'origine dei messaggi ricevuti sia un server di posta elettronica in uscita autorizzato. Ciò forza una mancata corrispondenza tra 5321.MailFrom e gli indirizzi 5322.From in tutti i messaggi di posta elettronica inviati dal dominio e DMARC avrà esito negativo per tale messaggio di posta elettronica. Per evitare questo problema, è necessario configurare DKIM per il dominio.

Un record di criteri DMARC consente a un dominio di annunciare che la posta elettronica usa l'autenticazione; fornisce un indirizzo di posta elettronica per raccogliere commenti e suggerimenti sull'uso del dominio; e specifica un criterio richiesto per la gestione dei messaggi che non superano i controlli di autenticazione. È consigliabile

  • I domini delle istruzioni dei criteri che pubblicano record DMARC sono "p=reject", se possibile, "p=quarantine".
  • L'istruzione di criteri "p=none", "sp=none" e pct<100 deve essere considerata solo come uno stato transitorio, con l'obiettivo di rimuoverli il più rapidamente possibile.
  • Tutti i record dei criteri DMARC pubblicati devono includere, almeno, un tag "hyper- " che punta a una cassetta postale per la ricezione di report aggregati DMARC e non deve inviare risposte quando si ricevono report a causa di problemi di privacy.

Passaggi successivi

I documenti seguenti possono essere interessanti: