Passa ai contenuti principali

Server Aruba Cloud - Impostare il DMARC sui domini per inviare posta da server verso GMail

L'argomento che tratterò in questo post non è riferito direttamente al dEC System III o dEC System IV, ma è un gradino più alto si va a configurare nel pannello di controllo dei domini, quindi è applicabile a qualsiasi tipo di server, poiché le impostazioni della macchina rimangono invariati

Noi siam partiti dal post Server Aruba Cloud - CentOS 7 - Server LAMP multi PHP - Attivare l'invio di posta da Server tramite Postfix, che consente di impostare il nostro server come macchina per inviare E-Mail.

Il programma in se funziona, in particolare da Web con PHP tramite la funzione 

mail($destinatario, $oggetto, $corpo, $headers)

dove ovviamente le variabili indicano dei dati.

L'aspetto interessante è che tutto sommato, da test effettuati, senza modificare le impostazioni di dominio, l'invio non da particolari problemi.

E allora questo post è inutile?

No perché esiste una categoria di programmi che inviano mail in modo più particolareggiato con funzioni differenti e questo crea problemi, soprattutto verso i server GMail e Yahoo (poco o nulla su Hotmail/Outlook di Microsoft).

Andiamo con ordine.


Il DMARC

DMARC, acronimo di Domain-based Message Authentication, Reporting & Conformance ("Autenticazione messaggi basata sul dominio, Reporting e conformità"), è un protocollo di autenticazione, policy e reporting e-mail. (RFC7489)

Si basa sui protocolli SPF (1) e DKIM (2) ampiamente diffusi, aggiungendo il collegamento al nome di dominio dell'autore ("Da:"), le politiche pubblicate per la gestione da parte del destinatario degli errori di autenticazione e la segnalazione dai destinatari ai mittenti, per migliorare e monitorare la protezione del dominio da e-mail fraudolenta.

(1) -  SPFSender Policy Framework , originariamente Sender Permitted From , è una tecnica di autenticazione e-mail basata sul percorso . È stato pubblicato come documento sperimentale dall'IETF come RFC4408 nel 2006 e aggiornato come documento Standards Track come RFC7208 nel 2014. Maggiori informazioni sono disponibili su OpenSPF.org 

(2) - DKIMDomain Keys Identified Message, è una tecnica di autenticazione e -mail basata sulla firma . È il risultato della fusione delle specifiche DomainKeys e Identified Internet Mail ed è stato pubblicato come documento Standards Track dall'IETF come RFC4871 nel 2007 e aggiornato come RFC6376 nel 2011. Maggiori informazioni sono disponibili su DKIM.org


Perché DMARC è importante

Con l'ascesa del social Internet e l'ubiquità dell'e-commerce, spammer e phisher hanno un enorme incentivo finanziario a compromettere gli account degli utenti, consentendo il furto di password, conti bancari, carte di credito e altro ancora. 

L'E-Mail è facile da falsificare e i criminali hanno scoperto che lo spoofing è un modo collaudato per sfruttare la fiducia degli utenti di marchi noti. Il semplice inserimento del logo di un noto marchio in un'e-mail conferisce legittimità immediata a molti utenti

Gli utenti non sono in grado di distinguere un messaggio reale da uno falso e i fornitori di Mail-Box di grandi dimensioni devono fare scelte molto difficili (e spesso errate) su quali messaggi consegnare e quali potrebbero danneggiare gli utenti. I mittenti rimangono in gran parte ignari dei problemi con le loro pratiche di autenticazione perché non esiste un modo scalabile per indicare che desiderano un feedback e dove dovrebbe essere inviato. Coloro che tentano la nuova implementazione di SPF e DKIM procedono molto lentamente e con cautela perché la mancanza di feedback significa anche che non hanno un buon modo per monitorare i progressi e risolvere i problemi.

DMARC risolve questi problemi, aiutando mittenti e destinatari E-Mail a collaborare per proteggere meglio le E-Mail, proteggendo utenti e marchi da abusi costosi.


Come configurare il DMARC sul dominio

Fermo restando che conoscere il il protocollo DMARC si rimanda all'RFC7489 Sezione 11, la configurazione del DMARC, SPF e DKIM si fa a livello di parametri nel pannello di controllo del dominio, nel campo Record TXT


Record TXT

Nome host Valore

[vuoto]   v=spf1 a:mail.nome.ext ip4:123.45.67.89 ~all

_dmarc   v=DMARC1; p=quarantine; rua=mailto:gdc@nome.ext; ruf=mailto:gdc@nome.ext; fo=0; adkim=r; aspf=r; pct=100; ri=86400; sp=none


Si creano due campi uno [vuoto] per il valore spf dove indichiamo il dns (su un server singolo si immagina che l'indirizzo IP rimane sempre lo stesso) di spedizione di Postfix, e l'IP della macchina da cui inviamo la posta (ovviamente i valori immessi sono del tutto ipotetici)

Nel secondo campo _dmarc e si inseriscono i valori riportati sopra.

Va detto che quelli riportati di sopra sono valori standard.

Il campo gdc@nome.ext è il campo della E-Mail che serve da amministrazione del sistema DMARC, con la gestione della posta sullo stesso dominio (non necessariamente sullo stesso server, come ad esempio accade nella gestione della posta da parte di aruba.it che usa propri indirizzi)

E' possibile anche gestire il dominio (o i domini)  anche con un'unica mail, ma diventa complesso, poiché ogni dominio deve avere un campo DMARC proprietario più quello di riferimento del dominio (insomma molto complesso)

Per conoscere come sta configurato il dominio e come scrivere al meglio il campo DMARC, si rimanda ai seguenti link:

- MX Toolbox - E-Mail Healt Check, che consente di effettuare un'analisi del dominio, vedere com'è configurato anche in relazione al DMARC, oltre ad analizzare se si trova tra gli indirizzi in blacklist

- DMARC Record Assistant, che consente di avere un sistema assistito per la creazione del DMARC sul proprio dominio, ed i parametri per poter gestire la rua e la ruf da un altro dominio, e come collegare il tutto

Commenti

Post più popolari

Mac OS X - Installare ed usare una stampante sul Print Server GetNet 3 Port 2 USB e 1 LPT

Abbiamo visto come installare il Print Server GetNet 3 in 1 sui più diffusi sistemi operativi Windows (vedi articoli correlati in fondo al post). La "scatoletta" ha anche un protocollo di comunicazione Apple Talk, quindi può essere collegata (fare da tramite) anche a stampanti che abbiano la gestione post script integrata (quasi tutte le stampanti salvo quelle del gruppo Ricoh che hanno bisogno di un apposito moduol installato) sul Mac. Print Server GetNet 1 Parallela e 2 USB Il metodo di installazione è molto simile a quello visto su Windows, con la differenza sostanziale che non è necessario scegliere tra moltissimi modelli, ma si gestisce in modo più semplice. Purtroppo sul Mac non è possibile (allo stato attuale) collegare print server di tipo TP-Link, ovvero replicatori di porta USB su Lan, in quanto non esiste un driver adatto. Detto questo, consideriamo la stampante che vogliamo collegare al Mac. Il caso che abbiamo usato nei precedenti post,

BlackBerry - Importare i dati da altri cellulari

English translated post Un amico mi porta un BlackBerry Pearl 8110 e mi chiede di trasferire i dati dal suo cellulare Nokia a questo telefono. Premesso che personalmente non ho mai reputato il BlackBerry un telefono "semplice", l'operazione si è reputata piuttosto complessa. Scartata l'idea di mandare i vcard via bluetooth (come si fa con quasi tutti i Nokia e Samsung), l'unica alternativa è quella di appoggiarsi a Microsoft Outlook !!! Come fare? 1 - Installare il Microsoft Outlook (XP o 2003) nel proprio PC 2 - Installare (nel caso specifico del Nokia) il programma Nokia PC Suite 3 - Sincronizzare solo la Rubrica (ovviamente dipende sempre se il cellulare Nokia è il Vostro o di un Vostro amico) del Nokia con l'Outlook, così che tutti i dati presenti nella Rubrica siano copiati nella sezione Contatti dell'Outlook 4 - Scaricare l'ultima versione del BlackBerry Desktop Manager (se il pacchetto è quello Vodafone, la versione sul CD non è mo

Joomla! - Mettere la testata in Stampa

Come è noto Joomla! è uno dei più usati CMS (Content Managment System) che consente di avere un ambiente (environment) sul quale costruire e sviluppare siti e portali. Uno dei problemi più noti è quello di poter inserire la testata nel file da stampare. Ad esempio se il mio sito si chiama dicecca.net - Blog ed ha un logo particolare che voglio pubblicare come testata, nella conformazione classica, non posso farlo. Come risolvere? Premesso che tutto il sistema è scritto in linguaggio PHP, il file che viene chiamato in causa è component.php che si trova nella cartella /[sito (1)] /templates/system Il file ( che è possibile scaricare qui in formato testo ), alla riga 40 inizia il Body del testo. Alla riga 41 inizia l'inclusione del testo dell'articolo che si è deciso di stampare, che a sua volta viene aperto in una finestra popup. Dando un taso invio, dalla riga 41 è possibile inserire il riferimento ad una immagine e/o un formattato HTML della testata del nos