Solo dopo aver creati i record SPF e DKIM, devi configurare DMARC aggiungendo criteri ai record DNS del tuo dominio sotto forma di record TXT (esattamente come fatto per SPF o ADSP).
Importante: prima di creare un record DMARC per il tuo dominio, devi configurare l'autenticazione DKIM. Se non configuri prima l'autenticazione DKIM, le email inviate da servizi disponibili all'implementazione autonoma degli utenti sugli hosting fattispazio non saranno autenticate né recapitate agli utenti.
Il nome del record TXT dovrebbe essere "_dmarc.tuo_dominio.com.", dove "tuo_dominio.com" va sostituito dal tuo vero nome di dominio.
Qui sotto i tag tipicamente utilizzabili
Nome tag
Obbligatorio
Finalità
Modello
v
obbligatorio
Versione del protocollo
v=DMARC1
p
obbligatorio
Criterio per il dominio
p=quarantine
pct
facoltativo
Percentuale di messaggi sottoposta al filtro
pct=20
rua
facoltativo
URI per l'invio dei rapporti aggregati
rua=mailto:
sp
facoltativo
Criterio per i sottodomini del dominio
sp=reject
aspf
facoltativo
Modalità di allineamento per SPF
aspf=r
Solo i tag v (version) e p (policy) sono obbligatori. Sono disponibili tre impostazioni per i criteri o disposizioni per i messaggi: none: non esegue alcuna azione. Registra solo i messaggi interessati nel rapporto giornaliero. quarantine: contrassegna i messaggi interessati come spam. reject: annulla il messaggio a livello di SMTP.
La modalità di allineamento si riferisce alla precisione con cui i record del mittente vengono confrontati con SPF e firme DKIM. Gli unici valori possibili sono "relaxed" o "strict", rappresentati rispettivamente dalle lettere "r" e "s". In breve, "relaxed" consente corrispondenze parziali, ad esempio i sottodomini di un determinato dominio, mentre "strict" richiede una corrispondenza esatta.
Per ricevere i rapporti giornalieri, assicurati di includere il tuo indirizzo email utilizzando il tag rua facoltativo.
incrementare l'utilizzo di DMARC in modo graduale, applicando i criteri nell'ordine indicato. Innanzitutto, monitora il traffico e cerca eventuali anomalie nei rapporti, quali messaggi non ancora firmati o probabilmente fraudolenti. Quindi, quando sei soddisfatto dei risultati, modifica l'impostazione delle norme del record TXT da "none" a "quarantine". Rivedi nuovamente i risultati, stavolta sia nei risultati spam sia nei rapporti DMARC giornalieri. Infine, una volta verificato che tutti i tuoi messaggi sono firmati, cambia l'impostazione della norma in modo tale da "rifiutare" di fare un uso completo di DMARC. Rivedi i rapporti per accertarti che i risultati siano accettabili.
In modo analogo, è possibile utilizzare il tag pct facoltativo per predisporre e provare l'implementazione DMARC. Poiché la percentuale predefinita è 100%, un valore "pct=20" nel record DMARC TXT avrà come risultato che solo un quinto di tutti i messaggi interessati dalla norma riceverà effettivamente la disposizione. Questa impostazione è particolarmente utile dopo aver scelto di mettere in quarantena e rifiutare la posta. Inizia con una percentuale più bassa e aumentala a intervalli di qualche giorno.
Un ciclo di implementazione prudente avrà il seguente aspetto:
Monitora tutto.
Quarantena 1%.
Quarantena 5%.
Quarantena 10%.
Quarantena 25%.
Quarantena 50%.
Tutto in quarantena.
Rifiuta 1%.
Rifiuta 5%.
Rifiuta 10%.
Rifiuta 25%.
Rifiuta 50%.
Rifiuta tutto.
Per completare l'implementazione, tenta di rimuovere le percentuali quanto più rapidamente possibile. Come sempre, esamina i rapporti giornalieri.
In questo record TXT, se un messaggio si presenta come proveniente dal tuo dominio.com ma non supera i controlli DMARC, non viene intrapresa alcun azione. Tutti i messaggi interessati compaiono invece nel rapporto aggregato giornaliero inviato a "".
In questo record TXT, se un messaggio si presenta come proveniente dal tuo dominio.com e non supera i controlli DMARC, viene messo in quarantena il 5% delle volte. I rapporti aggregati vengono quindi inviati a "".
In questo record TXT, se un messaggio si presenta come proveniente dal tuo dominio.com e non supera i controlli DMARC, viene rifiutato il 100% delle volte. I rapporti aggregati vengono quindi inviati a "" e a "".
I rapporti giornalieri sono forniti in formato XML. Leggili per capire meglio il flusso delle email. I rapporti permettono di assicurare che le origini della tua posta in uscita superino correttamente l'autenticazione. Accertati che i vari indirizzi IP dai quali viene inviata la posta che si presenta come proveniente dal tuo dominio siano effettivamente legittimi; configurali correttamente con DKIM oppure aggiungili all'intervallo SPF. Inoltre, i rapporti ti aiutano a intervenire rapidamente quando è presente un criterio di blocco e una nuova origine di posta viene attivata in rete oppure si verificano problemi di configurazione di un'origine di posta esistente.
Di seguito è riportato un estratto di un rapporto contenente i risultati relativi all'invio di messaggi da due indirizzi IP, uno inviato direttamente e l'altro inoltrato. Entrambi i messaggi hanno superato i controlli:
