Manuel Roccon

ICT & Cyber Security Specialist

Come leggere il DMARC Report (Parte 2)

Se pubblichi un record DMARC, ricevi due tipi di rapporti, aggregati e forensi, che contengono dati di autenticazione importanti. Ma dare un senso a quei dati può essere difficile.

Il mese scorso abbiamo esaminato  come leggere i primi rapporti aggregati DMARC . Oggi approfondiremo come leggere i tuoi primi rapporti forensi sulla DMARC.

Cosa sono i rapporti forensi DMARC?

Oltre a fornire informazioni su quali messaggi di posta elettronica si autenticano con SPF, DKIM e DMARC (come i report aggregati) i report forensi includono informazioni aggiuntive come la riga dell’oggetto e le informazioni di intestazione e, più importante, qualsiasi URL (URI) incluso nel Messaggio.

I report forensi vengono pubblicati su una scala più piccola rispetto ai report aggregati: vengono generati dai provider di posta elettronica quasi immediatamente dopo il rilevamento di un errore di autenticazione DMARC. Destinato a fornire dettagli di esempio e prove di un problema, i rapporti forensi possono contenere dati a livello di messaggio, indirizzi di posta elettronica “A” e “Da” e indirizzi IP del mittente.

Come richiedere rapporti forensi DMARC

Per iniziare a raccogliere dati forensi sulla tua posta elettronica, pubblica un semplice record DMARC in modalità monitor (tag: p = nessuno) con una richiesta di rapporti forensi (tag: ruf = mailto: [email protected]).

Una volta installato il record DMARC, i provider di cassette postali partecipanti invieranno report forensi in tempo reale alla destinazione definita nel tag RUF.

Cosa è incluso nei rapporti forensi di DMARC

Di seguito è riportata una panoramica di cosa è e cosa è incluso in questi rapporti forensi DMARC:

  • Informazioni IP: l’indirizzo IP che ha inviato il messaggio.
  • Tempo in cui il messaggio è stato originariamente ricevuto dall’ISP (entro il secondo).
  • Risultati di autenticazione:
    • SPF
    • DKIM
    • Risultato del controllo del meccanismo DMARC (risultati allineamento)
  • Informazioni ISP: l’ISP che invia il report.
  • Dalle informazioni del dominio:
    • Dall’indirizzo
    • Mail dall’indirizzo
    • DKIM dall’indirizzo (se DKIM è firmato)
  • Linea tematica
  • URL (se presenti)
  • ID messaggio
  • Risultato di consegna: se il messaggio ha rifiutato / messo in quarantena / nessuna politica applicata in base alla politica descritta nel record DMARC.

Ecco un esempio di come sono:

immagine incollata 0 (8)

Cosa non è incluso nei rapporti forensi DMARC

Ecco cosa non è  incluso  nel rapporto forense DMARC:

  1. Tendenze tra gli ISP: come con i report aggregati, la tua organizzazione deve avere la capacità di analizzare i dati ricevuti dagli ISP per identificare tendenze come le somiglianze e gli URL della linea di condotta tra tutti gli ISP segnalanti.
  2. Punteggio del mittente (dati sulla reputazione): anche in questo caso, come per i rapporti aggregati, mentre l’IP di invio è riportato, la reputazione di tale IP è qualcosa che dovrai indagare ulteriormente in quanto non è delineata nel rapporto della polizia scientifica.
  3. Trasferimento automatico dell’URL: è probabile che, se hai problemi di phishing all’interno della tua organizzazione, stai collaborando con un fornitore di servizi di rimozione che può lavorare per chiudere siti malevoli che pretendono di appartenere al tuo marchio. Mentre i rapporti forensi includeranno quegli URL, non verranno spediti direttamente al tuo fornitore di rimozione.
  4. Funzionalità di avviso: poiché i report forensi vengono inviati in tempo reale, possono aiutare a identificare un attacco di phishing più veloce rispetto ai report aggregati. Se ricevi un rapporto forense per un dominio che non viene utilizzato per inviare traffico legittimo, ti consigliamo di informarlo subito in modo da poter proteggere quel dominio al più presto. Allo stesso modo, se stai riscontrando problemi di autenticazione che stanno causando la mancata consegna di posta legittima dal tuo dominio, ti consigliamo di renderla consapevole prima che questo influenzi la tua posta su una scala più ampia.

Come abbiamo discusso nella prima parte di questa serie, i report stessi non ti danno tutto il necessario per proteggere i tuoi clienti e dipendenti dal phishing.

Tuttavia, collaborare con un partner come Return Path può fornire informazioni utili sulle politiche e le prestazioni del dominio di invio, consentendo di prendere decisioni di autenticazione informate.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *