Dopo 10 anni, DMARC sembra stia trovando un qualche utilizzo. Ho persino trovato una [pagina su ACN]( Framework di Autenticazione per la Posta Elettronica - ACN ). Vorrei esortare quanti si apprestano ad implementarlo a fare prima uno sforzo per cercare di capire cos’è e come funziona, quali sono gli intenti, quali i limiti.
Ecco un esempio di come NON funziona:
DMARC prevede un meccanismo di feedback aggregato. Le mail [Forum Italia] Riepilogo spedite da forum.italia.it sono soggette ad aggregazione, inviano un messaggio di ricezione come questo:
Il message count qui sopra è 1, dato che ho ricevuto una singola mail di riepilogo dal forum. Questo feedback avrebbe dovuto confermare che SPF e DKIM sono stati autenticati con successo.
Dico avrebbe dovuto perché l’ente deputato a ricevere il feedback, teamdigitale.governo.it, rifiuta i messaggi di feedback:
Di tutti i crimini che possiamo attribuire ai loro sistemisti, i report che finiscono in nulla sono gli ultimi dei problemi. Se i report non sono gestiti da una piattaforma apposita tipo Valimail, ricevi praticamente rumore. Sarebbe più efficiente se togliessero la casella inesistente, certo, ma la parte di enforcement dmarc funziona comunque.
Per sapere se e come DMARC funziona è necessario dare un’occhiata ai report. A seconda di come viene utilizzata la posta dagli utenti di un dominio, p=reject potrebbe creare problemi. Se tutti i report sono come quello esemplificato sopra, si può certamente passare alla modalità di più stretto enforcement.
Oggi è molto di moda affidare a terzi qualsiasi attività. Forum.Italia.it usa mailgun per spedire e ricevere email. Con la stessa logica potrebbe affidare a terzi anche la lettura dei report. Però no, i report per sé stessi non sono affatto praticamente rumore: contengono tutta e sola l’informazione utile a monitorare DMARC.
Se anche affidassero i report a una piattaforma apposita, questo sarebbe inutile se poi nessuno si preoccuperà di leggerne i resoconti. È anche possibile che tutto vada bene senza che nessuno ci capisca niente. Di certo, l’inettitudine non è un crimine.
DMARC ti fa mandare i rua da qualsivoglia server che ha interagito con te, quindi se non sei un dominio decorativo e interagisci con un numero molteplice di clienti ricevi un bel pò di email. Dopo che hai ricevuto sta cassa di email al giorno, le devi correlare altrimenti hai solo riempito una casella di posta per sport. Puoi farlo a mano, ma voglio mantenere la speranza che i sistemisti del dominio in questione abbiano una paga che rende il canone della piattaforma più conveniente delle loro ore uomo a verificare senza tools (giusto per tornare su valimail, il semplice ingest ed aggregazione base è a costo zero).
Sì, conviene usare un computer per leggere i report. Con XML si possono utilizzare degli style sheet, come la figura sopra. Se i report sono più di qualche dozzina conviene aggregarli. È pieno di software libero come rddmarc, dmarc-report, parsedmarc, OpenDMARC, Open-DMARC-Analyzer.
È più semplice indirizzare direttamente i report a una terza parte, ma devi prima iscriverti, perché la terza parte deve pubblicare un record dove acconsente a ricevere i tuoi report. Ma devi comunque porti il problema, capire.
