Passa al contenuto principale

4. Overview (Panoramica)

Questa sezione fornisce una panoramica generale della progettazione e del funzionamento dell'ambiente DMARC.

4.1. Authentication Mechanisms (Meccanismi di autenticazione)

I seguenti meccanismi per determinare gli identificatori autenticati sono supportati in questa versione di DMARC:

  • [DKIM]: che fornisce un identificatore a livello di dominio nel contenuto del tag "d=" di un campo di intestazione DKIM-Signature validato.

  • [SPF]: che può autenticare sia il dominio trovato in un comando [SMTP] HELO/EHLO (l'identità HELO) sia il dominio trovato in un comando SMTP MAIL (l'identità MAIL FROM). DMARC utilizza il risultato dell'autenticazione SPF dell'identità MAIL FROM. La Sezione 2.4 di [SPF] descrive l'elaborazione MAIL FROM per i casi in cui il comando MAIL ha un percorso nullo.

4.2. Key Concepts (Concetti chiave)

Le politiche DMARC sono pubblicate dal proprietario del dominio e recuperate dal ricevitore di posta durante la sessione SMTP, tramite il DNS.

La funzione di filtraggio di DMARC si basa sul fatto che il dominio del campo RFC5322.From sia allineato con (corrisponda a) un nome di dominio autenticato da SPF o DKIM. Quando una politica DMARC è pubblicata per il nome di dominio trovato nel campo RFC5322.From, e quel nome di dominio non è validato tramite SPF o DKIM, la disposizione di quel messaggio può essere influenzata da quella politica DMARC quando viene consegnato a un ricevitore partecipante.

È importante notare che i meccanismi di autenticazione impiegati da DMARC autenticano solo un dominio DNS e non autenticano la parte locale di alcun identificatore di indirizzo email trovato in un messaggio, né validano la legittimità del contenuto del messaggio.

Il componente di feedback di DMARC comporta la raccolta di informazioni sui messaggi ricevuti che affermano di provenire dal dominio organizzativo per rapporti aggregati periodici al proprietario del dominio. I parametri e il formato per tali rapporti sono discussi nelle sezioni successive di questo documento.

Un ricevitore di posta abilitato DMARC potrebbe anche generare rapporti per messaggio che contengono informazioni relative a singoli messaggi che falliscono SPF e/o DKIM. I rapporti di fallimento per messaggio sono una fonte di informazioni utile durante il debug delle distribuzioni (se i messaggi possono essere determinati come legittimi anche se falliscono l'autenticazione) o nell'analisi degli attacchi. La capacità per tali servizi è abilitata da DMARC ma definita in altro materiale referenziato come [AFRF].

Un messaggio soddisfa i controlli DMARC se almeno uno dei meccanismi di autenticazione supportati:

  1. produce un risultato "pass", e

  2. produce quel risultato sulla base di un identificatore che è allineato, come definito nella Sezione 3.

4.3. Flow Diagram (Diagramma di flusso)

    +---------------+
    | Author Domain |< . . . . . . . . . . . . . . . . . . . . . . .
    +---------------+                        .           .         .
        |                                    .           .         .
        V                                    V           V         .
    +-----------+     +--------+       +----------+ +----------+   .
    |   MSA     |<***>|  DKIM  |       |   DKIM   | |    SPF   |   .
    |  Service  |     | Signer |       | Verifier | | Verifier |   .
    +-----------+     +--------+       +----------+ +----------+   .
        |                                    ^            ^        .
        |                                    **************        .
        V                                                 *        .
     +------+        (~~~~~~~~~~~~)      +------+         *        .
     | sMTA |------->( other MTAs )----->| rMTA |         *        .
     +------+        (~~~~~~~~~~~~)      +------+         *        .
                                            |             * ........
                                            |             * .
                                            V             * .
                                     +-----------+        V V
                       +---------+   |    MDA    |     +----------+
                       |  User   |<--| Filtering |<***>|  DMARC   |
                       | Mailbox |   |  Engine   |     | Verifier |
                       +---------+   +-----------+     +----------+

     MSA = Mail Submission Agent (Agente di invio posta)
     MDA = Mail Delivery Agent (Agente di consegna posta)

Il diagramma sopra mostra un flusso semplice di messaggi attraverso un sistema compatibile DMARC. Le linee continue denotano il flusso effettivo dei messaggi, le linee tratteggiate coinvolgono query DNS utilizzate per recuperare la politica dei messaggi relativa agli schemi di autenticazione dei messaggi supportati, e le linee con asterisco indicano lo scambio di dati tra i moduli di gestione dei messaggi e i moduli di autenticazione dei messaggi. "sMTA" è l'MTA mittente, e "rMTA" è l'MTA ricevente.

In sostanza, i passaggi sono i seguenti:

  1. Il proprietario del dominio costruisce una politica SPF e la pubblica nel suo database DNS secondo [SPF]. Il proprietario del dominio configura anche il suo sistema per la firma DKIM come descritto in [DKIM]. Infine, il proprietario del dominio pubblica tramite il DNS una politica di gestione dei messaggi DMARC.

  2. L'autore genera un messaggio e consegna il messaggio al servizio di invio posta designato del proprietario del dominio.

  3. Il servizio di invio passa i dettagli rilevanti al modulo di firma DKIM per generare una firma DKIM da applicare al messaggio.

  4. Il servizio di invio inoltra il messaggio ora firmato al suo servizio di trasporto designato per l'instradamento verso i suoi destinatari previsti.

  5. Il messaggio può passare attraverso altri relay ma alla fine arriva al servizio di trasporto di un destinatario.

  6. Il servizio di consegna del destinatario conduce controlli di autenticazione SPF e DKIM passando i dati necessari ai rispettivi moduli, ciascuno dei quali richiede query ai dati DNS del dominio dell'autore (quando gli identificatori sono allineati; vedere sotto).

  7. I risultati di questi vengono passati al modulo DMARC insieme al dominio dell'autore. Il modulo DMARC tenta di recuperare una politica dal DNS per quel dominio. Se non ne viene trovata nessuna, il modulo DMARC determina il dominio organizzativo e ripete il tentativo di recuperare una politica dal DNS. (Questo è descritto più in dettaglio nella Sezione 6.6.3.)

  8. Se viene trovata una politica, viene combinata con il dominio dell'autore e i risultati SPF e DKIM per produrre un risultato della politica DMARC (un "pass" o "fail") e può opzionalmente causare la generazione di uno dei due tipi di rapporti (non mostrato).

  9. Il servizio di trasporto del destinatario consegna il messaggio alla casella di posta del destinatario o intraprende altre azioni di politica locale basate sul risultato DMARC (non mostrato).

  10. Quando richiesto, il servizio di trasporto del destinatario raccoglie dati dalla sessione di consegna del messaggio da utilizzare per fornire feedback (vedere Sezione 7).

Ultimo aggiornamento il