Per assicurare una consegna affidabile delle nostre email e per impedire agli attaccanti l’impersonificazione del nostro dominio di posta con clienti e fonitori è necessario implementare il protocollo DMARC. Dopo anni di “spallucce”, Microsoft sta annunciando diverse migliorie nei sistemi Exchange Online in questo ambito. Già da ora è possibile notare gli aspetti positivi che elevano le logiche al di sopra dello standard, daremo uno sguardo a questi aspetti tenendo presente che sono in corso di distribuzione e non tutti potremo vederli subito nei nostri tenant.
L’importanza della reportistica
Abbiamo trattato il DMARC in molti articoli in questo blog, invito ad un ripasso prima di procedere oltre nella lettura. Sarebbe molto rischioso eseguire i cambi di configurazione riportati in questo articolo senza una piena conoscenza delle specifiche. In un ambiente medio-grande, l’unico modo per avere la piena coscienza dello stato di salute del nostro dominio di posta elettronica è la sottoscrizione di un servizio di reportistica DMARC. Ce ne sono tanti, di svariati prezzi e funzionalità, l’importante è poter avere un feedback, dai riceventi, il più possibile leggibile ed aggregato sulle fonti di spedizione del nostro dominio di posta; vere o fasulle che siano. Solo così è possibile capire se i nostri amici, clienti, partner o fornitori vengono attaccati a nostro nome.
Il record DMARC nel nostro sottodominio onmicrosoft.com
Per ricevere correttamente i report, e dare indicazione al mondo di rigettare le email malevoli, si crea il record DMARC. Si tratta di un record di tipo TXT nella zona dns del nostro dominio di posta. Consiglio mai ripetuto troppo: SPF e DMARC vanno implementati anche in tutti i domini aziendali non utilizzati per la posta elettronica dato che, anche quelli, sono utilizzabili per campagne di phishing. Fino all’anno scorso non potevamo proteggere il nostro sottodominio di posta onmicrosoft.com nonostante Exchange Online lo usi molto per gli NDR. Oggi invece abbiamo la possibilità di creare record personalizzati nella zona nostraazienda.onmicrosoft.com, lo facciamo dall’Admin center di Microsoft 365 – Settings – Domains. Si chiama MOERA ma non è una dolce fanciulla.
La nuove regole nell’antiphishing policy
Come reagisce il nostro Exchange Online quando arrivano email che non soddisfano le policy DMARC? Fino a ieri, ed oggi solo di default, tratta la policy reject come se fosse quarantine cioè entrano e vengono gestite dall’antispam tutte le email. Ora possiamo personalizzare il comportamento nei nuovi settaggi dell’antiphishing policy togliendo le impostazioni predefinite e decidendo puntualmente che fare. Questi comportamenti si applicheranno su tutte le mail ricevute da tutti i domini di posta che siano gestiti da Microsoft 365 oppure no. Grazie a queste modifiche, finalmente, il nostro ExchangeOnline potrà comportarsi esattamente come prevede il protocollo ed in più potremo gestire la transizione in maniera più flessibile ed adatta alle nostre necessità.
Quando viene applicata la regola che rigetta le email che non rispettano lo standard DMARC, il mittente riceve questo messaggio di errore:
Molto simile a quello che rende Google:
Mancano solo i report
Riprendendo l’annuncio del dicembre scorso, non resta che attendersi anche l’invio dei report DMARC da parte di Microsoft365. Operazione che viene già eseguita, anche se non sempre, per le email gratuite del tipo outlook.it, live.com, hotmail.com. Se avverrà quanto auspicato potremo avere la svolta dato che, Microsoft e Google detengono, assieme, più del 60% della quota di mercato dei server di posta. Finalmente avremo tutti i presupposti per una piena adozione del DMARC.
Avanti tutta verso il BIMI
Gli amanti delle RFC stanno già guardando oltre e, dopo il DMARC, c’è un altro standard recente che aumenterà il valore del brand aziendale, il BIMI. Il Brand Indicators for Message Identification è un protocollo che permette al ricevente di una mail DMARC compliant, con policy a quarantine o reject del dominio mittente, di visualizzare il logo aziendale al posto delle iniziali della persona. Il logo viene pubblicato, guarda caso, in un record DNS abbinando anche un certificato per l’autenticazione del brand a livello internazionale. Per il suo corretto funzionamento è fondamentale che tutti i provider di posta elettronica lo implementino, sia mittente che destinatario, altrimenti le opportune voci nell’header di posta non vengono popolate e/o gestite.
Conclusioni
Per dimostrare che le proprie fonti di spedizione sono “autenticate” è necessario implementare il protocollo DMARC nei domini che inviano posta elettronica. Ora anche Microsoft 365 sta facendo la sua parte per rendere il mondo un po’ più sicuro. Possiamo restringere le nostre policy DMARC a reject tenendo ben presente che un sito di reportistica è fondamentale per tenere sotto controllo l’uso dei nostri domini e le ondate di attacchi di phishing eseguite a nostro nome dai malware sparsi sui pc di mezzo mondo.