Il protocollo DMARC permette al proprietario del dominio di posta di controllare efficacemente la consegna delle sue email e, nel contempo, di impedire che i malintenzionati usino il dominio di posta per attaccare clienti e fornitori. Fino ad oggi Microsoft 365 ha sempre trattato il parametro DMARC p=reject come se fosse p=quarantine e, in più, ci metteva del suo con la configurazione dello Spoof Intelligence per capire se le mail erano buone anche se il mittente aveva configurato male SPF, DKIM e DMARC. Ma dal 10 agosto tutto cambierà, analizzeremo le logiche e come prepararsi per poter passare le vacanze estive con serenità.
La funzionalità di Spoof Intelligence
In Exchange Online Protection (EOP) è sempre esistito un controllo identico al protocollo DMARC anche se il dominio mittente non lo implementava. Ne abbiamo già parlato in un articolo e possiamo veriticare il suo funzionamento tramite l’opzione compauth del campo dell’header della mail Authentication-Results. Quando la mail è sospetta (configurazione errata del mittente o attacco di malintenzionati) lo Spoof Intelligence lo evidenzia e decide se farla passare o meno, possiamo cambiare questi settaggi seguendo questo articolo. La pecca di Microsoft, predicata dai fans del protocollo DMARC, era il mancato rigetto completo delle email provenienti da quei domini di posta che, con un lavoro attento sul protocollo, avevano deciso il p=reject. La mail dei malintenzionati entrava ugualmente nei sistemi, finiva perlopiù in quarantena ma, talvolta, anche nella posta indesiderata (Junk) o, in presenza di eccezioni nei mittenti attendibili, anche nella Inbox. Questo metteva a rischio l’intera azienda e proprio per questo motivo, finalmente, Microsoft compie questo passo importante, quasi epocale.
Onorare la policy DMARC
In base al percorso di Roadmap numero 117533 è apparso questo avviso (MC640228) nel Centro Messaggi dell’amministrazione centrale di M365 a prescindere che si abbia la licenza del Defender for Office 365 o si usi solo l’antispam base Exchange Online Protection.
Dal 10 agosto 2023, data dubbia per porre in atto un comportamento di questo impatto, l’impostazione di default sarà il rispetto della policy DMARC del dominio mittente a prescindere che ci sia o meno abilitata la Spoof Intelligence. Quindi, se il mittente ha scelto p=quarantine i messaggi che non rispettano il protocollo DMARC finiranno nella quarantena quindi potranno essere analizzati e rilasciati al destinatario. Se il mittente ha scelto p=reject i messaggi che non rispettano il protocollo DMARC non entraranno nel sistema, saranno rigettati e non potranno essere analizzati o recuperati. L’impostazione di rispetto della policy DMARC sul dominio mittente potrà essere disabilitata oppure modificata a piacimento. Vediamo come.
Per capire cosa scegliere nella nostra configurazione formalizziamo per bene le verifiche DMARC di Microsoft 365:
- IMPLICITA: Quanto il domino mittente non ha il record DMARC o ce l’ha con p=none.
- ESPLICITA: Quando il dominio mittente ha un record DMARC con p=quarantine e p=reject.
Ecco quindi i 4 casi possibili di configurazione:
- Spoof Intelligence ABILITATA + Honor DMARC policy ABILITATA:
○ IMPLICITA: Settaggio indicato nello Spoof Intelligence
○ ESPLICITA: Settaggio indicato nel honor DMARC policy - Spoof Intelligence ABILITATA + Honor DMARC policy DISABILITATA:
○ IMPLICITA: Settaggio indicato nello Spoof Intelligence
○ ESPLICITA: Non considerata - Spoof Intelligence DIABILITATA + Honor DMARC policy ABILITATA:
○ IMPLICITA: Non considerata
○ ESPLICITA: Settaggio indicato nel honor DMARC policy - Spoof Intelligence DISABILITATA + Honor DMARC policy DISABILITATA:
○ IMPLICITA: Non considerata
○ ESPLICITA: Policy DMARC del mittente applicata alla lettera
Se non vedete questi settaggi nelle azioni della vostra Anti-Spoofing policy dovrete attendere qualche giorno che arrivi l’aggiornamento sul vostro tenant.
Antispam esterno
Una menzione particolare per coloro che hanno un antispam esterno prima di Microsoft 365 che potrebbe alterare il controllo DMARC e Spoof Intelligence (in assenza di ARC). Lo capite se il record MX del vostro dominio di posta non punta a *.mail.protection.outlook.com. Solo in questo caso consiglio la configurazione del caso 2 altrimenti, se avete disabilitato lo Spoof Intelligence, rischiate che entrino solo le email con firma DKIM valida dato che ricadreste nel caso 3 o, peggio ancora, nel caso 4 se togliete tutti i flag dal mondo anti-spoofing di EOP. Se non vi è chiara questa affermazione è fondamentale ripassare il funzionamento dei protocolli SPF e DKIM.
NOTA del 22/07/2023: MS specifica che, in questo caso, il paramentro “Honor DMARC” non verrà considerato. Consiglio di toglierlo comunque.
Conclusioni
Microsoft 365 ci permette ora di applicare alla lettera le regole DMARC imposte dal dominio mittente e lo fa senza che noi dobbiamo toccare nulla. Potremo “ammorbidire” queste regole a piacimento con le opportune scelte nella configurazione delle azioni nell’Anti-Spoofing Policy. Vi consiglio, entro il 10 agosto, di controllare e lasciare il default (caso 1) tranne in presenza di antispam esterno per il quale serve un’analisi attenta della configurazione, prudentemente scegliete il caso 2. Il caso 4 è per i fedeli del protocollo DMARC ma regna ancora molta ignoranza sull’argomento, meglio evitare.
Articolo di riferimento: https://techcommunity.microsoft.com/t5/exchange-team-blog/announcing-new-dmarc-policy-handling-defaults-for-enhanced-email/ba-p/3878883
Guida alla configurazione: https://learn.microsoft.com/en-us/microsoft-365/security/office-365-security/anti-phishing-policies-about?view=o365-worldwide#spoof-protection-and-sender-dmarc-policies