Questo standard sfrutta le peculiarità dei protocolli SPF e/o DKIM, in pratica:
- nella zona DNS di un dominio viene aggiunto un record TXT che definisce la “policy” con la quale le email in uscita possano essere ritenute legittime;
- il server destinatario reperisce dal server mittente le informazioni circa le azioni da intraprendere nel caso non vengano superate le verifiche SPF e DKIM (ad esempio se rifiutare o contrassegnare come spam un messaggio).
In sostanza il DMARC:
- controlla che la firma DKIM sia valida e che sia apposta con il campo d uguale al dominio del From;
- effettua un controllo SPF anche sul FROM, ovvero verifica che gli IP dichiarati nel record SPF del dominio presente nel MAILFROM (Return-Path) siano validi anche per il FROM.
Il record DMARC può essere impostato in autonomia tramite il pannello di gestione DNS. Per maggiori informazioni sull'utilizzo del record TXT, da configurare per DMARC, consultare la
guida dedicata.
Esempio DMARC che specifica di non intraprendere azioni al fallimento del controllo
v=DMARC1; p=none; rua=mailto:
[email protected]; ruf=mailto:
[email protected]
Esempio DMARC che richiede di effettuare azioni se il controllo fallisce:
v=DMARC1; p=reject; pct=98; rua=mailto:
[email protected]; ruf=mailto:
[email protected]; aspf=s; adkim=s;
Note: v: tag obbligatorio, indica la versione del protocollo
p: tag obbligatorio, indica il criterio per il dominio, ovvero cosa deve fare il destinatario in caso fallisca il controllo, p=quarantine inserisce il messaggio nello SPAM del destinatario, p=reject il destinatario rifiuterà il messaggio, p=none indica al destinatario di non intraprendere alcuna azione in caso del fallimento del controllo.
pct: tag facoltativo, indica la percentuale di messaggi sottoposta al filtro.
rua: tag facoltativo, indica l'indirizzo email sul quale ricevere dei rapporti aggregati sui messaggi che non hanno superato il controllo.
ruf: tag facoltativo, indica l'indirizzo email sul quale ricevere dei rapporti forensi sui messaggi che non hanno superato il controllo.
sp: tag facoltativo, indica il criterio per i sottodomini del dominio (sp=reject/sp=quarantine).
aspf: tag facoltativo, indica al server destinatario il grado di restrizione da adottare durante il controllo SPF e della firma DKIM di un'e-mail. La modalità Relax accetterà l'autenticazione anche se l'email viene inviata dal sottodominio. La modalità rigorosa accetta l'autenticazione solo quando il dominio del mittente corrisponde esattamente SPF / DKIM del dominio.
Una sintassi personalizzata del record DMARC può essere ottenuta anche avvalendosi di un generatore on line gratuito come, ad esempio,
https://elasticemail.com/dmarc/.