DMARC Manager

Italiano

English
Español
Deutsch
Français
한국어
日本語
Português (BR)
繁體中文

Italiano

English
Español
Deutsch
Français
한국어
日本語
Português (BR)
繁體中文

Guida alla Migrazione DMARC

Durante la migrazione delle piattaforme DMARC, è importante comprendere la configurazione attuale applicata dalla piattaforma DMARC esistente. Una migrazione ben pianificata assicura che la tua email continui a fluire senza problemi mentre rafforza l'autenticazione e il reporting. Questa guida ti accompagna attraverso ogni fase del passaggio tra fornitori DMARC (e le relative configurazioni a livello DNS).

Panoramica

Questa guida copre i seguenti argomenti:

  • Pianificazione e inventario
  • Valutazione e preparazione
  • Configurazione parallela
  • Sequenza degli aggiornamenti DNS
  • Test e monitoraggio
  • Esecuzione del passaggio
  • Revisione post-migrazione

Seguire questo processo assicura l'allineamento con le migliori pratiche e ti permette di sfruttare i suggerimenti per l'automazione per garantire zero tempi di inattività, mantenere la consegnabilità e massimizzare il reporting e l'applicazione.

1. Pianificazione e Inventario

Questa prima fase assicura che tu abbia una comprensione completa di ciascuna delle aree rilevanti della configurazione attuale.

Inventario dei Domini e dei Record

Cataloga ogni dominio coinvolto. Per ogni dominio, raccogli i seguenti record DNS attuali:

Record DNSTipo di Record PrevistoCome Identificarlo
DMARCTXT o CNAMEContiene _dmarc nel nome host
SPFTXTInizia con v=spf1 nella sezione valore
DKIMTXT o CNAMEContiene _domainkey nel nome host
BIMITXTInizia con v=BIMI1 nella sezione valore
MTA-STSTXTContiene _mta-sts nel nome host
TLS-RPTTXTContiene _tls-rpt nel nome host

Documenta l'applicazione DMARC esistente (p=none/quarantine/reject) e gli indirizzi di report (rua/ruf). Un inventario completo all'inizio è fondamentale – "crea prima un inventario delle impostazioni del tuo servizio di protezione esistente" prima di apportare modifiche.

Per ambienti di grandi dimensioni, usa script o strumenti di esportazione DNS per automatizzare questa raccolta di dati.

Identificare le Fonti di Invio

  • Elenca tutti i mittenti di posta (server on-premises, servizi cloud, piattaforme di marketing, ecc.) e i loro include SPF attuali o chiavi DKIM per ogni dominio
  • Verifica eventuali sottodomini o deleghe a terze parti
  • Convalida il tuo inventario utilizzando i report DMARC esistenti o i log delle email in uscita

Revisione dei Flussi di Report Attuali

  • Nota dove vengono inviati i report aggregati/di fallimento DMARC e i report TLS-RPT (indirizzi email)
  • Pianifica di mantenere la visibilità trasferendo questi alla nuova piattaforma DMARC Manager
  • I record DMARC possono elencare più URI di report (separati da virgole) per inviare dati simultaneamente ai sistemi vecchi e nuovi

Stabilire le Performance di Base

Prima delle modifiche, registra le metriche email attuali (tassi di rimbalzo, reclami spam, consegnabilità) e i livelli di conformità DMARC. Questo ti permette di verificare i miglioramenti post-migrazione e assicurare che non ci siano regressioni.

2. Valutazione e Preparazione

La fase di valutazione e preparazione assicura che tu sia pronto per un rollback se necessario. Per ambienti più piccoli, tutto quanto segue potrebbe non essere necessario, usa il tuo giudizio.

Backup dei Record DNS Esistenti

  • Esporta o salva i tuoi file di zona
  • Conserva copie di tutti i record attuali per DMARC, SPF, selettori DKIM, MTA-STS, TLS-RPT, ecc.

Catalogare le Nuove Voci DNS Target

Apri DMARC Manager e cattura le nuove impostazioni target per ogni dominio. Assicurati di avere i nuovi record richiesti da DMARC manager per ogni dominio (se coperto nella piattaforma legacy):

  • DMARC
  • SPF
  • DKIM
  • MTA-STS
  • TLS-RPT
  • BIMI

Esempio: Un esempio di dove trovare le istruzioni di configurazione per DMARC. Le altre impostazioni possono essere trovate semplicemente passando alla scheda delle impostazioni standard pertinente.

Ruoli degli Stakeholder

Assegna le responsabilità. Definisci chi aggiorna il DNS, chi configura il nuovo DMARC Manager, chi monitora i report e chi gestisce il rollback se qualcosa fallisce. Ad esempio, le operazioni IT potrebbero gestire le modifiche DNS, mentre i team di sicurezza esaminano i report. Ruoli chiari e canali di comunicazione sono fondamentali.

Valutazione dei Rischi e Pianificazione

  • Identifica i rischi (ad esempio, configurazione errata temporanea che causa rimbalzi) e pianifica la mitigazione
  • Considera di migrare durante finestre di basso traffico o in fasi per gruppo di domini
  • Per un gran numero di domini, esegui la migrazione in batch (ad esempio, 100 domini alla volta) per limitare l'impatto

Preparare il Nuovo Ambiente

  • Fai familiarizzare il tuo team con l'interfaccia/API della nuova piattaforma
  • Raccogli tutte le informazioni necessarie (nuove chiavi pubbliche DKIM, valori include SPF, indirizzi di report, endpoint MTA-STS)
  • Assicurati di avere accesso al DNS per i record del nuovo DMARC Manager
  • Nota eventuali voci DNS CNAME o TXT richieste

Ridurre i TTL DNS

  • Alcuni giorni prima delle modifiche, riduci i TTL sui record chiave (DMARC, SPF, DKIM, MTA-STS, TLS-RPT) a un valore basso (ad esempio, 300–3600 secondi)
  • Questo minimizza i ritardi di propagazione durante il passaggio
  • Ricorda di ripristinare TTL più alti dopo la stabilizzazione

Delega dei Ruoli e Documentazione

  • Documenta ogni modifica pianificata e prepara guide passo-passo
  • Per ogni dominio (o modello di domini), annota le modifiche DNS esatte e la sequenza
  • Mantieni log delle modifiche pronti per l'audit per poter dimostrare la conformità e cosa è cambiato quando

3. Configurazione Parallela

Mentre la vecchia piattaforma DMARC rimane attiva, configura il nuovo DMARC Manager in parallelo in modo che entrambi i sistemi ricevano o validino le email simultaneamente. Questa fase di "doppia scrittura" evita tempi di inattività o punti ciechi, e si applica a tutte le voci DNS pertinenti.

Aggiungere Domini al Nuovo DMARC Manager

  1. Aggiungi tutti i nuovi domini nel DMARC Manager
  2. Verifica la proprietà DNS come richiesto (ad esempio, via DNS TXT o email)

Configurazione DMARC

  1. Imposta la policy DMARC iniziale del dominio appena aggiunto alla policy attualmente pubblicata
  2. Aggiungi gli indirizzi di report della vecchia piattaforma DMARC in DMARC Manager
  3. Configura sotto 'Modifica Impostazioni' nell'Interfaccia Domini:
    • Aggiungi indirizzo RUA nella sezione Report Aggregati
    • Aggiungi indirizzo RUF nella sezione Report di Fallimento

Configurazione SPF

  1. Aggiorna il record TXT SPF di ogni dominio in DMARC Manager al record SPF attualmente pubblicato
  2. Assicurati che tutti gli include appaiano in DMARC Manager
  3. Verifica che il tag 'all' sia impostato sulla stessa policy (tipicamente ~all)
  4. Non rimuovere ancora i vecchi include SPF nella piattaforma DMARC legacy

Configurazione DKIM

  1. Aggiungi le chiavi DKIM alla gestione delle chiavi DKIM del nuovo DMARC Manager
  2. Non rimuovere ancora i vecchi record DKIM

Configurazione BIMI

  1. Copia i file dei certificati nel DMARC manager
  2. Copia il file immagine nel DMARC manager (usa SVG esatto)
  3. Non rimuovere ancora i vecchi record BIMI

Configurazione MTA-STS

Se usi MTA-STS, assicurati che la policy MTA-STS del nuovo DMARC Manager rifletta quella vecchia.

4. Sequenza degli Aggiornamenti dei Record

Una sequenza appropriata delle modifiche DNS minimizza il rischio. Segui questo ordine:

  1. Ridurre i TTL (fatto nella Preparazione)
  2. Sostituisci SPF esistente con nuovo SPF:
    • Segui le istruzioni DMARC Manager
    • Verifica sintassi e limiti di lookup
    • Attendi la propagazione DNS (minuti a un'ora)
  3. Pubblica nuove voci di gestione chiavi DKIM:
    • Aggiungi nuovi record NS di gestione DKIM
    • Mantieni vecchi record DKIM attivi per il rollback
  4. Sostituisci record DMARC esistente:
    • Usa record DMARC Manager
    • Verifica sintassi (un TXT/CNAME DMARC per dominio)
  5. Sostituisci record BIMI esistente:
    • Rimuovi vecchio record BIMI
    • Aggiungi nuovi record NS BIMI
  6. Aggiorna Record DNS MTA-STS
  7. Aggiorna TXT DNS TLS-RPT
  8. Pausa di validazione (24–48 ore)
  9. Aggiustamento dell'applicazione opzionale

Passi di Verifica

Ad ogni passo, verifica l'autenticazione email:

  • SPF: Verifica autenticazione usando strumenti o email di test
  • DKIM: Invia messaggi di test e valida gli header
  • DMARC: Conferma report divisi tra fornitori

5. Test e Monitoraggio

Report DMARC

  • Conferma che entrambi i servizi ricevano report
  • Confronta report di esempio
  • Verifica fonti email legittime

Test di Autenticazione

  • Invia email di test da ogni fonte
  • Verifica SPF=pass e DKIM=pass
  • Investiga eventuali fallimenti

Verifica MTA-STS

  • Usa verificatori MTA-STS online
  • Testa email di dominio esterno
  • Controlla console admin Google Workspace (se applicabile)

Revisione TLS-RPT

  • Esamina report dopo alcuni giorni
  • Affronta eventuali problemi
  • Conferma che il nuovo fornitore riceva report

Monitoraggio della Consegnabilità

  • Osserva tassi di rimbalzo
  • Monitora report spam
  • Traccia reclami degli utenti

6. Esecuzione del Passaggio

Una volta verificato, esegui il passaggio finale:

  1. Rimuovi vecchie chiavi DKIM (dopo 48–72 ore)
  2. Pulisci include SPF
  3. Finalizza record DMARC:
    v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100
  4. Aggiorna configurazione MTA-STS
  5. Rimuovi vecchia URI TLS-RPT
  6. Dismetti vecchio fornitore

Nota: Esegui le rimozioni durante le finestre di manutenzione con piani di backup pronti.

7. Revisione Post-Migrazione

Lista di Controllo Validazione

  • [ ] Tutti i domini riportano a DMARC Manager
  • [ ] Solo record DMARC Manager rimangono
  • [ ] Verifica con dig o interfaccia di gestione DNS

Revisione delle Performance

  • Monitora tassi di rifiuto email
  • Verifica conformità DMARC
  • Confronta metriche pre/post migrazione

Documentazione

  • Compila log di audit
  • Documenta modifiche DNS
  • Registra date di passaggio
  • Salva messaggi di conferma

Miglioramento della Policy

  • Pianifica aumenti di applicazione
  • Muoviti verso p=reject
  • Revisioni SPF regolari

Conclusione

Inventariando meticolosamente, preparando ed eseguendo i sistemi in parallelo, assicuri zero tempi di inattività durante il passaggio. Il reporting multi-destinatario mantiene la consegnabilità e la visibilità ininterrotte. Infine, la pulizia dei vecchi record e l'irrigidimento delle policy completa la migrazione, lasciandoti con un'autenticazione email più forte e un monitoraggio completo sotto DMARC Manager.