Cosa sono DKIM, SPF e DMARC?

Le tue email vengono costantemente bloccate dai filtri antispam dei tuoi destinatari? Peggio ancora, non si fanno vedere affatto?

La consegna delle e-mail è un problema per molte aziende e risolvere il problema a volte può essere un'arte oscura. In questa guida, discutiamo tre soluzioni standard per migliorare la consegna delle e-mail: DKIM, SPF e DMARC.

L'impostazione di DKIM, SPF e DMARC per il tuo dominio può migliorare la consegna delle e-mail, riducendo anche il rischio che truffatori e spoofer inviino con successo e-mail che pretendono di provenire dalla tua organizzazione.

Cosa sono DKIM e SPF?

DKIM e SPF sono due metodi digitali utilizzati per la convalida delle e-mail. Possono proteggere il mittente e il destinatario di un'e-mail da spoofing, phishing e furto d'identità.

Quando l'account e-mail di qualcuno riceve un'e-mail con una firma DKIM o SPF, i filtri antispam controllano il dominio del mittente per assicurarsi che l'e-mail sia valida e non contraffatta. Le e-mail che superano il controllo DKIM o SPF si qualificano per essere consegnate; le email che non passano vengono rifiutate o messe in quarantena.

DKIM viene utilizzato per convalidare le e-mail inviate da un determinato dominio, mentre SPF convalida anche le e-mail inviate da terze parti per conto del dominio "mittente".

Cos'è DKIM?

Parliamo di DKIM e SPF in modo più dettagliato, a cominciare da DKIM.

DKIM (DomainKeys Identified Mail) è un protocollo di sicurezza che può dire all'account e-mail di qualcuno se un'e-mail è stata effettivamente inviata o meno dal dominio da cui dice di essere stata inviata.

Nel 2005, prima del lancio di DKIM, lo spoofing delle e-mail era particolarmente diffuso. Ciò ha spinto un gruppo di partecipanti del settore Internet di alto profilo, che includeva Yahoo!, Cisco e Microsoft, a trovare una soluzione: DKIM. Il gruppo ha identificato che l'associazione dichiarata tra un'e-mail e un dominio potrebbe essere convalidata aggiungendo una chiave di sicurezza ai metadati di ciascuna e-mail. Ciò fornirebbe ai domini un modo per dimostrare che le proprie e-mail sono legittime, rendendo più difficile per i truffatori fingere un'associazione tra le loro e-mail contraffatte e il dominio di qualcun altro.

Quando un dominio ha impostato DKIM e quel dominio invia un'e-mail a un destinatario, l'account e-mail del destinatario controlla la firma DKIM nell'e-mail rispetto ai record DNS del dominio. (Un record DNS è il record online del dominio delle sue informazioni identificative di base). Se la firma corrisponde, l'e-mail supera il controllo DKIM e può quindi essere consegnata.

Come configurare DKIM sul tuo dominio

La configurazione di DKIM è un modo importante e accessibile per ridurre il rischio di spoofing delle e-mail, migliorando al contempo la consegna delle e-mail.

Il processo di configurazione di DKIM varia a seconda del provider di servizi di posta elettronica utilizzato. Ad esempio, Gmail completa automaticamente alcuni passaggi per conto del dominio. Se preferisci eseguire una configurazione DKIM completamente manuale, saranno necessari i seguenti passaggi:

1. Installa un pacchetto DKIM sul server di posta elettronica del dominio
2. Utilizzare uno strumento DKIM Wizard per creare una coppia di chiavi DKIM pubblica e privata
3. Carica un record TXT della chiave DKIM pubblica nel record DNS del dominio
4. Archivia la chiave DKIM privata in modo sicuro (ovunque il pacchetto DKIM indichi che dovrebbe essere archiviata)
5. Verifica se il provider di posta elettronica richiede una configurazione DKIM aggiuntiva e completa gli ulteriori passaggi appropriati

Agari.com offre una guida dettagliata su ogni fase del processo di configurazione di DKIM.

Una volta impostato DKIM, il dominio dovrebbe essere ben posizionato per sfruttare i vantaggi di una maggiore consegnabilità e sicurezza. I filtri antispam ora daranno un chiaro segnale che le e-mail del dominio sono legittime, il che rimuove uno dei motivi più probabili per cui tali e-mail potrebbero essere state trattate come spam.

Inoltre, se un mittente malintenzionato tenta di inviare e-mail sotto le spoglie del dominio, le e-mail dovrebbero essere raccolte dai filtri antispam dei destinatari, a causa della mancanza di una chiave DKIM corrispondente a quella aggiunta al DNS del dominio.

Cos'è l'SPF?

SPF (Sender Policy Framework) è un modo per convalidare tutte le parti che inviano email per conto di un dominio, dai vari domini di invio che possono essere di proprietà del mittente, a strumenti di email marketing come MailChimp e Campaign Monitor.

SPF facilita ciò richiedendo all'account e-mail del destinatario di controllare un elenco di dettagli di invio consentiti nel registro di dominio del mittente. Se i dettagli dell'account mittente corrispondono ai dettagli elencati nel registro, l'e-mail può essere consegnata; se i dettagli non corrispondono, l'e-mail viene rifiutata o messa in quarantena.

Le idee e le tecnologie che sarebbero diventate SPF sono state sviluppate in collaborazione da una vasta comunità di esperti di posta elettronica all'inizio degli anni 2000.

Come impostare l'SPF

Configurare SPF per un dominio è misericordiosamente semplice.

Innanzitutto, crea un record TXT che elenca tutti i domini e i server approvati per l'invio di email per conto di un dominio. Ciò potrebbe includere server Web, server di posta in ufficio, server di posta ISP, server di cassette postali degli utenti finali e server di posta di terze parti utilizzati per inviare e-mail per conto del dominio. Quindi, le azioni che devi eseguire sono:

1. Fare un elenco di domini e server rilevanti;
2. Crea un record TXT che includa i domini e i server elencati in questo formato.

Successivamente, puoi attivare SPF aggiungendo un record TXT SPF al DNS del tuo dominio. Google ha una guida dettagliata su come impostare SPF.

Una volta impostato SPF, gli account e-mail avranno un modo per verificare tutte le e-mail legittime inviate per conto del tuo dominio. Ciò migliora la consegna delle tue e-mail, pur mantenendo la protezione che i filtri antispam possono fornire contro le e-mail contraffatte che fingono di provenire dal tuo dominio.

Uno strumento per testare le firme e-mail DKIM e SPF

Dopo aver terminato la configurazione di DKIM e SPF, dovresti eseguire un test per assicurarti che entrambe le tecnologie funzionino correttamente. Ti consigliamo di utilizzare lo strumento gratuito di mail-tester.com: controlla le tue chiavi SPF e DKIM.

Testare le tue precauzioni DKIM e SPF è fondamentale, perché una configurazione errata potrebbe effettivamente danneggiare la consegna delle tue e-mail.

Cos'è DMARC?

DMARC è un protocollo di sicurezza e-mail avanzato che aggiunge funzionalità di reporting alla protezione offerta da DKIM e SPF. Per i domini che utilizzano la posta elettronica su larga scala, DMARC può essere uno strumento particolarmente potente ed efficiente per segnalare problemi di recapito e raccogliere informazioni sulle e-mail problematiche associate al dominio.

Quando DKIM e SPF sono stati lanciati per la prima volta, si sperava che le tecnologie sarebbero state una soluzione ermetica per la convalida delle e-mail. Sfortunatamente, DKIM e SPF non si sono sempre dimostrati perfettamente efficaci nel prevenire e-mail fraudolente, specialmente nei casi in cui il proprietario del dominio utilizza la posta elettronica su larga scala e con più sistemi di posta elettronica.

Nel 2012, una coalizione di giganti di Internet tra cui PayPal, Google, Microsoft e Yahoo! riuniti per lavorare su un modo per puntellare i punti deboli di DKIM e SPF. Hanno escogitato un protocollo di sicurezza chiamato DMARC, che aggiunge funzionalità di reporting approfondite alle firme DKIM e SPF esistenti di un account di posta elettronica.

Con DMARC, ogni email viene comunque passata, rifiutata o messa in quarantena in base alla sua firma DKIM o SPF; la differenza viene dopo. Ogni volta che un'e-mail viene rifiutata o messa in quarantena, DMARC invia un rapporto di errore al dominio. E su base periodica, DMARC invia al dominio un "rapporto aggregato" che riunisce le informazioni sulle e-mail passate, rifiutate e messe in quarantena.

I rapporti DMARC forniscono dettagli sul nome di dominio dell'autore, oltre a informazioni sull'interazione tra mittente e destinatario. Ciò offre al proprietario del dominio un vantaggio molto chiaro su come viene utilizzato il proprio canale di posta elettronica e su chi lo sta utilizzando, compresi i potenziali truffatori.

Come utilizzare i rapporti DMARC

I report DMARC possono essere una risorsa enorme in termini di recapito della posta elettronica. Gli errori evidenziati dai rapporti aiutano le aziende a identificare e gestire le istanze di email maligne associate al loro dominio. Ciò riduce il volume dei segnali negativi che hanno a che fare con un dominio che vengono prelevati dai fornitori di servizi di posta elettronica, il che può avere un effetto positivo sulla consegna della posta elettronica complessiva del dominio.

I servizi di posta elettronica come Gmail e Outlook possono generare rapporti DMARC dettagliati che coprono tutte le e-mail inviate da un dominio, comprese le informazioni su tutti gli indirizzi IP che hanno utilizzato il dominio per inviare un'e-mail.

Per attivare i rapporti DMARC, il proprietario del dominio dovrà prima creare un record DMARC per il dominio. Errori nel record DMARC di un dominio potrebbero causare seri problemi con la consegna delle e-mail, quindi consigliamo sempre di utilizzare un appaltatore o un servizio esperto per garantire che la configurazione DMARC proceda senza intoppi.

Una volta che il record DMARC di un dominio è attivo, può iniziare a ricevere rapporti DMARC dai provider di servizi di posta elettronica.

I report DMARC sono difficili da comprendere nel loro formato non elaborato, quindi è consigliabile utilizzare un software di analisi DMARC, come DMARC Analyzer, per scansionare in modo efficiente ogni report alla ricerca di istanze di uso dannoso. Se il software rileva qualcosa di phishing, il proprietario del dominio può intraprendere le azioni appropriate, come istruire Gmail e altri servizi di posta elettronica per rifiutare i mittenti dannosi in futuro.

L'acronimo DMARC sta per Domain-based Message Authentication Reporting and Conformance.

Vorremmo ribadire che se sei interessato a DMARC, il nostro consiglio sarebbe di far configurare lo strumento da un esperto, che può monitorare le prestazioni e apportare modifiche per ottenere la tua politica DMARC giusta.

DKIM, SPF e DMARC come parte dell'igiene della consegna delle e-mail

DKIM, SPF e DMARC contribuiscono tutti alla consegna e alla sicurezza delle e-mail. Tuttavia, per ottenere i migliori risultati, devono essere utilizzati come parte di un regime di igiene e-mail completo. Ciò significa che il dominio passa regolarmente attraverso una serie di processi, inclusa la gestione di DKIM, SPF e DMARC, per garantire una consegna ottimale delle e-mail.

Per molti e-mail marketer, la componente più importante dell'igiene della posta elettronica è riordinare la tua mailing list (AKA la tua mailing list). Ciò può comportare l'analisi dell'elenco per identificare i destinatari che non aprono un messaggio di posta elettronica da molto tempo e quindi la rimozione di tali destinatari dall'elenco di posta elettronica. Potresti anche controllare la tua lista e-mail per "incongruenze orizzontali", dove una delle informazioni su un destinatario, come il nome, non sembra corrispondere all'indirizzo e-mail (ad es. nome: Dr. Norman Whibley-Castle; indirizzo e-mail : bikerchickmartha2001[at]gmail[dot]com). Per ulteriori indicazioni sull'igiene della posta elettronica, vedere l'articolo di tye.io, "10 best practice essenziali per l'igiene della posta elettronica per il 2021".

Ti consigliamo di eseguire i seguenti passaggi per gestire DKIM, SPF e DMARC:

• DKIM e SPF : testa regolarmente le tue chiavi DKIM e SPF.
• DMARC : se stai utilizzando DMARC, chiedi a un membro del team esperto o a un appaltatore di controllare regolarmente i tuoi rapporti DMARC e, se necessario, regolare le impostazioni del dominio.

Con DKIM, SPF e possibilmente DMARC in atto, il tuo dominio avrà un'ottima base per la consegna e la sicurezza delle e-mail. Ricorda solo di gestire queste tecnologie come parte del tuo regime di igiene della posta elettronica, in quanto ciò contribuirà a garantire che funzionino correttamente.

C'è un bel po' di lavoro nell'impostazione di queste tecnologie di sicurezza e-mail, ma alla fine sarai ricompensato vedendo una percentuale maggiore delle tue e-mail che arrivano nella posta in arrivo del destinatario.