Come funziona l'autenticazione e-mail

L'autenticazione e-mail è un argomento scoraggiante. C'è spesso una zuppa alfabetica di acronimi e inizialismi. Ma i concetti fondamentali non sono complicati e quasi tutti saranno in grado di capirli rapidamente.

L'autenticazione della posta elettronica è diventata sempre più necessaria poiché spammer e phisher continuano a utilizzare la posta elettronica per distribuire messaggi indesiderati o dannosi. La maggior parte dei server di posta elettronica ora utilizza una serie di protocolli per verificare i messaggi di posta elettronica prima che raggiungano il destinatario previsto. È probabile che le e-mail non autenticate correttamente presentino problemi di recapito delle e-mail e finiscano per non essere recapitate o nella cartella spam.

Quindi, parliamo dei 3 protocolli di autenticazione e-mail più importanti in un linguaggio semplice, usando analogie del mondo reale.

SPF - Quadro delle politiche del mittente

Il primo e il più vecchio si chiama Sender Policy Framework (SPF). SPF consente a un mittente di verificarne l'autenticità. Pensiamola in questo modo: se ricevi una lettera nella tua casella di posta stampata su carta intestata ufficiale, puoi essere ragionevolmente sicuro che sia autentica. Quindi un altro modo per pensare a un'e-mail che supera SPF è una lettera certificata dall'ufficio postale. Viene fornito un numero di tracciamento e puoi verificare chi è il mittente chiamando l'ufficio postale.

SPF è anche simile alla conferma di un indirizzo di ritorno. Se hai ricevuto una lettera in cui il nome dell'attività non corrispondeva a nessuna delle attività commerciali elencate all'indirizzo di ritorno della lettera, saresti giustamente scettico su quella lettera. Questo tipo di controllo di solito non è necessario per la posta fisica, ma è necessario anche per i messaggi di posta elettronica perché è facile inviare un messaggio che afferma di provenire da qualcun altro.

Durante SPF, un server di posta elettronica ricevente può chiedere al dominio da cui afferma di provenire l'e-mail un elenco di indirizzi IP a cui è consentito inviare e-mail per conto di quel dominio. Se il dominio non elenca il server di origine come mittente valido, è probabile che l'e-mail non sia autentica e il controllo SPF avrà esito negativo.

DKIM – Posta identificata DomainKeys

DomainKeys Identified Mail (DKIM) è un modo più nuovo e più robusto per autenticare i messaggi. DKIM è come un sigillo di cera su una lettera. Prima di un'infrastruttura postale affidabile, le lettere venivano autenticate con una ceralacca in rilievo con un anello con sigillo appartenente al mittente. La cera indurita si legava alla pergamena e rendeva quasi impossibile manomettere la lettera senza lasciare prove.

Il simbolo impresso nella cera serviva come una sorta di firma, poiché solo una persona avrebbe avuto accesso all'anello con sigillo. Ispezionando la busta, il destinatario poteva verificare sia l'autenticità del mittente che l'integrità del contenuto.

Immaginiamo un altro modo per garantire l'autenticità del mittente e l'integrità del contenuto del messaggio durante il transito. Pensa a una scatola con un cassetto con chiusura a chiave e un coperchio con chiusura a chiave. Il cassetto può essere chiuso solo con la chiave del mittente. Chiameremo questa chiave la chiave privata del mittente.

Il coperchio può essere bloccato e sbloccato da una chiave disponibile gratuitamente. Chiunque può richiedere una copia della chiave. Il mittente ha infatti fornito a tutti gli uffici postali lungo il percorso di consegna copia di tale chiave. La chiameremo chiave pubblica.

Sotto il coperchio c'è una lastra di vetro. Sbloccando il coperchio chiunque può ispezionare il pacco attraverso il vetro, ma non può manometterlo senza rompere il vetro e lasciare prove. Al sopralluogo, l'interessato può confermare la carta intestata ufficiale, verificare che il vetro sia integro e verificare che il cassetto sia chiuso a chiave con la chiave che solo il mittente possiede. Ogni ufficio postale lungo il percorso apre il coperchio per assicurarsi che il pacco sia ancora integro.

DKIM funziona in modo simile a questa scatola. Il mittente dispone di una chiave privata crittografica che viene utilizzata per codificare le intestazioni dei messaggi. La chiave pubblica viene resa disponibile su un registro Internet pubblico decentralizzato chiamato DNS o Domain Name System. Qualsiasi server coinvolto nel passaggio del messaggio alla destinazione finale può recuperare la chiave pubblica e decrittografare le intestazioni per verificare che il messaggio sia valido. E proprio come la scatola chiusa a chiave, la chiave pubblica non può essere utilizzata per crittografare le intestazioni (e bloccare il contenuto del cassetto); solo la chiave privata può farlo.

Possiamo anche pensare a questo come un'altra classe di posta disponibile presso l'ufficio postale. Se l'e-mail autenticata SPF è posta certificata, i messaggi autenticati DKIM sono posta raccomandata, tenuta sempre sotto chiave lungo il percorso di consegna per evitare manomissioni.

DMARC – Segnalazione e conformità dell'autenticazione dei messaggi di dominio

Immagina che qualcuno ti mandi una di queste fantastiche doppie cassette di sicurezza. Il corriere che porta il pacco effettua un ultimo controllo prima della consegna. Cerca la politica di conformità della consegna per il mittente del pacco. La loro politica dice che il pacchetto avrebbe dovuto provenire da un indirizzo attendibile (SPF).

Il pacco avrebbe dovuto anche essere in una scatola chiusa a chiave da una fonte attendibile in possesso di una chiave privata e dovrebbe essere verificabile inalterato in transito (DKIM). La polizza prevede inoltre che se le condizioni SPF e DKIM non sono soddisfatte, il corriere deve mettere in quarantena il pacco e informare il mittente della violazione.

Questo criterio è analogo a un criterio DMARC (Domain Message Authentication Reporting and Conformance). DMARC è l'ultimo strumento di autenticazione, basato sia su SPF che su DKIM. È un modo per i mittenti di informare i destinatari su quali metodi di autenticazione controllare e cosa fare se un messaggio che afferma di provenire da loro non supera i controlli richiesti. Le istruzioni potrebbero includere contrassegnare il messaggio come messo in quarantena e quindi suscettibile di essere sospetto o rifiutare completamente il messaggio.

Potresti chiederti perché i mittenti vorrebbero consentire la consegna dei messaggi che non superano DMARC. DMARC fornisce anche un ciclo di feedback in modo che i mittenti possano monitorare se le e-mail che sembrano provenire dai loro domini sono conformi o meno alla politica.

Revisione

Per rivedere, ci sono tre protocolli di autenticazione ampiamente utilizzati:

1. Sender Policy Framework (SPF) esegue un controllo simile alla verifica di un indirizzo di ritorno per autenticare l'identità di un mittente.
2. DomainKeys Identified Mail (DKIM) autentica anche l'identità di un mittente, ma va oltre assicurando che il contenuto del messaggio sia inalterato utilizzando una scatola chiusa a chiave o un sigillo di cera.
3. Domain Message Authentication Reporting & Conformance (DMARC) è il corriere che si assicura che i messaggi soddisfino i requisiti SPF e DKIM prima di essere consegnati.

Cosa significa l'autenticazione e-mail per i mittenti

Con DMARC, i proprietari di domini hanno finalmente il pieno controllo sull'indirizzo "da" su quello visualizzato nel client di posta elettronica di un destinatario. Grandi fornitori di cassette postali come Yahoo! e AOL hanno già implementato politiche rigorose. Le email che sembrano provenire da questi domini ma che non superano i controlli di autenticazione verranno eliminate. Puoi visualizzare gli aggiornamenti su Gmail qui e su Microsoft qui.

Ciò significa che non dovresti mai inviare da domini che non sono configurati per consentire il tuo server tramite DKIM e SPF. Se invii e-mail per conto dei clienti, ti consigliamo di assicurarti che i tuoi clienti dispongano delle voci DNS corrette per abilitarlo.

Per i destinatari, la maggiore popolarità di queste tecnologie significa una riduzione delle e-mail di phishing e spam che vengono consegnate. Ed è sempre una buona cosa.

E se desideri assistenza con l'autenticazione dell'e-mail o hai difficoltà con la consegna dell'e-mail, SendGrid ha piani e-mail e servizi esperti per aiutarti in tutto.

Risorse addizionali

• https://sendgrid.com/blog/a-dkim-faq/
• https://sendgrid.com/blog/sender-policy-framework-spf-a-layer-of-protection-in-email-infrastructure/
• https://sendgrid.com/blog/what-is-dmarc/