In che modo SPF, DKIM e DMARC guidano la consegna e la sicurezza delle e-mail

Pubblicato: 2022-11-28

Un trio di standard di autenticazione della posta elettronica lavora insieme per migliorare la consegna della posta elettronica per il mittente e la sicurezza della posta elettronica per il destinatario.

Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) e Domain-based Message Authentication, Reporting and Conformance (DMARC) aiutano a garantire che le e-mail inviate dalla tua azienda siano reali e che i malintenzionati non stiano falsificando o manomettendo in altro modo loro.

SPF, DKIM, DMARC

SPF, DKIM e DMARC mostrano al server di posta ricevente che un determinato messaggio è stato inviato da un indirizzo IP autorizzato, che il mittente è autentico e che il mittente è trasparente riguardo alla sua identità.

Prendiamo ciascuno a turno.

La configurazione dei record SPF per il tuo dominio comporta l'aggiunta di un tipo di record TXT contenente un elenco autorizzato di server di posta in uscita al DNS (Domain Name System). SPF verifica che le email provenienti dal dominio della tua azienda provengano da una fonte autenticata, non da un impostore.

Le chiavi DKIM sono composte da due parti: una chiave pubblica memorizzata nel DNS e una chiave privata memorizzata sul server di posta di invio. La firma DKIM allegata a ciascuna e-mail in uscita viene utilizzata dai server di posta dei destinatari per verificarne l'autenticità. DKIM può anche indicare se un determinato messaggio di posta elettronica è stato modificato.

DMARC è un meccanismo di criteri che consente a un'azienda di controllare come devono essere gestite le e-mail in arrivo dal proprio dominio se non superano l'autenticazione SPF o DKIM. Le opzioni sono "rifiuta", "quarantena" o "nessuna". Questo può essere come un campanello d'allarme se un malfattore sta tentando di utilizzare il tuo dominio.

Record SPF

La configurazione di un record SPF richiede l'accesso ai record DNS del tuo dominio presso il registrar, come GoDaddy o simili. Se hai mai dovuto verificare il tuo dominio o spostarlo su un nuovo server, probabilmente hai aggiornato il suo record DNS.

Screenshot of an SPF record in a DNS settings interface

Un record SPF è semplicemente un record TXT nel DNS del tuo dominio.

Il record SPF sarà del tipo "TXT". E inizierà con la versione di SPF che stai utilizzando.

 v=spf1

La versione è seguita da un elenco di indirizzi IP4 o IP6 autorizzati, come in:

 v=spf1ip4:192.168.0.1

Questo record SPF autorizzerebbe le e-mail dall'indirizzo IP 192.168.0.1. Per consentire un intervallo di indirizzi IP, è possibile utilizzare la notazione CIDR (Classless Inter-Domain Routing) (a volte chiamata notazione "slash").

 v=spf1 ip4:192.168.0.0 /16

Il record SPF di cui sopra autorizzerebbe un intervallo di indirizzi IP da 192.168.0.0 a 192.168.255.255: questo è ciò che indica "/16".

Utilizzando il prefisso "a", un record SPF può autorizzare un dominio in base al nome. Il record seguente autorizza un server associato al dominio example.com.

 v=spf1 a:example.com

Allo stesso modo, il prefisso "mx" ("scambio di posta") autorizza specifici server di posta.

 v=spf1 mx:mail.example.com

Per autorizzare un mittente di terze parti, utilizza il prefisso "include". L'esempio seguente consente sia un intervallo IP che i server di Google.

 v=spf1 ip4:192.168.0.0/16 include:_spf.google.com

Ci sono anche due qualificazioni SPF. Il primo è ~tutto con una tilde (~). Il secondo è -tutto con un trattino (-).

La versione tilde (~ all) è un qualificatore soft-fail. Nella maggior parte dei casi, il server di posta elettronica ricevente accetterà messaggi da mittenti che non si trovano nel record SPF associato, ma li considererà sospetti.

La versione con trattino (-all) è un qualificatore hard-fail. È probabile che il server di posta ricevente etichetterà i messaggi inviati da un server non autorizzato nel record SPF come spam e li rifiuterà.

Infine, tutti questi possono essere utilizzati insieme per autorizzazioni relativamente complesse.

 v=spf1 ip4:192.168.0.0/16 a:example.com include:_spf.google.com

Ricorda che i record SPF aiutano i server di posta elettronica di ricezione a identificare i messaggi di posta elettronica autentici dal dominio della tua azienda.

Chiavi DKIM

DKIM protegge il tuo dominio e aiuta a impedire a chiunque di impersonare la tua azienda. Le due chiavi DKiM consentono al server di posta elettronica del destinatario di verificare che la tua azienda abbia inviato il messaggio e che non sia stato alterato dopo l'invio.

Il primo passaggio nella configurazione di DKIM è la generazione delle chiavi, una pubblica e una privata. La chiave privata è sicura sul server utilizzato per l'invio di email dal tuo dominio. La chiave pubblica viene aggiunta al DNS come record TXT.

La parte difficile è generare le chiavi poiché la procedura esatta per crearle varia da un provider di servizi di posta elettronica all'altro. Ed è completamente diverso se la tua azienda ospita il proprio server di posta.

I fornitori di servizi di posta elettronica offrono istruzioni. Ecco alcuni esempi senza un ordine particolare.

  • Mailchimp: configurare l'autenticazione del dominio e-mail,
  • Klaviyo: come impostare un dominio di invio dedicato,
  • Campagne Zoho: come autenticare il mio dominio,
  • MailerLite: autenticazione del dominio e-mail,
  • Attivista: DKIM, SPF e DMARC,
  • ConvertKit: utilizzo di un dominio verificato per l'invio di e-mail,
  • MailUp: massimizzare la deliverability delle tue email,
  • ActiveCampaign: autenticazione SPF, DKIM e DMARC,
  • Keap: DKIM.

In ogni caso, il DKIM è completato quando aggiungi (copia e incolla) il record CNAME del provider di posta elettronica al DNS del tuo dominio. Questi record rappresentano la chiave pubblica per autenticare i messaggi di email marketing in uscita della tua azienda.

DMARC

DMARC fornisce un altro livello di protezione e istruisce anche i server di posta elettronica su cosa fare con i messaggi che non superano l'autenticazione SPF o DKIM.

La base di DMARC è un record TXT inserito nel DNS del tuo dominio. Questo conterrà la politica DMARC con almeno due elementi:

  • Un indirizzo e-mail per ricevere rapporti aggregati di autenticazione e-mail e
  • L'azione da intraprendere sui messaggi di posta elettronica che non superano l'autenticazione (ad esempio, rifiutare o mettere in quarantena).

Ecco un esempio di record DMARC TXT in un DNS:

 v=DMARC1; p=quarantena; rua=mailto:[email protected]; ruf=mailto:[email protected].

Il record inizia con la versione DMARC.

 v=DMARC1;

L'elemento "p" assegna l'azione per le e-mail che non superano l'autenticazione. In questo caso, è impostato su "quarantena", che indica al server ricevente di spostare tali messaggi in un'area di attesa. Altre opzioni includono "nessuno" - che non interrompe l'e-mail ma monitora gli errori SPF o DKIM - o "rifiuta".

 p=quarantena;

I prefissi "rua" e "ruf" indicano al server ricevente dove inviare report aggregati (rua - Reporting URI for Aggregate data) e rapporti forensi (ruf - Reporting URI for Failure data). Queste segnalazioni possono rivelare un tentativo criminale di impersonare la tua attività.

Ulteriori modificatori includono:

  • pct — la percentuale di messaggi di posta elettronica soggetti al criterio DMARC.
  • sp — la politica DMARC per i sottodomini.
  • adkim — assegna la modalità rigorosa (adkim:s) o rilassata (adkim:r) per DKIM.
  • aspf — assegna la modalità rigorosa (adkim:s) o rilassata (adkim:r) per SPF.

I servizi di terze parti possono aiutare a generare un record DMARC basato sullo standard ufficiale. Questi servizi includono:

  • MXToolBox,
  • PowerDMARC,
  • Dmarciano,
  • EasyDMARC.

Proteggi mittente e destinatari

L'impostazione dei record SPF, DKIM e DMARC per il tuo dominio garantisce che i server di posta riconoscano i messaggi della tua azienda come autentici e respingano gli impostori. Il risultato protegge la reputazione della tua azienda e protegge i clienti da attacchi di phishing e altri tipi di frode via e-mail.