Come utilizzare DKIM per prevenire lo spoofing del dominio

Negli anni '80, quando furono sviluppati l'e-mail e l'SMTP (Simple Mail Transfer Protocol), non c'era bisogno di verifica e convalida dei messaggi. Per la maggior parte, le uniche organizzazioni che utilizzavano la posta elettronica all'epoca erano grandi aziende e istituzioni educative.

Sfortunatamente, con la crescita della posta elettronica, i malintenzionati hanno scoperto di poter sfruttare i destinatari inviando messaggi dannosi, falsificando i domini e inviando spam. Ad esempio, qualcuno potrebbe comportarsi come se stesse inviando per conto di un marchio o di un mittente di fiducia e cercare di convincere i destinatari a rispondere e fornire informazioni personali e sensibili. Altri mittenti hanno utilizzato la posta elettronica come un modo per inviare messaggi indesiderati a qualsiasi indirizzo su cui potevano mettere le mani, una pratica che è culminata nella legge CAN-SPAM.

Suggerimento: lo spoofing dell'e-mail si verifica quando un malintenzionato crea e invia e-mail ai destinatari da un indirizzo e-mail contraffatto. Leggi di più sul motivo per cui non dovresti mai inviare e-mail da domini di cui non hai il controllo nel nostro post sul blog Non inviare e-mail da domini che non controlli

Pratiche di autenticazione e-mail come SPF, DKIM e DMARC sono state sviluppate per impedire a questi tipi di e-mail dannose di raggiungere le caselle di posta dei destinatari.

Cos'è DKIM?

DKIM (DomainKeys Identified Mail) è una tecnologia crittografica creata da Cisco e Yahoo che i mittenti possono utilizzare per "firmare" i propri messaggi. DKIM consente al destinatario di un messaggio di posta elettronica di verificare se quel messaggio è stato autorizzato e inviato dal mittente responsabile del dominio. Quando i messaggi non sono firmati con DKIM, i provider di posta in arrivo come Gmail e Microsoft possono bloccare i messaggi e impedirne la consegna ai destinatari.

Come funziona DKIM?

DKIM è una forma relativamente semplice di autenticazione e-mail perché la sua unica funzione è verificare che il mittente di un'e-mail sia responsabile del dominio da cui viene inviata l'e-mail e del contenuto dell'e-mail. I due passaggi per DKIM sono:

1. Un mittente aggiunge una chiave privata sui propri server di posta e firma il messaggio.
2. Il server ricevente controlla la chiave pubblica memorizzata nel record txt di dkimselector._domainkey.domain.com per convalidare la chiave privata aggiunta dal mittente.

In che modo DKIM impedisce lo spoofing del dominio?

Come marchio, se implementi DKIM, stai essenzialmente firmando la tua e-mail e dicendo ai provider di posta in arrivo che la posta in arrivo che stanno ricevendo proviene dal tuo dominio e te ne stai assumendo la responsabilità. Ciò significa che i cattivi attori non possono inviare posta da indirizzi come @tuaazienda.com.

Perché DKIM è importante?

DKIM è importante perché è uno dei modi in cui i provider di posta in arrivo possono verificare l'identità del mittente. Senza implementare correttamente DKIM, molti provider di posta in arrivo bloccheranno la tua e-mail, impedendo ai tuoi messaggi di arrivare alla destinazione prevista. Anche se questo potrebbe non sembrare estremamente importante, se solo un piccolo numero dei tuoi messaggi viene bloccato, può avere grandi conseguenze per la tua attività.

Come posso implementare DKIM in SendGrid?

Una volta creato un account SendGrid, ti verrà data la possibilità di implementare la sicurezza manuale o automatizzata. Scegliendo di implementare la sicurezza automatizzata, SendGrid gestirà i tuoi record SPF e DKIM per te. In questo modo, se apporti una modifica al tuo account che influisce sulla consegna delle e-mail (come l'aggiunta di un nuovo indirizzo IP), SendGrid aggiornerà le tue impostazioni DKIM e DNS per tuo conto.

Come posso testare DKIM?

Ci sono una varietà di strumenti di test DKIM disponibili per l'uso online. L'uso di qualcosa come un analizzatore DKIM o un controllo DKIM ti aiuterà a determinare se hai pubblicato accuratamente il tuo record DKIM. In generale, si consiglia vivamente di testare tutte le modifiche apportate ai record SPF o DKIM prima dell'implementazione.

Suggerimento: DKIM può essere utilizzato sia su indirizzi IP dedicati che su pool di indirizzi IP condivisi come un modo per migliorare la consegna delle e-mail, indipendentemente dal tipo di account SendGrid che hai.

Cosa NON FA DKIM?

Sebbene DKIM offra ai mittenti un modo per firmare i propri messaggi in modo che i provider di posta in arrivo sappiano di essere responsabili del contenuto del messaggio e del dominio da cui viene inviato, ci sono alcune cose che DKIM non fa:

• DKIM non dice ai provider di posta in arrivo come gestire il messaggio. A differenza di una tecnologia di autenticazione e-mail come DMARC, DKIM non dice cosa fare se un messaggio non riesce o supera la verifica.
• DKIM non tiene conto del mittente dei messaggi. Anche se un messaggio supera la verifica DKIM, il mittente responsabile del messaggio potrebbe comunque essere un cattivo attore che invia e-mail dannose.
• DKIM non impedisce il nuovo invio dei messaggi. Se un'e-mail dannosa viene aperta e inoltrata da un destinatario, il messaggio può comunque essere aperto e dannoso per i destinatari successivi.

In che modo SPF è diverso da DKIM e sono entrambi necessari?

SPF consente ai mittenti di dire agli ISP quali IP possono inviare per loro conto. DKIM consente agli ISP di verificare che il contenuto inviato corrisponda a ciò che intendeva il mittente originale. Per ulteriori informazioni su come ricevere correttamente la tua e-mail, consulta la nostra Guida alla consegna delle e-mail 2019 .

Né SPF né DKIM proteggono completamente un'e-mail. Ad ognuno manca un pezzo importante. SPF manca la verifica del messaggio e DKIM manca un modo per verificare da dove proviene il messaggio. Entrambi sono necessari per essere un mittente di posta elettronica sicuro.

Quali sono i migliori suggerimenti DKIM?

• DKIM deve essere l'ultima cosa aggiunta al messaggio prima che venga inviato. Se una firma, uno spazio vuoto, un'altra intestazione – qualsiasi cosa – viene aggiunta dopo, fallirà.
• È possibile firmare l'intestazione o sia l'intestazione che il corpo. Gmail consiglia di firmare entrambi.
• Il ciclo di feedback di Yahoo si basa su una firma DKIM dei mittenti, utilizzano parti della firma per abbinare un mittente a un reclamo. Se non stai utilizzando DKIM (o chiavi di dominio) non puoi utilizzare il ciclo di feedback di Yahoo.
• La maggior parte dei clienti SendGrid avrà il nostro DKIM standard inserito automaticamente nell'intestazione.

Ci sono risorse là fuori che posso usare per saperne di più su DKIM?

Naturalmente, controlla: http://dkimcore.org/tools/keycheck.html e http://www.dkim.org.
Per ulteriori informazioni sull'implementazione di DKIM, SPF o DMARC con il tuo account SendGrid e i messaggi, puoi consultare la documentazione di SendGrid.

Aiuta i provider di posta in arrivo autenticando la tua email

Per assicurarti che i clienti continuino a rispondere ai tuoi messaggi, devi aiutare gli ISP a salvaguardare il tuo marchio. Firmando tutti i tuoi domini con DKIM usando d=, stai dicendo agli ISP di bloccare qualsiasi dominio che non sia nella "lista dei risultati". Quindi, assicurati di firmare tutti i domini da cui invii la tua email promozionale e transazionale. (Questo include i tuoi sottodomini, quindi assicurati di fare un inventario completo.)

Ricorda, DKIM risponde a due domande chiave: l'e-mail ha una firma valida e quale dominio l'ha firmata. Non garantirà la consegna delle e-mail, ma sicuramente aiuterà a migliorarla. Inoltre, aiuterà a prevenire tutte le ricadute accessorie che si verificano quando i marchi vengono violati. Prendersi del tempo per mettere in atto misure preventive può aiutare a proteggere la tua reputazione e il tuo marchio.

Per ulteriori informazioni sull'autenticazione e sulle strategie e-mail per garantire la consegna delle e-mail, scarica la nostra Guida gratuita all'infrastruttura e-mail di SendGrid .