Proteggi il tuo dominio con SPF, DKIM e DMARC

Tempo di lettura: 5 minuti

Difficoltà: Medio

Il nome del dominio aziendale aiuta le persone a riconoscere tanto il tuo sito web quanto l’indirizzo email che ti rappresenta. Puoi considerare il tuo “dominio” come  una sorta di biglietto da visita!

Proteggere la tua reputazione e quindi il tuo “nome” (inteso come dominio) diventa un elemento fondamentale della tua strategia. 

Falsificare il mittente di un'email può essere semplicissimo: lo  spoofing e il phishing sono truffe informatiche basate proprio su questa contraffazione allo scopo di inviare messaggi fraudolenti.  

In questa guida ti parleremo di tre metodi per proteggere il tuo dominio. 

In questa guida:

• Metodi di autenticazione delle email: i protocolli SPF, DKIM e DMARC
• Sender Policy Framework (SPF)
• DomainKeys Identified Mail (DKIM)
• Domain-based Message Authentication, Reporting, and Conformance (DMARC)

Metodi di autenticazione delle email: i protocolli SPF,DKIM e DMARC

Gli unici messaggi che gli ISP (ossia i provider di posta es. google, outlook ecc.) consegnano sono quelli il cui mittente gode di una buona reputazione, e questo significa che:

• il mittente non è stato segnalato dagli utenti come potenziale spammer
• il suo dominio e l’IP non sono presenti in blacklist
• la sua "sender reputation" è alta

Se il controllo da parte dei provider di posta va a buon fine, il messaggio sarà recapitato al destinatario nella cartella di posta principale; in caso contrario, ossia se risulta che il mittente non è legittimo o che ha una cattiva reputazione, il suo messaggio verrà archiviato nella cartella di spam o ancora peggio, non verra mai consegnato (verrà quindi rimbalzato, da qui il termine "bounce"). 

Nell’Email Marketing, si intende con "autenticazione del dominio" tutte quelle tecnologie e protocolli che certificano l’autenticità di un messaggio e del suo mittente. In pratica, i metodi di autenticazione delle email aiutano a controllare l’identità di chi invia un messaggio per impedire tentativi fraudolenti o di spam a danno dei destinatari. 

I sistemi di autenticazione sono misure di sicurezza a cui i provider di posta elettronica fanno riferimento per decidere se consegnare o meno un’email. I tre standard principali di autenticazione delle email sono: SPF, DKIM e DMARC.

Sender Policy Framework (SPF) 

Il protocollo SPF autorizza all’invio un indirizzo IP o un dominio, consentendo al proprietario di un dominio di specificare quali IP sono abilitati per inviare email a suo nome. Questo permette agli ISP di rilevare se l’indirizzo del mittente viene usato in modo improprio, magari per realizzare un attacco di phishing. 

Per abilitare l'SPF accedi alla sezione "Mittenti" dal sottomenù "Comunica" e clicca "Configura SPF".

Autorizzare la console ad inviare a nome del tuo dominio è molto semplice, devi innanzitutto verificare se il dominio del mittente autorizzato che vuoi utilizzare abbia già un record SPF. Per farlo devi interrogare i DNS del tuo dominio. Ecco come: 

1. vai a questo indirizzo: https://toolbox.googleapps.com/apps/dig/
2. nel campo "nome" inserisci il tuo dominio (il dominio è la parte che trovi dopo la "@" nell’indirizzo email autorizzato all’invio). Ad esempio, se invii con info@miodominio.it inserisci "miodominio.it", e clicca sul pulsante TXT;
3. nella pagina compariranno dei risultati, ecco come interpretarli:
   1. se ricevi “record not found”: in questo caso il tuo dominio non ha un record SPF;
   2. se ricevi almeno un risultato e:
      1. ne compare uno che indica VALUE: v=spf1 …. , in questo caso il tuo dominio ha già un SPF;
      2. non ne compare nessuno che indica VALUE: v=spf1 … , in questo caso il tuo dominio non ha nessun record SPF;

Se il tuo dominio ha già un record SPF allora sarà sufficiente modificarlo aggiungendo la direttiva che abilita la console 4Dem.it.

Per farlo devi accedere al tuo pannello di gestione dei DNS, cercare il record TXT che riporta v=spf1 … ed inserire subito dopo il codice “v=spf1” il codice che segue:

include:mailchef.4dem.it

Ecco alcuni esempi:

Record SPF originale: v=spf1 a mx ~all

Record modificato: v=spf1 include:mailchef.4dem.it a mx ~all

Record SPF originale: v=spf1 a mx ip4:10.0.0.1 include:m.example.com ?all

Record modificato: v=spf1 include:mailchef.4dem.it a mx ip4:10.0.0.1 include:m.example.com ?all

Una volta modificato il record salvalo. Attendi un’ora e utilizza lo stesso metodo di verifica illustrato precedentemente per verificare che le modifiche si siano propagate. Se non dovessi vedere le differenze prova a rifare la verifica il giorno successivo, qualora non fosse ancora corretto ti consiglio di chiedere supporto a chi ti fornisce dominio e hosting.

NOTA

Se hai una console dedicata chiedici informazioni via ticket!

Domain Keys Identified Mail (DKIM) 

Il DKIM altro non è che un metodo di autenticazione concepito per consentire a chi invia email di certificare che le email a nome del suo dominio vengano inviate solo da sistemi autorizzati. Oltre a essere una garanzia di autenticità per i destinatari, aiuta il dominio a costruirsi una buona reputazione.

L’identità del dominio mittente e l'infrastruttura di invio associata all’email viene convalidata tramite autenticazione crittografata a due chiavi:

- una chiave privata, che viene mantenuta segreta dal server di invio e usata per firmare tutte le email in uscita;

- una chiave pubblica, (aggiunta nel record DNS del dominio) che viene utilizzata dai server riceventi per verificare l’integrità della firma apposta alle email in fase di invio.

Per abilitare il DKIM suoi tuoi DNS, segui le indicazioni riportate nell'area della piattaforma "Mittenti", accessibile dal menù laterale "Comunica".

ll protocollo DMARC è stato sviluppato dai principali provider di posta mondiali per contrastare l'email spoofing, cioè una particolare tecnica di spam dove il mittente della email viene falsificato. Nelle email di spoofing lo spammer utilizza un indirizzo mittente del quale non è proprietario per far credere al destinatario di aver ricevuto una notifica da un'azienda a grande diffusione in modo da cercare di rubarne i dati.

Questo protocollo di intesa, sempre piu' diffuso tra i provider di posta permette al proprietario di un dominio di specificare quali sono le caratteristiche tecniche che una email deve avere per essere considerata attendibile da chi la riceve.

Il protocollo  Domain-based Message Authentication, Reporting, and Conformance serve infine ai domini del mittente per dare istruzioni ai domini riceventi su come comportarsi quando ricevono un'email da quel mittente e quali sono le caratteristiche tecniche che deve avere per essere considerata attendibile. Il protocollo DMARC si basa su SPF e DKIM per validare le email e ne indica le caratteristiche. 

Ad esempio tramite il protocollo DMARC il proprietario di un ipotetico dominio miodominio.it può far sapere a tutti i provider di posta che verificano il protocollo che se ricevono una email con un mittente info@miodominio.it, per essere considerata attendibile deve essere stata inviata da un IP presente nel SPF del dominio e deve avere una firma DKIM valida del dominio. Nel caso non passi questo controllo, può indicare al provider di posta ricevente che la email deve essere rifiutata.

Applicare il DMARC a livello aziendale può essere abbastanza complesso in quanto influisce su tutti i canali di invio email, puoi però iniziare ad applicarlo impostando la policy di azione a "none".

Segui questi passaggi:

• Tipo di record TXT
• nome: _dmarc.nomedominio.it (dove nomedominio.it corrisponde al dominio del tuo mittente nelle email)
• valore: "v=DMARC1; p=none; sp=none; pct=100; adkim=r; aspf=r"

Riassumendo:

• Proteggi il tuo dominio-mittente.
• Controlla se hai abilitato l'SPF sui tuoi DNS.
• Abilita il protocollo DKIM.
• Abilita il protocollo DMARC.
• All'interno della sezione "mittenti autorizzati email" della piattaforma, trovi tutte le istruzioni per configurare DKIM e SPF.